Jakie narzędzia wykorzystują hakerzy APT?
Niezwykle ciekawa analiza została opublikowana przez Check Point. Dokumentuje DoubleFeature grupy Equation, element struktury post-eksploitacji DanderSpritz. To ostatnie i wiele dodatkowych narzędzi zostało upublicznionych w 2017 r. przez grupę hakerów nazywających siebie Shadow Brokers, po tym, jak rzekomo zostały skradzione z Equation Group – cyberszpiegów, którzy byli podobno zatrudnieni przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA).
W raporcie opublikowanym w zeszłym tygodniu badacze przedstawiają szczegółową analizę DoubleFeature, komponentu DanderSpritz, który został zaprojektowany do generowania „dziennika i raportu na temat typów narzędzi, które można wdrożyć”.
Chociaż nie jest tak popularny jak Eternal Blue (ETBL), Eternal Romance (ETRO) i niektóre inne narzędzia, które wyciekły z Shadow Brokers, struktura ataków DanderSpritz była już wcześniej analizowana, a badacze porównali ją również z exploitami wykorzystywanymi przez chińskich hakerów.
Jak zwracają uwagę specjaliści z Check Point, dokumentacja związana z wieloma narzędziami w ramach ataku odwołuje się do DoubleFeature, twierdząc, że jest to jedyny sposób, w jaki można zweryfikować obecność tego malware w systemie.
W ten sposób DoubleFeature może być wykorzystany do lepszego zrozumienia modułów DanderSpritz, a także „jako narzędzie diagnostyczne dla maszyn ofiar przenoszących DanderSpritz — to marzenie zespołu reagowania na incydenty”, powiedział Check Point w swoim raporcie.
DoubleFeature został zaprojektowany do zbierania dużej ilości danych z systemu docelowego i zapisywania informacji z dziennika w pliku dziennika debugowania, który jest następnie szyfrowany przy użyciu AES. Narzędzie wykorzystuje rootkita i obsługuje wiele metod zaciemniania.
Ponadto naukowcy zauważyli, że ciągi znaków, których potrzebuje DoubleFeature, są odszyfrowywane na żądanie, a następnie ponownie szyfrowane. Unikalną cechą jest jednak możliwość odpytywania narzędzi Equation Group w systemie i sprawdzania, które z nich są zainstalowane.
Cyberatak na Norweską grupę medialną
Norweska firma medialna Amedia ogłosiła we wtorek, że padła ofiarą cyberataku, który zmusił ją do zamknięcia wielu systemów.
To druga co do wielkości firma medialna w Norwegii, jest właścicielem 50 lokalnych i regionalnych portali internetowych i tytułów drukowanych, a także agencji prasowej Avisenes Nyhetsbyrå.
Cyberatak, który miał miejsce w nocy z 27 grudnia na 28 grudnia, wpłynął na systemy administrowane przez Amedia Teknologi, centralną firmę informatyczną giganta medialnego.
Amedia twierdzi, że naruszenie to wpłynęło na jej zdolność do drukowania gazet, ponieważ systemy odpowiedzialne za zarządzanie gazetami, reklamami i prenumeratami nie działają normalnie.
„Problemy, których doświadczamy, wynikają z zewnętrznego ataku na niektóre z naszych systemów. Jesteśmy w trakcie uzyskiwania ogólnego obrazu sytuacji, ale nie znamy jeszcze pełnego potencjału szkód – mówi firma.
Amedia twierdzi, że podjęła niezbędne kroki, aby powstrzymać atak i ograniczyć skutki, i już pracuje nad przywracaniem operacji. Nie jest jasne, czy w grę wchodziło oprogramowanie ransomware.
Amedia twierdzi, że problemy, których doświadcza po incydencie, są poważne, dodając, że władze zostaną o tym poinformowane.
Opis ataku z wykorzystywaniem Log4Shell!
Niedawno zaobserwowano powiązaną z Chinami grupę cyberszpiegowską Aquatic Panda, która wykorzystuje lukę Log4Shell do skompromitowania dużej instytucji akademickiej, donosi zespół Falcon OverWatch z CrowdStrike.
Śledzona jako CVE 2021-44228, a także określana jako Log4Shell i LogJam, luka w zabezpieczeniach dotyczy struktury rejestrowania Apache Log4j Java i była wykorzystywana w atakach ukierunkowanych od początku grudnia.
W ramach niedawnej kampanii analitycy bezpieczeństwa OverWatch zaobserwowali, jak Aquatic Panda wykorzystuje zmodyfikowaną wersję exploita Log4j do początkowego dostępu, a następnie wykonuje różne operacje post eksploitacyjne, w tym rozpoznanie i zbieranie danych uwierzytelniających.
Próbując skompromitować nienazwaną instytucję akademicką, atakujący wzięli na cel instancję VMware Horizon, która wykorzystywała podatną na ataki bibliotekę Log4j. Exploit wykorzystany w tym ataku został pierwotnie opublikowany w serwisie GitHub 13 grudnia.
Osoby atakujące przeprowadziły sprawdzenie łączności za pomocą wyszukiwania DNS dla subdomeny działającej w instancji VMware Horizon w ramach usługi Apache Tomcat (zaobserwowano również innych cyberprzestępców korzystających z publicznych usług rejestrowania DNS w celu zidentyfikowania podatnych serwerów).
Następnie Aquatic Panda wykonał wiele poleceń Linuksa na hoście Windows, na którym działała usługa Apache Tomcat, w tym niektóre mające na celu wdrożenie narzędzi atakujących hostowanych na zdalnej infrastrukturze.
Osoby atakujące przeprowadziły rekonesans z hosta, starając się lepiej zrozumieć poziomy uprawnień i szczegóły domeny, a także próbował zatrzymać rozwiązanie do wykrywania i reagowania na punkty końcowe innej firmy.
Po wdrożeniu dodatkowych skryptów hakerzy próbowali wykonać polecenia PowerShell w celu pobrania złośliwego oprogramowania i trzech plików VBS.
Aquatic Panda wykonał również kilka prób zbierania danych uwierzytelniających, wykonując zrzuty pamięci i przygotowując je do eksfiltracji poprzez ich kompresję.
Docelowa organizacja została powiadomiona o podejrzanej aktywności natychmiast po wykryciu i była w stanie szybko wdrożyć swój protokół reagowania na incydenty, naprawić podatne oprogramowanie i zapobiec dalszej złośliwej aktywności.
Aktywna od co najmniej maja 2020 r. i angażująca się w zbieranie danych wywiadowczych i szpiegostwo przemysłowe Aquatic Panda, atakuje organizacje z sektora rządowego, telekomunikacyjnego i technologicznego. Zestaw narzędzi grupy obejmuje między innymi Cobalt Strike, narzędzie do pobierania FishMaster i njRAT.