Danny Palmer Senior Reporter
Danny Palmer er seniorreporter i ZDNet. Basert i London, skriver han om problemer, inkludert nettsikkerhet, hacking og trusler mot skadelig programvare.
Full bio 6. desember 2021 | Emne: Sikkerhet 
Hvorfor de samme gamle cyberangrepene fortsatt er så vellykkede, og hva som må gjøres for å stoppe dem Se nå
En russisk-regjeringens back-hacking-gruppe knyttet til SolarWinds forsyningskjedeangrep har utviklet ny skadelig programvare som har blitt brukt til å utføre angrep mot bedrifter og myndigheter i Nord-Amerika og Europa i en kampanje designet for å i hemmelighet kompromittere nettverk, stjele informasjon og legge grunnlaget for fremtidige angrep.
Angrepene involverer også kompromittering av flere sky- og administrerte tjenesteleverandører som en del av en kampanje designet for å gjøre det mulig for hackere å få tilgang til klienter nedstrøms fra leverandørene i forsyningskjedeangrep.
Den omfattende kampanjen er detaljert av cybersikkerhetsforskere ved Mandiant som har knyttet den til to hackergrupper de refererer til som UNC3004 og UNC2652.
Mandiant assosierer disse gruppene med UNC2452 – også kjent som Nobelium i rapporter fra Microsoft – en hackeroperasjon som jobber på vegne av den russiske utenlandske etterretningstjenesten og bak cyberangrepet mot SolarWinds.
Men selv om hver av disse hackingoperasjonene fungerer utenfor Russland og ser ut til å dele lignende mål, kan forskerne ikke si sikkert at de alle er en del av en enhet.
“Selv om det er sannsynlig at de er samme gruppe, har Mandiant for øyeblikket ikke nok bevis til å ta denne avgjørelsen med stor selvtillit,” heter det i rapporten.
De nylig detaljerte kampanjene inkluderer bruk av en spesialutviklet malware nedlaster som forskere har kalt Ceeloader.
Skrevet i programmeringsspråket C, dekrypterer skadelig programvare shellcode-nyttelaster som skal kjøres i minnet til offerets Windows-maskin, og muliggjør distribusjon av ytterligere skadelig programvare. Ceeloader skjuler seg fra gjenkjenning med bruk av store blokker med søppelkode som gjør den skadelige koden uoppdagelig for antivirusprogramvare.
“Et obfuskeringsverktøy har blitt brukt for å skjule koden i Ceeloader mellom store blokker med søppelkode med meningsløse oppkall til Windows API. De meningsfulle kallene til Windows API er skjult i skjulte innpakningsfunksjoner som dekrypterer navnet på APIen og dynamisk. løs det før du ringer,” heter det i rapporten.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
Det er ikke klart hvordan Ceeloader er distribuert, men det gir en snikende gateway for ytterligere ondsinnet aktivitet.
Andre taktikker som angriperne bruker inkluderer misbruk av det legitime penetrasjonstestverktøyet Cobalt Strike for å plassere en bakdør på det kompromitterte systemet som kan brukes til å utføre kommandoer og overføre filer, samt gi en keylogger som kan brukes til å stjele brukernavn og passord.
I tillegg til distribusjon av skadelig programvare, har angriperne kompromittert mål via skytjenester.
I likhet med andre russisk-tilknyttede hacking-kampanjer, er disse angrepene også rettet mot påloggingsinformasjon for eksternt skrivebordsprotokoll (RDP).
Men uansett hvordan nettverket ble kompromittert, ser det ut til at organisasjonene under angrep er på linje med de som ble målrettet i tidligere kampanjer som ble tilskrevet den russiske staten.
“Vi har sett denne trusselaktøren til syvende og sist sikte mot offentlige enheter, konsulentorganisasjoner og frivillige organisasjoner i Nord-Amerika og Europa som direkte har data av interesse for den russiske regjeringen. I noen tilfeller kompromitterte de først teknologiløsninger, tjenester og forhandlerselskaper i Nord. Amerika og Europa som har tilgang til mål som er av ytterste interesse for dem,” sa Douglas Bienstock, konsulentsjef i Mandiant til ZDNet.
For angriperne er målretting mot skytjenesteleverandører via de nye og eksisterende metodene for kompromiss som er beskrevet i rapporten, fortsatt en av nøkkelmetodene for å kompromittere et bredt spekter av organisasjoner. Ved å kompromittere leverandøren har de potensial til å få tilgang til systemer til kunder.
Hendelser som SolarWinds forsyningskjedeangrep tilskrevet den russiske staten, pluss cyberkriminelle aktiviteter som Kaseya forsyningskjede-kompromiss og løsepengevareangrep har vist hvilket kraftig verktøy dette kan være for fiendtlige cyberkampanjer – og det er grunnen til at skyleverandører og deres tjenester fortsatt er en fremtredende mål.
“Ved å kompromittere miljøet til en enkelt skytjenesteleverandør, kan trusselaktøren få tilgang til nettverkene til flere organisasjoner de er interessert i som er kunder til den leverandøren. På denne måten kan trusselaktøren fokusere sin innsats på en liten antall organisasjoner og deretter høste store belønninger,” sa Bienstock.
Mandiante forskere sier at de er klar over noen få dusin organisasjoner som har blitt påvirket av kampanjer i 2021, og i tilfeller der de har blitt kompromittert av noen angripere, har det blitt tatt skritt for å varsle dem.
Det forventes at de russisk-tilknyttede hackerne – og andre offensive cyberoperasjoner – vil fortsette å målrette mot organisasjoner, forsyningskjeder og skyleverandører over hele verden. Mandiant har tidligere gitt ut råd om å herde nettverk mot angrep, som inkluderer håndheving av multifaktorautentisering for alle brukere.
MER OM CYBERSIKKERHET
Brent av SolarWinds-angrep? USA lanserer verktøy for gjenkjenning etter kompromissSolarWinds hackere, Nobelium, slår igjen globale IT-forsyningskjeder, advarer MicrosoftSupply chain-angrep er hackerens nye favorittvåpen. Og trusselen blir størreSpionsjefens advarsel: Fiendene våre 'øser penger' inn i kvantedatabehandling og AI1 av 15 organisasjoner kjører aktivt utnyttet versjon av SolarWinds: Report< /strong> Sikkerhets-TV | Databehandling | CXO | Datasentre