Często piszemy o cyberatakach na Stany albo amerykańskich sojuszników. Oczywiście jak to bywa, nic nie jest jednostronne, a walka toczy się na wielu frontach. W tym tygodniu Badacze bezpieczeństwa z Malwarebytes ujawnili, że cyberprzestępcy atakują rosyjskie organizacje rządowe. Wykorzystują w tym celu niedawno załataną lukę zero-day MSHTML w pakiecie Microsoft Office. Specjaliści informują, że miało to miejsce w atakach na co najmniej dwie organizacje w Rosji, a mianowicie Państwowe Centrum Rakietowe Spółki Akcyjnej (JSC GREC Makeyev) oraz Ministerstwo Spraw Wewnętrznych w Moskwie.
Podatność jest sklasyfikowana jako CVE-2021-40444. Problem został publicznie ujawniony 7 września, ale ataki na niego były obserwowane od połowy sierpnia.
Microsoft naprawił błąd we wtorkowych aktualizacjach z września 2021 r. i wkrótce potem ujawnił, że operatorzy oprogramowania ransomware zaczęli go wykorzystywać. Wcześniej firma twierdziła, że luka w zabezpieczeniach została wykorzystana w atakach ukierunkowanych, co wskazuje na aktywność zaawansowanego aktora lub grupy ATP.
W środowym raporcie Malwarebytes również sugeruje, że za ostatnio zaobserwowanym atakiem na rosyjskie podmioty prawdopodobnie stoi APT.
„Rzadko znajdujemy dowody cyberprzestępczości przeciwko rosyjskim podmiotom. Biorąc pod uwagę cele, zwłaszcza pierwszy, podejrzewamy, że za tymi atakami może kryć się sponsorowany przez państwo podmiot i staramy się ustalić źródło ataków” – mówi firma zajmująca się cyberbezpieczeństwem.
W ataku na JSC GREC Makiejew – krajowe centrum obronno-przemysłowe technologii rakietowej i kosmicznej – wykorzystano e-maile phishingowe rzekomo pochodzące z działu HR, w których proszono odbiorców o wypełnienie załączonego formularza i przesłanie go do działu HR.
Gdy odbiorca otworzył załączony dokument, został poproszony o umożliwienie edycji, co natychmiast uruchomiło exploita. Po załadowaniu specjalnie spreparowanej kontrolki ActiveX osoba atakująca może uruchomić dowolny kod i zainfekować komputer ofiary złośliwym oprogramowaniem.
Podczas drugiego ataku wykorzystano podobną socjotechnikę. Mail sugerował, że jest z rosyjskiego Ministerstwa Spraw Wewnętrznych i wymagał od odbiorcy otwarcia załączonego formularza i zwrócenia go nadawcy.
CVE-2021-40444 będzie prawdopodobnie coraz częściej wykorzystywany w atakach, pomimo użycia ActiveX. Jest to niedawna luka w zabezpieczeniach, a cyberprzestępcy już udostępniają jej kod sprawdzający koncepcję, samouczki i exploity.
W tym kontekście dość ciekawe wydają się informacje z sierpnia br. Positive Technologies rosyjska firma zajmującej się cyberbezpieczeństwem, informowała, że powiązana z Chinami grupa hackerska APT31 wykorzystuje nowe złośliwe oprogramowanie w ostatnich atakach wymierzonych w Mongolię, Białoruś, Kanadę, Stany Zjednoczone i – po raz pierwszy – w Rosję.
Uważa się, że APT31, śledzony również jako Judgment Panda, Zirconium i Red Keres, działa w imieniu chińskiego rządu, prowadząc kampanie cyberszpiegowskie przeciwko celom interesującym ten kraj.
W lipcu 2021 r. grupa została oficjalnie oskarżona o atakowanie luk w serwerach Microsoft Exchange w imieniu Chin, a Francja ostrzegła przed ciągłym wykorzystywaniem przez APT31 zhakowanych routerów w złośliwych atakach.
Uważa się, że grupa ta przeprowadziła co najmniej 10 cyberataków między styczniem a lipcem 2021 r., dostarczając trojana zdalnego dostępu (RAT) i atakując głównie podmioty w Mongolii, Rosji, Białorusi, Kanadzie i Stanach Zjednoczonych.
Według Positive Technologies, po raz pierwszy ta konkretna grupa zagrożeń zaatakowała Rosję, a dowody sugerują, że przynajmniej niektóre z jej celów stanowiły organizacje rządowe.
W ramach tej aktywności cyberszpiedzy wykorzystali nowy dropper złośliwego oprogramowania, który wykorzystuje ładowanie boczne DLL do wykonania złośliwego ładunku na maszynie docelowej (wraz ze złośliwą biblioteką dropper wdraża i wykonuje na zaatakowanej maszynie aplikację podatną na sideloading DLL).
Złośliwa biblioteka naśladuje legalny plik MSVCR100.dll, którego używa aplikacja Microsoft Visual Studio, próbując ukryć swoją aktywność.
Podczas dochodzenia w sprawie działalności grupy hakerskiej analitycy bezpieczeństwa Positive Technologies odkryli kilka wersji droppera, w tym jedną, która pobiera wszystkie pliki z serwera dowodzenia i kontroli.
Biorąc pod uwagę liczne podobieństwa do DropboxAES RAT, które Secureworks wcześniej przypisywał APT31, Positive Technologies doszło do wniosku, że bada wariant tego samego szkodliwego oprogramowania, który wykazywał tylko niewielkie różnice. Nie zaobserwowano jednak nakładania się infrastruktur sieciowych wykrytych próbek złośliwego oprogramowania.
Przypomnijmy, że Positive Technologies została niedawno dotknięta sankcjami USA za rzekome wspieranie agencji wywiadowczych Kremla. Zapowiedziała jednak, że będzie nadal odpowiedzialnie ujawniać luki wykryte przez jej pracowników w produktach największych amerykańskich firm.