Cyber wojna na Ukrainie oczami Microsoftu i Symanteca
Łowcy zagrożeń z Microsoftu i Symanteca dzielą się notatkami na temat nowych cyberataków rosyjskiej agencji szpiegowskiej na organizacje na Ukrainie.
Obie firmy wydały w tym tygodniu oddzielne raporty, aby udokumentować odkrycie nowej aktywności szkodliwego oprogramowania powiązanego z Gamaredon, rosyjską rządową grupą APT, która działa od ponad dekady.
Raporty obejmują IOC (wskaźniki kompromitacji) pomagające w wykrywaniu i usuwaniu, a pojawiają się zaledwie kilka dni po tym, jak ukraiński rząd publicznie przypisał ataki złośliwego oprogramowania rosyjskiej FSB (Federalnej Służbie Bezpieczeństwa) i twierdzi, że grupa działała z „natrętnością i śmiałością” już od 2013 roku.
Raport Microsoftu opisuje aktora jako konsekwentnie zabiegającego o dostęp do organizacji na Ukrainie lub podmiotów związanych ze sprawami ukraińskimi. Niedawno firma z Redmond poinformowała, że rosyjscy cyberszpiedzy zaatakowali lub przejęli konta w organizacjach krytycznych dla reagowania kryzysowego i zapewnianiu bezpieczeństwa terytorium Ukrainy, a także w organizacjach, które byłyby zaangażowane w koordynację dystrybucji międzynarodowej i humanitarnej pomocy na Ukrainę w czasie kryzysu.
Microsoft powiedział, że bezpośrednio powiadomił klientów o swoich usługach online, które były celem lub zostały skompromitowane.
„W jednej 30-dniowej migawce [widzieliśmy aktora] wykorzystującego ponad 25 nowych unikalnych domen i ponad 80 unikalnych adresów IP, co pokazuje, że często modyfikują lub zmieniają swoją infrastrukturę” — powiedział Microsoft.
Osobny dokument z jednostki Symantec firmy Broadcom opisuje przypadek, w którym rosyjska grupa hakerska wysłała sfałszowane dokumenty Worda w celu wybrania ukraińskich celów i po cichu uruchomiła złośliwe skrypty w tle, gdy pliki były otwierane.
Jednocześnie Symantec informuje, że sklasyfikował siedem plików wykorzystywanych przez grupę i wspólne wzorce w danych Indicators of Compromise (IOC), aby pomóc obrońcom w poszukiwaniu oznak infekcji.
Według oficjalnych danych ukraińskiego rządu tylko ta jedna rosyjska grupa hakerska jest odpowiedzialna za ponad 5000 ataków na ponad 1500 ukraińskich systemów rządowych.
Luka zero day wykorzystywana w atakach
Badacze z Volexity alarmują, że chiński podmiot zajmujący się zagrożeniami wykorzystuje lukę dnia zerowego w platformie e-mail Zimbra do infekowania mediów i celów rządowych w Europie.
Ataki, które rozpoczynają się serią ukierunkowanych wiadomości e-mail typu spear phishing, obejmują wykorzystanie exploita dla wciąż niezałatanej luki XSS w otwartej platformie e-mail Zimbra, poinformował Volexity w opublikowanym w czwartek zaleceniu. .
Ataki, określane jako trwające i „aktywne”, są wymierzone w media i organizacje rządowe w Europie.
„W momencie pisania tego exploita nie ma dostępnej łatki ani nie przypisano mu CVE” – powiedziała firma. „To jest luka dnia zerowego”.
W analizie technicznej Volexity powiedział, że chińscy hakerzy rozpoczęli kampanie w wielu falach w dwóch fazach ataku:
Początkowa faza miała na celu rozpoznanie i obejmowała e-maile zaprojektowane tak, aby po prostu śledzić, czy cel otrzymał i otworzył wiadomości. Druga faza pojawiła się w kilku falach, które zawierały wiadomości e-mail zachęcające cele do kliknięcia łącza spreparowanego przez złośliwego atakującego. Aby atak się powiódł, cel musiałby odwiedzić łącze atakującego, będąc zalogowanym do klienta poczty internetowej Zimbra z przeglądarki internetowej.
Udane wykorzystanie powoduje, że atakujący może uruchomić dowolny JavaScript w kontekście sesji Zimbra użytkownika. Badacze Volexity zaobserwowali również, jak atakujący próbował załadować JavaScript w celu kradzieży danych i załączników poczty użytkownika.
Na podstawie danych BinaryEdge w infrastrukturze Zimbra działa około 33 000 serwerów, chociaż prawdziwa liczba prawdopodobnie będzie wyższa. Zimbra chwali się, że z oprogramowania korzysta około 200 000 firm oraz ponad 1000 instytucji rządowych i finansowych.
320 milionów dolarów skradzionych w kryptowalucie
Wormhole Blockchain Bridge potwierdził, że po włamaniu wykrytym w środę skradziono kryptowalutę o wartości około 320 milionów dolarów.
Wormhole to „most” łączący różne łańcuchy bloków, w tym Ethereum, Solana, Terra, Binance Smart Chain, Polygon, Avalanche i Oasis. Jedną z jego głównych funkcji jest mostek tokenów, który umożliwia użytkownikom łączenie opakowanych zasobów między tymi łańcuchami bloków.
Serwis ogłosił w środę, że sieć Wormhole została zamknięta „w celu konserwacji”, ponieważ zaczęła szukać potencjalnego exploita.
Atakujący najwyraźniej wykorzystał exploita, który od tego czasu został załatany, aby wydobyć 120 000 opakowanego Ethereum (wETH) na blockchainie Solana, z czego większość została następnie przeniesiona do blockchainu Ethereum. 120 000 weTH było warte około 320 milionów dolarów w momencie ataku.
Deweloperzy najwyraźniej zaoferowali atakującemu nagrodę w wysokości 10 milionów dolarów w ramach „umowy whitehat”, jeśli zwróci skradzioną kryptowalutę.
Wormhole obiecał udostępnić szczegółowy raport z incydentu. W kilku wiadomościach udostępnionych na Twitterze w czwartek serwis poinformował, że przywrócił wszystkie fundusze. Fundusze zostały przywrócone przy pomocy Jump Crypto, oddziału kryptowalut Jump Trading Group.
Wydaje się, że jest to drugi co do wielkości napad na kryptowaluty. Największy miał miejsce w sierpniu 2021 r., kiedy Poly Network ogłosił, że ktoś ukradł kryptowalutę o wartości około 600 milionów dolarów. Jednak w tym przypadku prawie wszystkie skradzione środki zostały zwrócone kilka dni później.