Zestawienie tygodniowe 23 luty – 1 marca

Polityczne ataki przez rozszerzenie przeglądarki

Na początku 2021 roku chiński aktor APT, próbował włamać się na konta Gmail organizacji tybetańskich przy użyciu złośliwego rozszerzenia przeglądarki, odkryli badacze z Proofpoint.

Aktywna od około dziesięciu lat grupa hakerska była wcześniej kojarzona ze złośliwym oprogramowaniem, takim jak LuckyCat i ExileRAT i zorganizowała liczne ataki cybernetyczne wymierzone w społeczność tybetańską.

W styczniu i lutym 2021 roku zaobserwowano, że grupa dostarczyła rozszerzenie FriarFox, dostosowane specjalnie do atakowania przeglądarki Firefox i zapewniania atakującym dostęp do kont Gmail ofiar i kontrolowanie ich. W atakach tych wykorzystano również rodziny szkodliwego oprogramowania Scanbox i Sepulcher.

Jak ujawnia Proofpoint, e-mail phishingowy użyty w styczniowym ataku zawiera odsyłacz prowadzący do fałszywej strony poświęconej aktualizacjom Adobe Flash Playera, zaprojektowanej do uruchamiania kodu JavaScript w systemie ofiary. Kod dostarczyłby złośliwe rozszerzenie FriarFox, ale tylko wtedy, gdy do otwarcia odsyłacza użyto przeglądarki Firefox.

Po zainstalowaniu rozszerzenia napastnicy uzyskali pełny dostęp do konta Gmail ofiary, mogąc przeszukiwać e-maile, archiwizować wiadomości, czytać e-maile, otrzymywać powiadomienia, oznaczać e-maile, oznaczać wiadomości jako spam, usuwać e-maile, odświeżać skrzynkę odbiorczą, przekazywać e-maile, modyfikować alerty w przeglądarce, usuwać e-maile z folderu Kosz.

FriarFox, który wydaje się być mocno zmienioną wersją rozszerzenia Gmail Notifier, umożliwia również przeciwnikowi dostęp do danych użytkownika dla wszystkich witryn internetowych, odczytywanie i zmianę ustawień prywatności, wyświetlanie powiadomień i dostęp do kart otwartych w przeglądarce.

W ramach ataku wykorzystano również Scanbox – znane z tego, że były używane przez innych chińskich hakerów, a także powiązany z Wietnamem OceanLotus.

Analiza kodu FriarFox pozwoliła Proofpoint powiązać rozszerzenie z aktywnością TA413, podczas gdy wykorzystana infrastruktura ujawniła atakowanie organizacji tybetańskich od początku stycznia 2021 r. Szkodliwe pliki wykorzystywane w atakach zostały utworzone przy użyciu narzędzia Royal Road, które jest współdzielone między chińskimi grupami APT.

Microsoft dzieli się narzędziami do analizy kodu po największym cyberataku w historii

Microsoft ogłosił w czwartek, że otwiera kod źródłowy zapytań CodeQL, których używał podczas dochodzenia w sprawie ataku SolarWinds.

Firma opublikowała kilka raportów zawierających informacje o zastosowanych technikach, napastnikach i zakresie incydentu, a w tym tygodniu zdecydował się udostępnić niektóre narzędzia wykorzystywane w dochodzeniu.

Firma udostępniła kod źródłowy zapytań CodeQL, który wykorzystał do analizy swojego kodu na dużą skalę i zidentyfikowania wszelkich wskaźników naruszenia bezpieczeństwa (IoC) na poziomie kodu.

Microsoft podkreśla również, że przeglądy będą nadal wymagane, aby zapewnić prawidłowe wyniki, oraz że złośliwy aktor może używać innych funkcji i stylów kodowania w różnych operacjach, co oznacza, że te zapytania nie będą w stanie wykryć implantów, które znacznie odbiegają od normy.

Firma technologiczna wyjaśnia również, że zdecydowała się na współpracę z CodeQL do tej analizy, ponieważ silnik umożliwia utworzenie „bazy danych przechwytującej model kompilowanego kodu”, do której można następnie wielokrotnie odpytywać.

Microsoft utworzył zapytania C # przeznaczone do oceny IoC na poziomie kodu dostępnych w repozytorium CodeQL GitHub ze szczegółowymi informacjami o każdym zapytaniu i IoC na poziomie kodu, które próbuje znaleźć w pliku Solorigate-Readme.md. Zawiera również wskazówki dotyczące dokonywania korekt.

„GitHub wkrótce opublikuje wskazówki dotyczące wdrażania tych zapytań dla obecnych klientów CodeQL. Przypominamy, że CodeQL jest bezpłatne dla projektów open source hostowanych przez GitHub ”- zauważa również Microsoft.