Nagodbom kompanije Hill ASC Inc. s američkim Ministarstvom pravde u iznosu od 14,75 miliona dolara okončana je petogodišnja saga u kojoj je izvođač radova sa sjedištem u Rockville-u navodno naplaćivao agencijama „visoko adaptivnu“ podršku u oblasti sajber sigurnosti koju nikada nije bio kvalifikovan pružiti.
Istražitelji kažu da se Hillova prezentacija zasnivala na posebnoj platformi za praćenje krajnjih tačaka koja je tiho instalirala program za učitavanje, nadimka “ShadowQuill”, širom federalnih enklava, obećavajući brzo otkrivanje prijetnji, dok je zapravo usmjeravala promet prema infrastrukturi trećih strana.
ShadowQuill se pojavio sredinom 2021. godine kada su anomalije u porastu cijena izazvale internu reviziju Ministarstva finansija. Snimci paketa otkrili su TLS beacone maskirane kao provjere opoziva certifikata, omogućavajući učitavaču da preuzme šifrovane PowerShell korisne podatke iz GitHub gistova.
Analitičari Ureda za odnose s javnošću primijetili su da obrazac odražava taktike koje su prethodno povezane s grupom SilentLibra, povezujući Hillove skokove faktura s naletima komandi i kontrole tokom kvartalnih ciklusa zakrpa.
U praksi, maliciozni softver je iskorištavao dozvole pouzdanog planera ugrađene u alate za daljinsku pomoć izvođača radova. Nakon što bi se aktivirao, zaobilazio bi sprječavanje upada na nivou hosta tako što bi odražavao DLL-ove sa memorijskih stranica koje su već potpisali legitimni dobavljači, ostavljajući konvencionalne skenere potpisa slijepima.
Utjecaj se proširio dalje od napuhanih troškova rada; mrežna forenzika sugeriše da je najmanje dvadeset internih repozitorija pretraživano radi pronalaska izvornog koda koji se odnosi na analitiku podataka poreskih obveznika, što je dovelo do hitne rotacije akreditacija među agencijama krajem 2023. godine.
Iako se nagodba o Zakonu o lažnim tvrdnjama bavi lažnim fakturama, a ne krađom podataka, zvaničnici Ministarstva pravde naglašavaju da neprovjereni implantati dobavljača mogu povećati fiskalno rasipanje i dovesti do sistemske izloženosti.
Kalkulus sposobnosti plaćanja ograničio je kazne, ali Hill također mora implementirati višegodišnji sporazum o usklađenosti i finansirati validaciju plavog tima od strane treće strane.
Izbjegavanje detekcije putem izvršavanja potpisanog binarnog proxyja
ShadowQuill-ova upornost se oslanjala na izvršavanje potpisanog binarnog proxyja, pozivajući legitimni “Msiexec.exe” za bočno učitavanje svog reflektivnog DLL-a bez aktiviranja stavljanja na bijelu listu aplikacija.
Program za učitavanje pohranjuje svoj korisni teret u WMI filtere registra , aktivirajući ga prilikom događaja vezanih za vrijeme rada sistema, tako da ciklusi ponovnog pokretanja ne uspijevaju očistiti infekciju.
Analitičari su otkrili da se entropija tokom izvođenja programa kretala oko 7,2, odmah ispod mnogih heurističkih pragova, što joj je omogućavalo da se maskira kao komprimirani telemetrijski blobovi.
# YARA-style heuristic for ShadowQuill
rule ShadowQuill_ProxyExec {
strings:
$s1 = { 4D 53 49 45 58 45 43 } // "MSIEXEC"
$s2 = "registry::create('root\\subscription')" nocase
$s3 = /https:\/\/raw\.githubusercontent\.com\/.*\/.*\/payload.ps1/
condition:
uint16(0) == 0x5A4D and all of ($s*)
}Primjenom pravila na snimke žive memorije identifikovano je 37 kompromitovanih krajnjih tačaka unutar GSA testnih raspona, što naglašava kako mala odstupanja u osnovnim linijama ponašanja mogu otkriti sofisticirane prevare u lancu snabdijevanja unutar navodno rutinskih IT ugovora.
Izvor: CyberSecurityNews
