Korisnici koji govore kineski su meta kampanje “visoko organiziranog i sofisticiranog napada” koja vjerovatno koristi phishing emailove kako bi zarazila Windows sisteme korisnim opterećenjem Cobalt Strike.
“Napadači su uspjeli da se pomjere bočno, uspostave upornost i ostanu neotkriveni unutar sistema više od dvije sedmice”, rekli su istraživači Securonixa Den Iuzvyk i Tim Peck u novom izvještaju.
Tajna kampanja, kodnog naziva SLOW#TEMPEST i koja se ne pripisuje nijednom poznatom hakeru, počinje sa zlonamjernim ZIP datotekama koje, kada se raspakuju, aktiviraju lanac infekcije, što dovodi do postavljanja kompleta alata nakon eksploatacije na narušene sisteme.
Uz ZIP arhivu je datoteka Windows prečice (LNK) koja se maskira kao datoteka Microsoft Worda, “违规远程控制软件人员名单.docx.lnk”, što otprilike znači “Lista ljudi koji su prekršili propise za daljinsko upravljanje .”
“S obzirom na jezik koji se koristi u datotekama mamaca, vjerovatno je da bi određeni kineski poslovni ili državni sektori mogli biti ciljani jer bi oba zapošljavala pojedince koji slijede ‘propise o softveru za daljinsko upravljanje'”, istakli su istraživači.
LNK datoteka djeluje kao kanal za pokretanje legitimnog Microsoft binarnog (“LicensingUI.exe”) koji koristi DLL bočno učitavanje za izvršavanje lažnog DLL-a (“dui70.dll”). Obje datoteke su dio ZIP arhive unutar direktorija pod nazivom “\其他信息\.__MACOS__\._MACOS_\__MACOSX\_MACOS_.” Napad je prvi put da je prijavljeno bočno učitavanje DLL-a preko LicensingUI.exe.
DLL datoteka je Cobalt Strike implant koji omogućava uporan i prikriven pristup zaraženom hostu, dok uspostavlja kontakt sa udaljenim serverom (“123.207.74[.]22”).
Kaže se da je daljinski pristup omogućio napadačima da provedu niz praktičnih aktivnosti, uključujući postavljanje dodatnog tereta za izviđanje i postavljanje proksi veze.
Lanac infekcije je također značajan po postavljanju zakazanog zadatka za periodično izvršavanje zlonamjernog izvršnog fajla pod nazivom “lld.exe” koji može pokrenuti proizvoljni shellcode direktno u memoriji, ostavljajući tako minimalne otiske na disku.
„Napadači su dalje sebi omogućili da se sakriju u korov u narušenim sistemima ručnim podizanjem privilegija ugrađenog korisničkog naloga za goste“, rekli su istraživači.
“Ovaj nalog, obično onemogućen i minimalno privilegovan, transformisan je u moćnu pristupnu tačku dodavanjem u kritičnu administrativnu grupu i dodeljivanjem nove lozinke. Ovaj backdoor im omogućava da zadrže pristup sistemu uz minimalnu detekciju, kao nalog za goste često se ne prati tako pažljivo kao drugi korisnički nalozi.”
Nepoznati akter prijetnje je naknadno nastavio da se kreće bočno preko mreže koristeći Remote Desktop Protocol ( RDP ) i kredencijale dobijene preko Mimikatz alata za ekstrakciju lozinke, nakon čega je uspostavio udaljene veze natrag na njihov server za komandu i kontrolu (C2) sa svakog od te mašine.
Fazu nakon eksploatacije dalje karakterizira izvršavanje nekoliko naredbi za nabrajanje i korištenje alata BloodHound za izviđanje aktivnog direktorija (AD), čiji su rezultati zatim eksfiltrirani u obliku ZIP arhive.
Veze sa Kinom su pojačane činjenicom da sve C2 servere u Kini hostuje Shenzhen Tencent Computer Systems Company Limited. Povrh toga, većina artefakata povezanih s kampanjom potječe iz Kine.
“Iako nije bilo čvrstih dokaza koji povezuju ovaj napad s bilo kojom poznatom APT grupom, vjerovatno ga je orkestrirao iskusni akter prijetnje koji je imao iskustva u korištenju naprednih okvira za eksploataciju kao što je Cobalt Strike i širok spektar drugih alata nakon eksploatacije”, istraživači zaključio.
“Složenost kampanje je očigledna u njenom metodičnom pristupu početnom kompromisu, upornosti, eskalaciji privilegija i bočnom kretanju kroz mrežu.”
Izvor: TheHackerNews
