Αρχιτεκτονική των microservices: Οφέλη και προκλήσεις
12 Ιουνίου, 2024Ψεύτικες ενημερώσεις προγραμμάτων browser διαδίδουν malware
14 Ιουνίου, 2024Μια νέα, εξελιγμένη κυβερνοεπίθεση έχει εντοπιστεί να στοχεύει τελικά σημείο με “γεωεντοπισμό” στην Ουκρανία, με σκοπό την ανάπτυξη του Cobalt Strike και την κατάληψη παραβιασμένων υπολογιστών.
Σύμφωνα με το Fortinet FortiGuard Labs, η αλυσίδα επίθεσης περιλαμβάνει ένα αρχείο Microsoft Excel με ενσωματωμένο VBA macro, το οποίο ενεργοποιεί τη μόλυνση.
“Ο hacker εφαρμόζει μια στρατηγική κακόβουλου λογισμικού για την παράδοση του ‘Cobalt Strike’ και την εγκατάσταση επικοινωνίας με έναν διακομιστή C2,” όπως αναφέρει η ερευνήτρια ασφαλείας Cara Lin σε αναφορά τη Δευτέρα. Η επίθεση αξιοποιεί διάφορες τεχνικές αποφυγής για να εξασφαλίσει την επιτυχή μεταφορά του κακόβουλου λογισμικού.
Το Cobalt Strike, αναπτυγμένο από την Fortra, είναι ένα εργαλείο προσομοίωσης επιθέσεων που χρησιμοποιείται για red teaming, αλλά έχει καταχραστεί από κακόβουλους παράγοντες για κακόβουλες δραστηριότητες. Η επίθεση ξεκινά με ένα έγγραφο Excel που, όταν ανοίγεται, εμφανίζει περιεχόμενο στα ουκρανικά και προτρέπει το θύμα να “Ενεργοποιήσει Περιεχόμενο” για να ενεργοποιηθούν τα macros. Αξίζει να σημειωθεί ότι η Microsoft έχει αποκλείσει τα macros από προεπιλογή στο Office από τον Ιούλιο του 2022.
Με την ενεργοποίηση των macros, το έγγραφο αποκαλύπτει περιεχόμενο σχετικό με τα κεφάλαια που δόθηκαν σε στρατιωτικές μονάδες. Στο παρασκήνιο, το HEX-κωδικοποιημένο macro αναπτύσσει έναν downloader βασισμένο σε DLL μέσω της υπηρεσίας regsvr32. Ο downloader παρακολουθεί τις ενεργές διεργασίες και, αν ανιχνεύσει το Avast Antivirus ή το Process Hacker, τερματίζεται αυτόματα.
Αν δεν εντοπιστούν τέτοιου είδους διεργασίες, συνδέεται με έναν απομακρυσμένο server για να λάβει το επόμενο στάδιο κωδικοποιημένου κακόβουλου λογισμικού, αλλά μόνο αν η συσκευή βρίσκεται στην Ουκρανία. Το αποκωδικοποιημένο αρχείο είναι ένα DLL που εκκινεί ένα άλλο αρχείο DLL, το οποίο λειτουργεί ως injector για την εξαγωγή και εκτέλεση του κακόβουλου λογισμικού.
Η επίθεση καταλήγει στην ανάπτυξη ενός Cobalt Strike Beacon, το οποίο εγκαθιστά επικοινωνία με έναν διακομιστή C2 (“simonandschuster[.]shop”).