Jonathan Greig är journalist baserad i New York City.
Fullständig beskrivning den 25 januari 2022 | Ämne: Säkerhet
Hackare använder Microsoft OneDrive i en spionagekampanj i flera steg riktad mot högt uppsatta regeringstjänstemän i västra Asien, enligt en ny rapport från Trellix.
Forskare med Trellix kallade den inblandade skadliga programvaran “Graphite” eftersom den använder Microsofts Graph API för att utnyttja OneDrive som en kommando- och kontrollserver. Attacken utnyttjar en MSHTML-fjärrkörningssårbarhet (CVE-2021-40444) för att exekvera en skadlig körbar fil i minnet, enligt Trellix.
“Som sett i analysen av Graphite malware, är en ganska innovativ funktionalitet användningen av OneDrive-tjänsten som en kommando och kontroll genom att söka efter Microsoft Graph API med en hårdkodad token i skadlig programvara. Denna typ av kommunikation tillåter skadlig programvara att försvinna obemärkt i offrens system eftersom det bara kommer att ansluta till legitima Microsoft-domäner och inte visar någon misstänkt nätverkstrafik”, förklarade Trellix.
Christiaan Beek, ledande forskare vid Trellix Threat Labs, berättade för ZDNet att han var förvånad över att se Microsoft OneDrive användas som en kommando- och kontrollservermekanism, och noterade att det var “ett nytt sätt att snabbt interagera med de infekterade maskinerna genom att dra de krypterade kommandona in i offrets mappar.”
“Nästa OneDrive skulle synkroniseras med offrets maskiner och krypterade kommandon som kördes, varefter den begärda informationen krypterades och skickades tillbaka till angriparens OneDrive,” sa Beek och tillade att vad som stod ut mest för honom var “tillvägagångssättet i flera steg med en ny teknik, flera prover på skadlig programvara och skådespelarens operativa säkerhet.”
Beek noterade att attacken var framgångsrik men ville inte dela mer information om hackarnas mål och sa att utredningen fortfarande pågår. Attacken förbereddes i juli 2021 och utplacerades så småningom mellan september och 5 november, enligt Trellix-rapporten.
Trellixs Marc Elias sa att det var inriktat på “regeringstjänstemän som övervakar nationell säkerhetspolitik och individer inom försvarsindustrin.”
Elias skrev att attacken är uppdelad i flera stadier så att den förblir så dold som möjligt och sa att även om det var svårt att tillskriva sig, fanns det vissa bevis på den potentiella gärningsmannen.
“Ett antal av attackindikatorerna och uppenbara geopolitiska mål liknar de som är förknippade med den tidigare upptäckta hotaktören APT28. Även om vi inte tror på att tillskriva någon kampanj enbart baserat på sådana bevis, har vi en måttlig nivå av förtroende för att vårt antagande är korrekt “, skrev Elias. “När det är sagt, vi är ytterst övertygade om att vi har att göra med en mycket skicklig aktör baserat på hur infrastruktur, kodning av skadlig kod och drift konfigurerades.”
Det första steget av attacken involverar “sannolikt” ett spjutfiske. e-post som syftar till att locka offer att öppna en Excel-fil med namnet “parliament_rew.xlsx.”
Andra tekniker hjälper angriparen att komma runt vissa antivirus-skanningsmotorer och kontorsanalysverktyg, så att den kan fortsätta oupptäckt.
“Det är mycket troligt att utvecklarna av Graphite använde Empire OneDrive Stager som referens på grund av likheterna mellan funktionaliteten och filstrukturen som används i OneDrive-kontot för skådespelarna”, förklarade studien.
“Ett av lockbetsdokumenten vi nämnde tidigare (som heter 'parliament_rew.xlsx') kan ha varit inriktat på statligt anställda. Förutom att rikta in sig på statliga enheter verkar det som att denna motståndare också har siktet inställt på försvarsindustrin. Ett annat dokument med namnet ' Missions Budget.xlsx' innehöll texten 'Militära och civila uppdrag och operationer' och budgetarna i dollar för militära operationer i vissa länder för åren 2022 och 2023.”
Från deras telemetri upptäckte de att Polen och andra östeuropeiska länder var av intresse för hackarna och noterade att lockbetsdokumenten “visar att dess aktiviteter är centrerade i specifika regioner och branscher.”
Rapporten noterar att attackerna inträffade under gränsspänningarna mellan Armenien och Azerbajdzjan. Hackarna bakom projektet arbetade bara från måndag till fredag, enligt Trellix, och tidsstämplarna visar att de bara arbetade under normala arbetstider i tidszonen GMT+3, som inkluderar Moskvatid, Turkietstid, Arabiens standardtid och Östafrika Tid.
“En annan intressant upptäckt under utredningen var att angriparna använde CLSID (D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D) för uthållighet, vilket matchade en ESET-rapport där forskare nämnde en rysk operation riktad mot östeuropeiska länder. Analysera och jämföra kodblock och sekvenser från grafitskadlig programvara med vår databas med prover, upptäckte vi överlappning med prover under 2018 som tillskrevs APT28,” förklarade Trellix.
“Även om vi nämnde vissa taktiker, tekniker och procedurer (TTP) från aktörerna bakom denna kampanj, har vi helt enkelt inte tillräckligt med sammanhang, likheter eller överlappning för att peka oss med lågt/måttligt självförtroende mot APT28, låt oss ensam en nationalstatssponsor. Men vi tror att vi har att göra med en skicklig aktör baserat på hur infrastrukturen, kodningen av skadlig kod och driften konfigurerades.”
Säkerhet
Cybersäkerhet : 11 steg att ta när hotnivåerna ökar. Hon litade inte på sina flyttar. En enda Apple AirTag bevisade att hon hade rätt Hur tekniken är ett vapen i moderna övergrepp i hemmet Log4J: Microsoft upptäcker angripare som riktar sig mot SolarWinds sårbarhet Det bästa antivirusprogrammet och apparna: Håll din dator, telefon och surfplatta säker Regering | Säkerhets-TV | Datahantering | CXO | Datacenter