Oekraïne doelwit van cyberaanval waarbij misbruik wordt gemaakt van een zeven jaar oude Microsoft Office-fout

Cybersecurity-onderzoekers hebben een gerichte operatie tegen Oekraïne ontdekt waarbij gebruik is gemaakt van een bijna zeven jaar oude fout in Microsoft Office om Cobalt Strike uit te voeren op gecompromitteerde systemen.

De aanvalsketen, die volgens Deep Instinct eind 2023 plaatsvond, gebruikt een PowerPoint-diavoorstellingbestand (“signal-2023-12-20-160512.ppsx”) als uitgangspunt, waarbij de bestandsnaam impliceert dat het mogelijk gedeeld via de Signal-app voor instant messaging.

Dat gezegd hebbende, is er geen feitelijk bewijs dat erop wijst dat het PPSX-bestand op deze manier is verspreid, ook al heeft het Computer Emergency Response Team van Oekraïne (CERT-UA) twee verschillende campagnes ontdekt die de berichten-app als malware-levering hebben gebruikt. vector in het verleden.

Vorige week maakte het bureau bekend dat de Oekraïense strijdkrachten steeds vaker het doelwit zijn van de UAC-0184-groep via berichten- en datingplatforms om malware zoals HijackLoader (ook bekend als GHOSTPULSE en SHADOWLADDER), XWorm en Remcos RAT, evenals open-source te leveren. programma's zoals sigtop en tusc om gegevens van computers te exfiltreren.

Cyberbeveiliging

“Het PPSX-bestand (PowerPoint-diavoorstelling) lijkt een oude handleiding van het Amerikaanse leger te zijn voor mijnenruimingsbladen (MCB) voor tanks”, zei veiligheidsonderzoeker Ivan Kosarev. “Het PPSX-bestand bevat een externe relatie met een extern OLE-object.”

Het gaat hierbij om de exploitatie van CVE-2017-8570 (CVSS-score: 7,8), een nu gepatchte bug in Office voor het uitvoeren van externe code waarmee een aanvaller willekeurige acties kan uitvoeren door een slachtoffer ervan te overtuigen een speciaal vervaardigd bestand te openen, een script op afstand gehost op weavesilk[.]ruimte.

Het zwaar versluierde script lanceert vervolgens een HTML-bestand met JavaScript-code, dat op zijn beurt persistentie op de host instelt via het Windows-register en een volgende fase-payload laat vallen die de Cisco AnyConnect VPN-client nabootst.

De payload omvat een dynamic-link bibliotheek (DLL) die uiteindelijk een gekraakte Cobalt Strike Beacon, een legitieme pentesttool, rechtstreeks in het systeemgeheugen injecteert en wacht op verdere instructies van een command-and-control (C2) server (“petapixel[.]plezier”).

De DLL bevat ook functies om te controleren of deze op een virtuele machine wordt uitgevoerd en om detectie door beveiligingssoftware te omzeilen.

Deep Instinct zei dat het de aanvallen niet kon koppelen aan een specifieke dreigingsactoren of -groep, noch de mogelijkheid van een red teaming-oefening kon uitsluiten. Ook onduidelijk is het exacte einddoel van de inbraak.

“Het lokmiddel bevatte militair-gerelateerde inhoud, wat erop wijst dat het op militair personeel was gericht”, zei Kosarev.

“Maar de domeinnamen weavesilk[.]ruimte en petapixel[.]fun zijn vermomd als een obscure generatieve kunstsite (weavesilk[.]com) en een populaire fotografiesite (petapixel[.]com). Deze hebben niets met elkaar te maken, en het is een beetje verwarrend waarom een ​​aanvaller deze specifiek zou gebruiken om militair personeel voor de gek te houden.”

De onthulling komt op het moment dat CERT-UA onthulde dat ongeveer twintig energie-, water- en verwarmingsleveranciers in Oekraïne het doelwit zijn van een door de Russische staat gesponsorde groep genaamd UAC-0133, een subcluster binnen Sandworm (ook bekend als APT44, FROZENBARENTS, Seashell Blizzard, UAC-0002 en Voodoo Bear), die verantwoordelijk is voor een groot deel van alle ontwrichtende en destructieve operaties tegen het land.

Bij de aanvallen, die tot doel hadden kritieke operaties te saboteren, wordt gebruik gemaakt van malware zoals Kapeka (ook bekend als ICYWELL, KnuckleTouch, QUEUESEED en wrongsens) en de Linux-variant BIASBOAT, evenals GOSSIPFLOW en LOADGRIP.

Cyberbeveiliging

Terwijl GOSSIPFLOW een op Golang gebaseerde SOCKS5-proxy is, is LOADGRIP een ELF-binair bestand geschreven in C dat wordt gebruikt om BIASBOAT te laden op gecompromitteerde Linux-hosts.

Sandworm is een productieve en zeer adaptieve dreigingsgroep die verbonden is met eenheid 74455 binnen het hoofddirectoraat van de generale staf van de strijdkrachten van de Russische Federatie (GRU). Het is bekend dat het actief is sinds ten minste 2009, waarbij de tegenstander ook verbonden is met drie hack-and-leak hacktivistische persona's zoals XakNet Team, CyberArmyofRusland_Reborn en Solntsepek.

“Gesponsord door de Russische militaire inlichtingendienst is APT44 een dynamische en operationeel volwassen dreigingsacteur die actief betrokken is bij het volledige spectrum van spionage-, aanvals- en beïnvloedingsoperaties”, aldus Mandiant, die de geavanceerde persistente dreiging (APT) beschrijft als betrokken bij een multi- Er wordt sinds januari 2022 een diepgaande inspanning geleverd om Rusland te helpen een oorlogsvoordeel te behalen.

“APT44-operaties hebben een mondiale reikwijdte en weerspiegelen de brede nationale belangen en ambities van Rusland. De activiteitspatronen in de loop van de tijd geven aan dat APT44 is belast met een reeks verschillende strategische prioriteiten en door het Kremlin hoogstwaarschijnlijk wordt gezien als een flexibel machtsinstrument dat in staat is het dienen van zowel blijvende als opkomende inlichtingenbehoeften.”

Thijs Van der Does