ColdRiver
W czwartek 18 stycznia Google ostrzegło, że rosyjscy hakerzy z grupy ColdRiver, znanej z ataków phishingowych, opracowują niestandardowe złośliwe oprogramowanie.
Internetowy gigant udostępnił wskaźniki kompromisu (IoC) i zasady YARA, które mają pomóc działom bezpieczeństwa w wykryciu i przeanalizowaniu zagrożenia.
Grupa ColdRiver bywa też określana jako Star Blizzard, Callisto Group, BlueCharlie, TA446 i Dancing Salome. Ma powiązania z jednostką rosyjskiej służby bezpieczeństwa FSB i znana jest zarówno z prowadzenia operacji cyberszpiegowskich, jak i kampanii propagandowych. Zazwyczaj hakerzy atakują organizacje akademickie, obronne, jednostki rządowe, pozarządowe i ośrodki doradcze w USA, Wielkiej Brytanii oraz innych krajach NATO.
Rządy Stanów Zjednoczonych i Wielkiej Brytanii ostrzegły niedawno organizacje przed działalnością grupy i ogłosiły sankcje wobec jej dwóch członków.
Wiele ataków ColdRiver obejmuje spear-phishing, którego celem jest przechwycenie danych uwierzytelniających. Jednak badacze bezpieczeństwa Google natknęli się ostatnio na niestandardowe złośliwe oprogramowanie, które prawdopodobnie zostało opracowane i wykorzystane również przez tę grupę. Szkodnik o nazwie SPICA został opisany jako backdoor napisany w języku Rust, który wykorzystuje JSON przez gniazda sieciowe do dowodzenia i kontroli (C&C). SPICA może służyć do wykonywania dowolnych poleceń powłoki, kradzieży plików cookie przeglądarki internetowej, przesyłania i pobierania plików, uzyskiwania zawartości systemu plików i wydobywania dokumentów.
Backdoor zostaje dostarczony poprzez wysyłanie do celów łagodnych plików PDF, które wyglądają na zaszyfrowane. Kiedy ofiara informuje nadawcę, że plik PDF jest zaszyfrowany, otrzymuje plik wykonywalny, który rzekomo może zostać użyty do odszyfrowania dokumentu. Ten właśnie plik instaluje złośliwe oprogramowanie.
SPICA została wykryta przez Google we wrześniu 2023 roku, ale ColdRiver mogła jej używać co najmniej od listopada 2022 roku. Badaczom firmy udało się uzyskać tylko jedną próbkę szkodliwego oprogramowania, które ich zdaniem mogło zostać wykorzystane w sierpniu i wrześniu 2023.
„Uważamy, że może istnieć wiele wersji backdoora SPICA, każda z osadzonym innym dokumentem wabika pasującym do dokumentu przynęty wysyłanego do celów” – twierdzą badacze Google.
APT29
Inną powiązaną z Rosją grupą jest APT29. Według agencji rządowych w USA, Wielkiej Brytanii i Polsce rosyjska grupa cyberszpiegowska wykorzystuje na dużą skalę najnowszą lukę w TeamCity. Ataki trwają co najmniej od września 2023 roku.
Problem, oznaczony jako CVE-2023-42793 (wynik CVSS wynoszący 9,8) i wpływający na lokalne instancje TeamCity, jest opisywany jako obejście uwierzytelniania, które można wykorzystać bez interakcji użytkownika w celu kradzieży poufnych informacji i przejęcia podatnych na ataki serwerów.
Wykorzystywanie błędu rozpoczęło się kilka dni po opublikowaniu poprawek pod koniec września. Zaobserwowano, że kilka grup ransomware atakowało CVE-2023-42793. Pod koniec października lukę wykorzystywały także sponsorowane przez państwo północnokoreańskie ugrupowania cyberprzestępcze.
Obecnie, także po publikacjach CERT Polska, wiadomo, że grupa hakerska oznaczona jako APT29 wykorzystuje tę podatność w atakach (inne nazwy hakerów: CozyBear, the Dukes, Midnight Blizzard, Nobelium i Yttrium). Grupa jest sponsorowana przez rosyjską służbę wywiadu zagranicznego (SVR), a wcześniej była obwiniana o ingerencję w wybory w USA w 2016 roku, SolarWinds w 2020 roku i różne inne głośne ataki.
W ramach zaobserwowanych kampanii APT29 wykorzystała CVE-2023-42793 do wykonania kodu z wysokimi uprawnieniami i zdobycia przyczółku w środowiskach docelowych. Następnie napastnicy przeprowadzili rekonesans, eksfiltrowali pliki (wykazując zainteresowanie serwerami SQL), wyłączyli oprogramowanie EDR i antywirusowe, ustalili trwałość i eksfiltrowali wrażliwe dane.
TeamCity jest wykorzystywane przez twórców oprogramowania do zarządzania i automatyzacji procesów. Zaatakowane serwery TeamCity mogą być przydatne w atakach na łańcuch dostaw, takich jak ten wymierzony w SolarWinds. Na koniec warto dodać, że Fortinet opublikował analizę techniczną ataku APT29, wskazując, że zaobserwował wielu cyberprzestępców próbujących wykorzystać wrażliwe środowisko. Analiza dostępna jest tutaj.