Danny Palmer Senior Reporter
Danny Palmer er senior reporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 6. december 2021 | Emne: Sikkerhed 
Hvorfor de samme gamle cyberangreb stadig er så vellykkede, og hvad skal der gøres for at stoppe dem Se nu
En russisk regerings-back-hacking-gruppe, der er knyttet til SolarWinds forsyningskædeangreb har udviklet ny malware, som er blevet brugt til at udføre angreb mod virksomheder og regeringer i Nordamerika og Europa i en kampagne designet til hemmeligt at kompromittere netværk, stjæle information og lægge grundlaget. til fremtidige angreb.
Angrebene involverer også kompromittering af flere cloud- og administrerede tjenesteudbydere som en del af en kampagne, der er designet til at gøre det muligt for hackere at få adgang til klienter nedstrøms fra leverandørerne i forsyningskædeangreb.
Den omfattende kampagne er blevet detaljeret af cybersikkerhedsforskere hos Mandiant, som har knyttet den til to hackinggrupper, de omtaler som UNC3004 og UNC2652.
Mandiant forbinder disse grupper med UNC2452 – også kendt som Nobelium i rapporter fra Microsoft – en hackeroperation, der arbejder på vegne af den russiske udenrigsefterretningstjeneste og bag cyberangrebet mod SolarWinds.
Men mens hver af disse hacking-operationer arbejder ude af Rusland og ser ud til at dele lignende mål, kan forskere ikke med sikkerhed sige, at de alle er en del af én enhed.
“Selvom det er sandsynligt, at de er den samme gruppe, har Mandiant i øjeblikket ikke nok beviser til at træffe denne beslutning med stor tillid,” sagde rapporten.
De nyligt detaljerede kampagner inkluderer brugen af en specialudviklet malware downloader, som forskere har kaldt Ceeloader.
Skrevet i programmeringssproget C, dekrypterer malwaren shellcode-nyttelast, der skal udføres i hukommelsen på ofrets Windows-maskine, hvilket muliggør distribution af yderligere malware. Ceeloader skjuler sig fra opdagelse med brug af store blokke af uønsket kode, som gør den ondsindede kode uopdagelig for antivirussoftware.
“Et sløringsværktøj er blevet brugt til at skjule koden i Ceeloader mellem store blokke af uønsket kode med meningsløse kald til Windows API. De meningsfulde kald til Windows API er skjult i slørede indpakningsfunktioner, der dekrypterer navnet på API'en og løs det dynamisk, før du kalder,” står der i rapporten.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Det er ikke klart, hvordan Ceeloader distribueres, men det giver en snigende gateway til yderligere ondsindet aktivitet.
Andre taktikker, som angriberne bruger, omfatter misbrug af det legitime penetrationstestværktøj Cobalt Strike til at placere en bagdør på det kompromitterede system, som kan bruges til at udføre kommandoer og overføre filer, samt at levere en keylogger, der kan bruges til at stjæle brugernavne og adgangskoder.
Ud over implementeringen af malware har angriberne kompromitteret mål via skytjenester.
Ligesom andre russisk-linkede hacking-kampagner er disse angreb også rettet mod remote desktop protocol (RDP) login-legitimationsoplysninger.
Men uanset hvordan netværket blev kompromitteret, ser de angrebne organisationer ud til at være på linje med dem, der var målrettet i tidligere kampagner, der blev tilskrevet den russiske stat.
“Vi har set denne trusselsaktør i sidste ende målrette mod statslige enheder, konsulentorganisationer og ngo'er i Nordamerika og Europa, som direkte har data af interesse for den russiske regering. I nogle tilfælde kompromitterede de først teknologiske løsninger, tjenester og forhandlervirksomheder i Norden. Amerika og Europa, som har adgang til mål, der er af ultimativ interesse for dem, siger Douglas Bienstock, konsulentchef hos Mandiant, til ZDNet.
For angriberne er det stadig en af nøglemetoderne til at kompromittere en lang række organisationer at målrette mod cloud-tjenesteudbydere via de nye og eksisterende kompromismetoder, som er beskrevet i rapporten. Ved at gå på kompromis med leverandøren har de potentialet til at få adgang til kundernes systemer.
Hændelser som SolarWinds forsyningskædeangreb tilskrevet den russiske stat, plus cyberkriminelle aktiviteter som Kaseya supply chain-kompromiset og ransomware-angreb har vist, hvilket kraftfuldt værktøj dette kan være til fjendtlige cyberkampagner – hvilket er grunden til, at cloud-udbydere og deres tjenester fortsat er en fremtrædende mål.
“Ved at kompromittere miljøet for en enkelt cloud-tjenesteudbyder kan trusselsaktøren muligvis få adgang til netværkene hos flere organisationer, de er interesserede i, som er kunder hos den pågældende udbyder. På denne måde kan trusselsaktøren kan fokusere deres indsats på et lille antal organisationer og så høste store belønninger,” sagde Bienstock.
Mandante forskere siger, at de er opmærksomme på et par dusin organisationer, der er blevet påvirket af kampagner i 2021, og i tilfælde, hvor de er blevet kompromitteret af nogen angribere, er der taget skridt til at underrette dem.
Det forventes, at de russisk-tilknyttede hackere – og andre offensive cyberoperationer – vil fortsætte med at målrette mod organisationer, forsyningskæder og cloud-udbydere over hele verden. Mandiant har tidligere udgivet råd om hærdning af netværk mod angreb, som omfatter håndhævelse af multi-faktor-godkendelse på tværs af alle brugere.
MERE OM CYBERSIKKERHED
Brændt af SolarWinds-angreb? USA frigiver værktøj til post-kompromisdetektionSolarWinds hackere, Nobelium, slår igen globale it-forsyningskæder, advarer MicrosoftSupply chain-angreb er hackerens nye foretrukne våben. Og truslen bliver størreSpionchefens advarsel: Vores fjender 'hælder penge' ind i kvantecomputere og AI1 ud af 15 organisationer kører aktivt udnyttet version af SolarWinds: Report< /strong> Sikkerheds-tv | Datastyring | CXO | Datacentre