Zestawienie tygodniowe 26 kwietnia – 4 maja

Nowy kolektyw hackerski i nowe wyrafinowane ataki

Luka typu zero-day, którą SonicWall naprawił w swoich urządzeniach Secure Mobile Access (SMA) na początku tego roku, została wykorzystana przez „wyrafinowaną i agresywną” grupę cyberprzestępczą, zanim producent opublikował poprawkę, poinformował w czwartek zespół FireEye Mandiant.

W ciągu ostatnich 6 miesięcy zaobserwowano nową grupę cyberprzestępców wykorzystującą szeroką gamę złośliwego oprogramowania i agresywną taktykę, aby zmusić ofiary ransomware do dokonywania płatności.

Motywacją grupy UNC2447 najprawdopodobniej są finanse. Grupa wykazała zaawansowane możliwości w atakach na organizacje w Europie i Ameryce Północnej. Majstrowała przy narzędziach bezpieczeństwa, regułach zapory i ustawieniach zabezpieczeń systemu.

Od listopada 2020 roku, jak donosi FireEye, kolektyw hackerski korzystał z rodzin złośliwego oprogramowania ransomware, takich jak: Sombrat, FiveHands (przepisany wariant oprogramowania ransomware DeathRansom), droppera Warprism PowerShell, radiolatarni Cobalt Strike i FoxGrabber, ale jej aktywność również pokazuje powiązania z oprogramowaniem ransomware HelloKitty i RagnarLocker.

Grupa została zauważona nadużywając CVE-2021-20016, krytycznego błędu wstrzyknięcia SQL w produktach SonicWall Secure Mobile Access SMA 100, który może umożliwić zdalnym, nieuwierzytelnionym atakującym dostęp do danych logowania i informacji o sesji, a następnie zalogowanie się do podatnych urządzeń.

Istnienie luki wyszło na jaw pod koniec stycznia, kiedy SonicWall poinformował klientów, że jego wewnętrzne systemy były celem ataku, który mógł wykorzystać luki „dnia zerowego” w zabezpieczonych produktach dostępu zdalnego firmy.

CVE-2021-20016 został załatany przez SonicWall na początku lutego, ale FireEye powiedział, że UNC2447 wykorzystał go w swoich atakach, zanim poprawka została wydana.

Jeśli chodzi o złośliwe oprogramowanie wykorzystywane przez UNC2447, backdoor Sombrat został zaobserwowany podczas włamań ransomware FiveHands, co sugeruje, że oba są wykorzystywane przez tego samego przeciwnika. Sombrat został wstępnie opisany w listopadzie 2020 r. Jest napisany w C ++ i zorganizowany jako zbiór interoperacyjnych wtyczek. Może pobierać i uruchamiać skrypty z serwera poleceń i kontroli (C&C), obsługuje dziesiątki poleceń, z których większość umożliwia hakerowi zmianę zaszyfrowanego pliku pamięci i rekonfigurację implantu.

Czy chińscy hakerzy atakują Rosyjski sektor wojskowy?

Naukowcy z Cybereason twierdzą, że odkryli nieudokumentowane złośliwe oprogramowanie, atakujące rosyjski sektor wojskowy, noszące znamiona tego, że pochodzi z Chin.

Badacze śledzili złośliwe pliki RTF generowane przez broń RoyalRoad (znaną również jako narzędzie do tworzenia exploitów 8.t Dropper / RTF), o którym wiadomo, że jest często używany przez chińskie grupy. Znaleziono jedną próbkę upuszczającą wcześniej nieznane złośliwe oprogramowanie, które badacze Cybereason nazwali teraz PortDoor.

Celem był dyrektor generalny pracujący w Rubin Design Bureau. To rosyjski wykonawca w dziedzinie obronności, który projektuje atomowe okręty podwodne dla rosyjskiej marynarki wojennej.

Cybereason nie może jeszcze przypisać ataku i wykorzystanego złośliwego oprogramowania do żadnego konkretnego aktora, ale zauważa, że plik RTF „nosi orientacyjne kodowanie nagłówka „b0747746” i został wcześniej zaobserwowany jako używany przez zespół Tonto (aka CactusPete), TA428 i Rancor”.

Zarówno Tonto, jak i TA428 były postrzegane jako atakujące rosyjskie cele badawcze i związane z obronnością. Ponadto istnieją podobieństwa językowe i wizualne w wiadomościach phishingowych między atakiem PortDoor, a wcześniejszymi atakami zespołu Tonto Team na rosyjskie organizacje.

Jednak naukowcy zauważają, że PortDoor „nie wydaje się mieć znaczących podobieństw w kodzie ze znanym wcześniej złośliwym oprogramowaniem używanym przez wyżej wymienione grupy… nie jest to wariant znanego złośliwego oprogramowania, ale w rzeczywistości jest to nowe złośliwe oprogramowanie, które zostało niedawno opracowane”. Niemniej jednak Cybereason uważa, że PortDoor w tym przypadku jest obsługiwany przez grupę APT działającą w imieniu chińskich interesów państwowych.

PortDoor to wieloaspektowy backdoor, który może prowadzić szpiegostwo, przeprowadzać profilowanie celów, zwiększać uprawnienia, omijać programy antywirusowe, wykonywać jednobajtowe szyfrowanie XOR, dostarczać dodatkowe ładunki i eksfiltrować dane zaszyfrowane za pomocą AES.