Dlaczego ataki na łańcuchy dostaw są tak niebezpieczne? Dlatego że „przejmując” dostawcę usług lub oprogramowania, złośliwy aktor może rozesłać malware do tysięcy klientów, tworząc prawdziwą sieć dystrybucji i pośrednio przejmując kolejne end pointy. Skuteczność tej metody zweryfikował atak na SolarWinds, kreując rzesze naśladowców. Dzisiaj opiszemy dwa nowe przypadki kampanii, ciekawych dlatego, że próbują podszywać się pod sprawdzone, certyfikowane oprogramowanie.
Billbug
W mijającym tygodniu Symantec informował, że zaobserwowano grupę cyberszpiegowską śledzoną jako Billbug, która atakowała azjatycki urząd certyfikacji oraz inne podobne podmioty.
Billbug nosi również nazwy Lotus Blossom oraz Thrip. Jest zaawansowanym technicznie aktorem zajmującym się sprofilowanymi atakami (APT), których celem są głównie podmioty w Azji Południowo-Wschodniej i Stanach Zjednoczonych. Uważa się, że jego aktywność trwa od co najmniej 2009 roku. Od marca 2022 grupa atakuje wiele podmiotów w Azji, w tym wspomniany urząd certyfikacji, organizacje rządowe i agencje obronne.
„…gdyby osoby atakujące były w stanie z powodzeniem złamać zabezpieczenia urzędu certyfikacji i tym samym uzyskać dostęp do certyfikatów, potencjalnie mogłyby użyć ich do podpisania złośliwego oprogramowania za pomocą ważnego poświadczenia i, co za tym idzie, uniknąć wykrycia na komputerach ofiar. Mogłyby również wykorzystywać naruszone certyfikaty do przechwytywania ruchu HTTPS” – zauważa Symantec.
Jednak w tym samym komentarzu firma zajmująca się bezpieczeństwem twierdzi, że nie ma dowodów sugerujących, by cyberprzestępcy udało się z powodzeniem złamać certyfikaty cyfrowe.
W ramach obserwowanych ataków APT hakerzy wykorzystywali wiele publicznych narzędzi i niestandardowe złośliwe oprogramowanie, w tym AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Stowaway Proxy Tool, Tracert, Winmail i WinRAR, a także backdoory Hannotog i Sagerunex zidentyfikowane i opisane już w 2019 roku.
Jak wyjaśnia Symantec, backdoor Hannotog może aktualizować ustawienia zapory sieciowej, tworzyć usługi zapewniające trwałość, zatrzymywać uruchomione usługi, przesyłać zaszyfrowane dane, zbierać informacje o systemie i pobierać pliki na zainfekowaną maszynę.
Z kolei backdoor Sagerunex wykorzystuje wiele metod komunikacji z serwerem dowodzenia i kontroli (C&C), obsługuje polecenia wyświetlające uruchomione serwery proxy, uruchamiające programy, kradnące lub „upuszczające” pliki oraz pobierające skonfigurowane ścieżki plików.
„Chociaż w tej kampanii nie obserwujemy eksfiltracji danych, Billbug jest powszechnie uważany za aktora szpiegującego, co wskazuje, że kradzież danych to najbardziej prawdopodobny motyw. Ofiary – agencje rządowe i urząd certyfikacji – również wskazują na szpiegostwo i kradzież danych” – zauważa Symantec.
Przedsiębiorstwo zwraca również uwagę, że hakerzy atakowali ofiary rządowe prawdopodobnie w celach szpiegowskich i uderzyli w urząd certyfikacji w celu kradzieży legalnych poświadczeń cyfrowych.
„Jest to potencjalnie bardzo niebezpieczne, ponieważ jeśli Billbug jest w stanie podpisać swoje złośliwe oprogramowanie za pomocą ważnego certyfikatu cyfrowego, może ominąć zabezpieczenia na komputerach ofiar. Zdolność tego aktora do jednoczesnego narażania wielu podmiotów wskazuje, że pozostaje wykwalifikowanym i dobrze wyposażonym operatorem, zdolnym do przeprowadzania długotrwałych i szeroko zakrojonych kampanii” – podsumowuje Symantec.
