Các tổ chức chính phủ ở Ukraine đã bị xâm phạm như một phần của chiến dịch mới tận dụng các phiên bản trojan của tệp cài đặt Windows 10 để tiến hành các hoạt động hậu khai thác.
Mandiant, công ty đã phát hiện ra cuộc tấn công chuỗi cung ứng vào khoảng giữa tháng 7 năm 2022, cho biết các tệp ISO độc hại đã được phân phối qua các trang web Torrent bằng tiếng Ukraina và tiếng Nga. Nó đang theo dõi cụm mối đe dọa là UNC4166.
“Sau khi cài đặt phần mềm bị xâm nhập, phần mềm độc hại sẽ thu thập thông tin trên hệ thống bị xâm nhập và lọc nó”, công ty an ninh mạng cho biết trong một báo cáo chuyên sâu về kỹ thuật được công bố hôm thứ Năm.
Mặc dù không rõ nguồn gốc của tập thể đối thủ, nhưng các cuộc xâm nhập được cho là đã nhắm mục tiêu vào các tổ chức trước đây là nạn nhân của các cuộc tấn công gạt nước gây rối do APT28, một tổ chức được nhà nước Nga tài trợ.
Tệp ISO, theo công ty tình báo mối đe dọa thuộc sở hữu của Google, được thiết kế để vô hiệu hóa việc truyền dữ liệu đo từ xa từ máy tính bị nhiễm sang Microsoft, cài đặt các cửa hậu PowerShell, cũng như chặn các bản cập nhật tự động và xác minh giấy phép.
Mục tiêu chính của hoạt động dường như là thu thập thông tin, với các bộ cấy bổ sung được triển khai cho các máy, nhưng chỉ sau khi tiến hành trinh sát ban đầu môi trường bị xâm nhập để xác định xem nó có chứa thông tin tình báo có giá trị hay không.
Chúng bao gồm Stowaway, một công cụ proxy mã nguồn mở, Cobalt Strike Beacon và SPAREPART, một cửa hậu nhẹ được lập trình bằng C, cho phép kẻ đe dọa thực thi các lệnh, thu thập dữ liệu, chụp các lần nhấn phím và ảnh chụp màn hình, đồng thời xuất thông tin sang máy chủ từ xa.
Trong một số trường hợp, kẻ thù đã cố tải trình duyệt ẩn danh TOR xuống thiết bị của nạn nhân. Mặc dù lý do chính xác cho hành động này không rõ ràng, nhưng người ta nghi ngờ rằng nó có thể được dùng như một con đường lọc thay thế.
SPAREPART, đúng như tên gọi, được đánh giá là một phần mềm độc hại dự phòng được triển khai để duy trì quyền truy cập từ xa vào hệ thống nếu các phương pháp khác không thành công. Nó cũng có chức năng giống với các cửa hậu PowerShell đã bị loại bỏ sớm trong chuỗi tấn công.
“Việc sử dụng các ISO bị trojan hóa là điều mới lạ trong các hoạt động gián điệp và bao gồm các khả năng chống phát hiện cho thấy rằng các tác nhân đằng sau hoạt động này có ý thức bảo mật và kiên nhẫn, vì hoạt động này sẽ cần một thời gian và nguồn lực đáng kể để phát triển và chờ đợi ISO được được cài đặt trên một mạng quan tâm,” Mandiant nói.
Cloud Atlas tấn công Nga và Belarus
Những phát hiện được đưa ra khi Check Point và Công nghệ tích cực tiết lộ các cuộc tấn công được tổ chức bởi một nhóm gián điệp có tên là Cloud Atlas nhằm vào khu vực chính phủ ở Nga, Belarus, Azerbaijan, Thổ Nhĩ Kỳ và Slovenia như một phần của chiến dịch dai dẳng.
Nhóm tin tặc, hoạt động từ năm 2014, có thành tích tấn công các thực thể ở Đông Âu và Trung Á. Nhưng kể từ khi nổ ra cuộc chiến tranh Nga-Ukraine, người ta quan sát thấy nó chủ yếu nhắm vào các thực thể ở Nga, Belarus và Transnistria.
Check Point cho biết trong một phân tích tuần trước: “Các bên tham gia cũng đang duy trì sự tập trung của họ vào Bán đảo Crimea, Lugansk và Donetsk đã sáp nhập vào Nga.
Cloud Atlas, còn được gọi là Clean Ursa, Inception và Oxygen, vẫn chưa được phân bổ cho đến nay, cùng với các APT khác như TajMahal, DarkUniverse và Metador. Nhóm này được đặt tên vì sự phụ thuộc vào các dịch vụ đám mây như OpenDrive để lưu trữ phần mềm độc hại và cho lệnh và kiểm soát (C2).
Các chuỗi tấn công do kẻ thù dàn dựng thường sử dụng các email lừa đảo có chứa tệp đính kèm thu hút làm vectơ xâm nhập ban đầu, cuối cùng dẫn đến việc phân phối tải trọng độc hại thông qua một chuỗi nhiều giai đoạn phức tạp.
Sau đó, phần mềm độc hại tiếp tục bắt đầu liên hệ với máy chủ C2 do tác nhân kiểm soát để truy xuất các cửa hậu bổ sung có khả năng đánh cắp các tệp có phần mở rộng cụ thể từ các điểm cuối bị vi phạm.
Mặt khác, các cuộc tấn công mà Check Point quan sát được sẽ lên đến đỉnh điểm trong một cửa hậu dựa trên PowerShell có tên là PowerShower, lần đầu tiên được ghi nhận bởi Đơn vị 42 của Palo Alto Networks vào tháng 11 năm 2018.
Một số vụ xâm nhập này vào tháng 6 năm 2022 cũng thành công, cho phép kẻ đe dọa có toàn quyền truy cập vào mạng và sử dụng các công cụ như Chocolatey, AnyDesk và PuTTY để củng cố chỗ đứng của chúng.
“Với sự leo thang của cuộc xung đột giữa Nga và Ukraine, trọng tâm của họ trong năm qua là Nga và Belarus và các lĩnh vực ngoại giao, chính phủ, năng lượng và công nghệ của họ, cũng như các khu vực sáp nhập của Ukraine”, Check Point nói thêm.
Nguồn: https://thehackernews.com/2022/12/trojanized-windows-10-installer-used-in.html