Windows op internet gerichte servers worden het doelwit van een nieuwe dreigingsactor die “bijna volledig in-memory” werkt, volgens een nieuw rapport van het Sygnia Incident Response-team.
In het rapport staat dat de geavanceerde en aanhoudende bedreigingsacteur — die ze “Praying Mantis” of “TG1021” hebben genoemd — meestal deserialisatie-aanvallen gebruikte om een volledig vluchtig, aangepast malwareplatform te laden dat is afgestemd op de Windows-omgeving. IIS-omgeving.
“TG1021 gebruikt een op maat gemaakt malware-framework, gebouwd rond een gemeenschappelijke kern, op maat gemaakt voor IIS-servers. De toolset is volledig vluchtig, wordt reflectief geladen in het geheugen van een getroffen machine en laat weinig tot geen sporen achter op geïnfecteerde doelen”, aldus het rapport. onderzoekers schreven.
“De dreigingsactor gebruikte de toegang die werd geboden met behulp van het IIS om de extra activiteit uit te voeren, waaronder het verzamelen van inloggegevens, verkenning en zijwaartse beweging.”
Het afgelopen jaar was het incidentresponsteam van het bedrijf gedwongen te reageren op een aantal gerichte cyberinbraakaanvallen gericht op verschillende prominente organisaties die Sygnia niet noemde.
“Praying Mantis” slaagde erin hun netwerken in gevaar te brengen. door gebruik te maken van op internet gerichte servers, en het rapport merkt op dat de waargenomen activiteit suggereert dat de dreigingsactor zeer bekend is met het Windows IIS-platform en is uitgerust met 0-day exploits.
“De kerncomponent, geladen op internetgerichte IIS-servers, onderschept en verwerkt elk HTTP-verzoek dat door de server wordt ontvangen. TG1021 gebruikt ook een extra onopvallende achterdeur en verschillende post-exploitatiemodules om netwerkverkenning uit te voeren, privileges te verhogen en lateraal binnen netwerken te bewegen ’, aldus het rapport.
“De aard van de activiteit en de algemene modus-operandi suggereren dat TG1021 een ervaren stealthy-acteur is die zich zeer bewust is van de beveiliging van operaties. De malware die door TG1021 wordt gebruikt, toont een aanzienlijke inspanning om detectie te voorkomen, zowel door actief te interfereren met logmechanismen, en met succes commerciële EDR's en door stil te wachten op inkomende verbindingen, in plaats van terug te verbinden met een C2-kanaal en continu verkeer te genereren.”
De acteurs achter “Praying Mantis” waren in staat om alle schijf-resident tools te verwijderen nadat ze ze hadden gebruikt, waardoor ze de persistentie in ruil voor stealth in feite opgaf.
De onderzoekers merkten op dat de technieken van de actoren lijken op de technieken die worden genoemd in een advies van juni 2020 van het Australian Cyber Security Centre, dat waarschuwde voor 'kopieer-plak-compromissen'.
Het Australische bericht zei dat de aanvallen werden gelanceerd door “geavanceerde, door de staat gesteunde actor” die “de meest significante, gecoördineerde cyber-targeting tegen Australische instellingen vertegenwoordigde die de Australische regering ooit heeft waargenomen.”
Een ander bericht zei de aanvallen waren specifiek gericht op Australische overheidsinstellingen en bedrijven.
“De acteur maakte gebruik van verschillende exploits gericht op internet-acing-servers om de eerste toegang tot doelnetwerken te krijgen. Deze exploits misbruiken deserialisatiemechanismen en bekende kwetsbaarheden in webapplicaties en worden gebruikt om geavanceerde geheugenresidente malware uit te voeren die als een achterdeur fungeert.” aldus het Sygnia-rapport.
“De dreigingsactor gebruikt een arsenaal aan exploits van webapplicaties en is een expert in de uitvoering ervan. De snelheid en veelzijdigheid van de operatie in combinatie met de verfijning van post-exploitatie-activiteiten suggereren dat een geavanceerde en zeer bekwame actor de operaties.”
De dreigingsactoren maken gebruik van meerdere kwetsbaarheden om aanvallen uit te voeren, waaronder een kwetsbaarheid van 0 dagen in verband met een onveilige implementatie van het deserialisatiemechanisme binnen de “Checkbox Survey”-webtoepassing.
Ze maakten ook gebruik van IIS-servers en de standaard VIEWSTATE deserialisatieproces om weer toegang te krijgen tot gecompromitteerde machines en
“Deze techniek werd door TG1021 gebruikt om lateraal tussen IIS-servers binnen een omgeving te bewegen. Een eerste IIS-server werd gecompromitteerd met behulp van een van de hierboven genoemde deserialisatiekwetsbaarheden. Van daaruit kon de dreigingsactor verkenningsactiviteiten uitvoeren op een gerichte ASP .NET-sessiestatus MSSQL-server en voer de exploit uit”, aldus het rapport.
Het voegde eraan toe dat de bedreigingsactoren ook hebben geprofiteerd van kwetsbaarheden met Telerik-producten, waarvan sommige een zwakke versleuteling hebben.
Sygnia-onderzoekers stelden voor om alle .NET-deserialisatiekwetsbaarheden te patchen, te zoeken naar bekende indicatoren van compromis, internetgerichte IIS-servers te scannen met een reeks Yara-regels en op zoek te gaan naar verdachte activiteiten in internetgerichte IIS-omgevingen.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Gegevensbeheer Beveiliging TV CXO-datacenters 