WIP 19
Wcześniejszy atak na łańcuch dostaw zaobserwowano w październiku – wtedy hakerzy posługiwali się skradzionym certyfikatem. Była to niedawno zidentyfikowana grupa cyberszpiegowska działająca z Chin. Atakowała dostawców usług IT i firmy telekomunikacyjne za pomocą podpisanego szkodliwego oprogramowania.
SentinelOne określił tę grupę jako WIP19, twierdząc, że jej działania pokrywają się z operacją Shadow Force. Niemniej nie jest do końca jasne, czy jest to nowa iteracja kampanii czy też dzieło innego, bardziej dojrzałego hakera, wykorzystującego nowe szkodliwe oprogramowanie i nowe techniki.
Koncentrując się na podmiotach z Bliskiego Wschodu i Azji, WIP19 używa skradzionych certyfikatów do podpisywania kilku złośliwych komponentów. Do tej pory grupa wykorzystywała rodziny szkodliwego oprogramowania takie jak ScreenCap, SQLMaggie i zrzut danych uwierzytelniających.
„Nasza analiza wykorzystywanych backdoorów w połączeniu z przeglądaniem certyfikatu sugeruje, że część komponentów używanych przez WIP19 jest autorstwa WinEggDrop, działającego od 2014 roku znanego chińskojęzycznego twórcy malware, który wykreował narzędzia dla różnych grup” – informuje SentinelOne.
Ważny certyfikat, którego WIP19 używał do podpisywania swojego złośliwego oprogramowania, był wydany koreańskiemu dostawcy komunikatów DEEPSoft Co. i prawdopodobnie został skradziony przez ugrupowanie cyberprzestępcze, biorąc pod uwagę, że w przeszłości był również używany do podpisywania legalnego oprogramowania.
Według SentinelOne wszystkie narzędzia do zbierania danych uwierzytelniających zostały podpisane przy użyciu skradzionego certyfikatu, w tym zrzut hasła polegający na kodzie open source, który ładował SSP do LSASS i zrzucał proces.
Zaobserwowano również inne działania WIP19, polegające na przejęciu kolejności wyszukiwania DLL w celu załadowania keyloggera i rejestratora ekranu. Keylogger atakuje głównie przeglądarkę ofiary, aby zebrać dane uwierzytelniające i inne poufne informacje.
Z kolei inne szkodliwe oprogramowanie, ScreenCap, przeprowadza serię kontroli, które obejmują nazwę maszyny, co sugeruje, że zostało specjalnie dostosowane do katalogowania każdej ofiary.
„Nie przeszkadza to aktorowi w ponownym podpisaniu każdego z ładunków za pomocą certyfikatu DEEPSoft, co dowodzi, że hakerzy mają bezpośredni dostęp do skradzionego certyfikatu” – zauważa SentinelOne.
W atakach wykorzystujących SQLMaggie backdoor był postrzegany jako legalna biblioteka DLL zarejestrowana na serwerze MSSQL w celu zapewnienia atakującym kontroli nad maszyną serwerową, aby przeprowadzać rekonesans sieci.
SentinelOne odkrył również, że każda wersja backdoora może obsługiwać różne polecenia, w zależności od docelowego środowiska. Wygląda na to, że SQLMaggie jest dostępny wyłącznie dla grupy lub sprzedawany prywatnie, ponieważ żadnej części jego kodu nie można znaleźć publicznie.
„Zaobserwowane przez nas włamania polegały na precyzyjnym targetowaniu ofiar. Konkretne maszyny użytkowników były zakodowane na stałe jako identyfikatory we wdrożonym złośliwym oprogramowaniu, a malware nie był szeroko rozpowszechniany. Co więcej, ataki na dostawców usług telekomunikacyjnych i IT na Bliskim Wschodzie i w Azji sugerują, że motywem tej działalności jest szpiegostwo” – zauważa SentinelOne.