Menu dostępności

Uwaga na atak SEO Poisoning! Dostarcza groźny malware BATLOADER!

Zespół z pierwszej linii obrony Mandiant Managed Defense odkrył kampanię, która wykorzystywała zatruwanie silników optymalizacji wyszukiwarek (ang. SEO), aby skłonić ofiary do pobrania złośliwego oprogramowania BATLOADER. Zaobserwowano również sprytną technikę obejścia obrony przy użyciu mshta.exe, natywnego narzędzia systemu Windows przeznaczonego do uruchamiania plików aplikacji Microsoft HTML (HTA).

SEO Poisoning to metoda ataku, w której cyberprzestępcy tworzą złośliwe witryny zawierające słowa kluczowe i wykorzystują techniki optymalizacji, aby swoje strony wyświetlać w widocznym miejscu w wynikach wyszukiwania, co zwiększa ich wiarygodność.


Łańcuch infekcji

Aktor kampanii wykorzystuje motywy „instalacji bezpłatnych aplikacji zwiększających produktywność” lub „instalacji bezpłatnych narzędzi programistycznych” jako słów kluczowych w SEO. Wszystko po to, aby zwabić ofiary do zhackowanej witryny w celu pobrania instalatora z malware. Instalator zawiera oczywiście legalne oprogramowanie, które niestety instaluje się wraz ze złośliwym BATLOADER w tle, tak aby użytkownik niczego nie podejrzewał.

Początkowa kompromitacja BATLOADER’em jest tylko wstępem do wieloetapowego łańcucha infekcji, który zapewnia atakującym przyczółek wewnątrz docelowej organizacji. Każdy etap ataku jest tylko przygotowaniem kolejnej fazy, aby jak najbardziej utrudnić wykrycie i analizę. Legalne narzędzia, takie jak PowerShell, Msiexec.exe i Mshta.exe, umożliwiają wykonywanie pośrednio złośliwych ładunków. Poniżej szczegóły.


Ścieżka ataku

Źródło: mandiant.com

Godną uwagi próbką znalezioną w łańcuchu ataków był plik o nazwie „AppResolver.dll”. Ta biblioteka jest wewnętrznym składnikiem systemu operacyjnego Microsoft Windows opracowanym przez firmę Microsoft, ale z osadzonym w środku złośliwym skryptem VBScript, dzięki czemu podpis cyfrowy kodu pozostaje ważny. Próbka DLL nie wykonuje ukrytego skryptu VB, gdy jest uruchamiana samodzielnie, ale po uruchomieniu z Mshta.exe lokalizuje i wykonuje VBScript bez żadnych problemów. Jego zadaniem jest oszukanie Windows Defendera poprzez wpisanie kilku wykluczeń w rejestrze.

Ten problem najbardziej przypomina CVE-2020-1599, ponieważ podpis PE Authenticode pozostaje ważny po dołączeniu skryptów obsługiwanych przez HTA podpisanych przez dowolnego dewelopera. Następnie pliki .hta można explitować za pomocą programu Mshta.exe, aby ominąć rozwiązania zabezpieczające sprawdzające zaufany podpis. Ten problem został poprawiony jako CVE-2020-1599. Taka technika omijania została wykorzystana kilka razy w łańcuchu ataku do zmiany ustawień hosta i uruchamiania ładunków.

Na późniejszych etapach w łańcuchu ataków tej kampanii instalowane jest znane, legalne oprogramowanie, takie jak Gpg4win Utility, NSUDO Utility, ATERA i SplashTop. Mają one obsługiwać zdalny dostęp, eskalację uprawnień, uruchamianie ładunków, szyfrowanie i trwałość. Na końcu wdrażane są złośliwe programy, takie jak BEACON, URSNIF, NetCat czy BloodHound, aby zapewnić trwałość, rekonesans i możliwości kradzieży poświadczeń w organizacji.


Podsumowanie

Grupa odkrywców kampanii podejrzewa, że twórcami tego ataku mogą być aktorzy odpowiedzialny za ransomware Conti, ponieważ schematy działań i opisy komend są tutaj identyczne. Jednak jak wiemy, w 2021 roku plany działania ransomware Conti wyciekły do wiadomości publicznej, więc teoretycznie każdy może się pod nich podszywać. Ofiary kampanii wydają się działać w wielu branżach, dlatego motywacje grupy hackerskiej są obecnie nieznane, jednak najbardziej prawdopodobne to kradzież poświadczeń dających wystarczające uprawnienia do wdrożenia ransomware na krytycznych zasobach w organizacji.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Środowisko bezpieczeństwa IT ponownie żyje informacjami o ujawnieniu exploita typu zero-day dla systemów Microsoft Windows. Tym razem badacz bezpieczeństwa znany pod pseudonimem Chaotic Eclipse opub...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...