Συνεχιζόμενες επιθέσεις APT σε οργανισμούς στην περιοχή Ρωσίας-Ουκρανίας

την 21 Μαρτίου, 2023 10:37

Τον Οκτώβριο του 2022, οι ερευνητές της Kaspersky ανακάλυψαν μια εξελισσόμενη εκστρατεία τύπου APT που στόχευε στην περιοχή που επλήγη από τη σύρραξη Ρωσίας Ουκρανίας.

Με τίτλο “CommonMagic”, αυτή η εκστρατεία κατασκοπείας λειτουργεί τουλάχιστον από τον Σεπτέμβριο του 2021 χρησιμοποιώντας άγνωστο κακόβουλο λογισμικό για τη συλλογή πληροφοριών από τους στόχους της. Οι στόχοι περιλαμβάνουν οργανισμούς διοίκησης, γεωργίας και μεταφορών που βρίσκονται στις περιοχές Ντονέτσκ, Λουγκάνσκ και Κριμαία.

Οι επιθέσεις εκτελούνται με τη χρήση ενός PowerShell-based backdoor με την ονομασία PowerMagic και ενός νέου κακόβουλου πλαισίου που ονομάζεται CommonMagic. Το τελευταίο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, να συλλέγει δεδομένα και να τα στέλνει στον εισβολέα. Ωστόσο, το δυναμικό της δεν περιορίζεται σε αυτές τις δύο λειτουργίες, καθώς η δομή των πλαισίων επιτρέπει την εισαγωγή επιπλέον κακόβουλων δραστηριοτήτων μέσω νέων κακόβουλων ενοτήτων.

Οι επιθέσεις πιθανώς ξεκίνησαν μέσω “spear phishing” ή παρόμοιων μεθόδων όπως υποδεικνύεται από τα επόμενα βήματα στην αλυσίδα μολύνσεων. Οι στόχοι οδηγήθηκαν σε μια διεύθυνση URL, η οποία με τη σειρά της οδήγησε σε ένα αρχείο ZIP που φιλοξενείται σε έναν κακόβουλο server. Το αρχείο περιείχε ένα κακόβουλο αρχείο που ανέπτυξε το backdoor του PowerMagic και ένα φαινομενικά αθώο έγγραφο που είχε σκοπό να παραπλανήσει τα θύματα ώστε να πιστέψουν ότι το περιεχόμενο ήταν νόμιμο. Η Kaspersky ανακάλυψε μια σειρά από τέτοια αρχεία με τίτλους που παραπέμπουν σε διάφορα διατάγματα οργανισμών που σχετίζονται με τις περιοχές.

Μόλις το θύμα κάνει λήψη του αρχείου και κάνει κλικ στη συντόμευση του αρχείου, θα μολυνθεί από το PowerMagic backdoor. Το backdoor λαμβάνει εντολές από έναν απομακρυσμένο φάκελο που βρίσκεται σε μια δημόσια υπηρεσία αποθήκευσης στο cloud, εκτελώντας εντολές που αποστέλλονται από τον server και, στη συνέχεια, αποστέλλει τα αποτελέσματα της εκτέλεσης πίσω στο cloud. Το PowerMagic έχει επίσης ρυθμιστεί στο σύστημα ώστε να εκκινείτε συνεχώς και αυτόματα κατά την ενεργοποίηση της μολυσμένης συσκευής.

Όλοι οι στόχοι του PowerMagic που παρατήρησε η Kaspersky μολύνθηκαν επίσης από ένα αρθρωτό πλαίσιο που ονομάστηκε CommonMagic. Αυτό δείχνει ότι το CommonMagic είναι πιθανό να αναπτυχθεί από το PowerMagic, αν και δεν είναι σαφές από τα διαθέσιμα δεδομένα πώς λαμβάνει χώρα η μόλυνση.

Το πλαίσιο του CommonMagic αποτελείται από πολλές ενότητες. Κάθε λειτουργική ενότητα του πλαισίου είναι ένα εκτελέσιμο αρχείο που εκκινείτε με ξεχωριστή διαδικασία, με δυνατότητα επικοινωνίας μεταξύ των ενοτήτων.

Το πλαίσιο έχει τη δυνατότητα να κλέβει αρχεία από συσκευές USB, καθώς και να λαμβάνει στιγμιότυπα οθόνης κάθε τρία δευτερόλεπτα και να τα στέλνει στον εισβολέα.

At the time of writing, no direct links exist between the code and data used in this campaign and any previously known ones. However, as the campaign is still active and investigation is still in progress, it is possible further research will reveal additional information that could aid in attributing this campaign to a specific threat actor. The limited victimology and the topic of the lures suggest that the attackers likely have a specific interest in the geopolitical situation in the region of the crisis.

Κατά τη στιγμή της σύνταξης του παρόντος κειμένου, δεν υπάρχουν άμεσοι δεσμοί μεταξύ του κώδικα και των δεδομένων που χρησιμοποιούνται σε αυτήν την καμπάνια και άλλων που έχουν εντοπιστεί παλαιότερα. Ωστόσο, δεδομένου ότι η εκστρατεία είναι ακόμη ενεργή και η έρευνα βρίσκεται ακόμη σε εξέλιξη, είναι πιθανό να υπάρξουν περαιτέρω πληροφορίες που θα αποκαλυφθούν από πρόσθετες έρευνες οι οποίες θα μπορέσουν να αποτελέσουν αρωγό στην απόδοση της εκστρατείας σε συγκεκριμένο απειλητικό φορέα. Τα περιορισμένα θύματα και η «θεματολογία» των δολωμάτων δείχνουν ότι οι δράστες ενδέχεται να έχουν ιδιαίτερο ενδιαφέρον για τη γεωπολιτική κατάσταση στην περιοχή αυτή.

«Η γεωπολιτική επηρεάζει πάντα το τοπίο των απειλών στον κυβερνοχώρο και οδηγεί στην εμφάνιση νέων απειλών. Παρακολουθούμε τις δραστηριότητες που συνδέονται με τη σύγκρουση Ρωσίας-Ουκρανίας εδώ και αρκετό καιρό, και αυτή είναι μια από τις τελευταίες ανακαλύψεις μας. Αν και το κακόβουλο λογισμικό και οι τεχνικές που χρησιμοποιούνται στην εκστρατεία CommonMagic δεν είναι ιδιαίτερα εξελιγμένα, η χρήση του χώρου αποθήκευσης στο cloud ως υποδομής ελέγχου και χειρισμού είναι αξιοσημείωτη. Θα συνεχίσουμε την έρευνά μας και ελπίζουμε ότι θα μπορέσουμε να μοιραστούμε περισσότερες πληροφορίες για αυτήν την εκστρατεία», σχολιάζει ο Leonid Besverzhenko, ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky (GReAT).

Προκειμένου να αποφύγετε να πέσετε θύμα στοχευμένης επίθεσης, είτε από γνωστό, είτε άγνωστο απειλητικό φορέα, οι ερευνητές της Kaspersky συνιστούν την εφαρμογή των παρακάτω μέτρων:

-Παροχή πρόσβασης της ομάδας SOC στην πιο πρόσφατη πληροφόρηση απειλών (TI). Το Kaspersky Threat Intelligence Portal είναι ένα μοναδικό σημείο πρόσβασης για τα TI της εταιρείας, παρέχοντας δεδομένα και πληροφορίες για επιθέσεις στον κυβερνοχώρο που συγκεντρώνει η Kaspersky για περισσότερα από 20 χρόνια.

-Αναβάθμιση των ικανοτήτων της ομάδας για την ασφάλεια στον κυβερνοχώρο, ώστε να αντιμετωπίζει τις πιο πρόσφατες απειλές, με την εκπαίδευση της Kaspersky στο Διαδίκτυο, η οποία αναπτύχθηκε από εξαιρετικού επιπέδου ειδικούς (GReAT).

-Για την ανίχνευση επιπέδου τερματικού σημείου, τη διερεύνηση και την έγκαιρη αποκατάσταση περιστατικών, ενδείκνυται η υλοποίηση λύσεων EDR, όπως Kaspersky Endpoint Detection and Response.

-Εκτός από την υιοθέτηση βασικής προστασίας τερματικού σημείου, εφαρμόστε μια λύση ασφάλειας εταιρικού επιπέδου που εντοπίζει προηγμένες απειλές σε επίπεδο δικτύου σε πρώιμο στάδιο, όπως το Kaspersky Anti Attack Platform.

-Καθώς πολλές στοχεύμενες επιθέσεις ξεκινούν με ηλεκτρονικό “ψάρεμα” ή άλλες τεχνικές κοινωνικής μηχανικής, η εκπαίδευση των υπαλλήλων σχετικά με την ασφάλεια και η γνώση πρακτικών δεξιοτήτων είναι δέουσας σημασίας – για παράδειγμα, μέσω του Kaspersky Automated Security Awareness Platform.