U nedavnom zajedničkom izvještaju Microsoft Threat Intelligence i Black Lotus Labsa, pojavila su se nova saznanja o “Secret Blizzardu”, sofisticiranom ruskom sajber hakeru koji napada Windows infrastrukturu koristeći razne alate za hakovanje.
Poznat po svojim prikrivenim špijunskim operacijama , Secret Blizzard je koristio infrastrukturu i alate najmanje šest drugih prijetnji u proteklih sedam godina kako bi poboljšao svoje sposobnosti prikupljanja obavještajnih podataka.
Američka agencija za sajber sigurnost i infrastrukturnu sigurnost pripisuje rusku Federalnu sigurnosnu službu (FSB) Secret Blizzardu, jedinstvenoj metodi koja koristi alate i infrastrukturu drugih hakera sajber kriminala koje sponzoriše država.
Primarni cilj ovog pristupa je špijunaža na državnom nivou, koja uključuje ministarstva vanjskih poslova, ambasade, odjele odbrane i srodne organizacije širom svijeta.
Oni ne samo da provode širok spektar operacija, već imaju za cilj da uspostave dugoročni pristup vrijednim sistemima za prikupljanje politički značajnih obavještajnih podataka.
Značajno otkriće u izvještaju je korištenje infrastrukture od strane Secret Blizzarda špijunske grupe sa sjedištem u Pakistanu poznate kao Storm-0156, također poznate kao SideCopy, Transparent Tribe i APT36.
Cilj da olakša operacije u Južnoj Aziji, ova grupa prvenstveno postavlja backdoor i prikuplja obavještajne podatke.
Saradnja Microsoft Threat Intelligence i Black Lotus Labs potvrdila je da je infrastruktura Storm-0156, koja je inscenirala podatke eksfiltrirane iz kampanja u Afganistanu i Indiji, pokrenula komandno-kontrolni saobraćaj Secret Blizzarda.
Napredni sajber alati i tehnike
Od novembra 2022., Microsoft Threat Intelligence je primijetio da Secret Blizzard ugrožava infrastrukturu Storm-0156, špijunske grupe sa sjedištem u Pakistanu.
Secret Blizzard je oteo alate Storm-0156, kao što su CrimsonRAT i Arsenal, kako bi implementirao vlastiti maliciozni softver, uključujući TwoDash, MiniPocket i Statuezy, oponašajući operacije Storm-0156 putem DLL-bočnog učitavanja i sličnih imena datoteka.
Ovaj pristup je omogućio Secret Blizzard-u da preusmeri C2 saobraćaj na sopstvenu infrastrukturu i preuzme Storm-0156 backdoor kao što su CrimsonRAT i Wainscot za dalje napade.
- Wainscot : Backdoor baziran na Golangu aktivan od oktobra 2023., sposoban za izvršavanje naredbi, prenos datoteka i snimanje ekrana. Iako prvenstveno cilja na Windows, prijavljena je i Linux varijanta sa proširenim funkcijama.
- CrimsonRAT : Backdoor baziran na .NET-u sa evoluirajućim mogućnostima, uključujući prikupljanje informacija o sistemu, popis procesa, prenos datoteka, izvršavanje naredbi i keylogging putem dodatnih modula.
Metodologija Secret Blizzard-a uključuje implementaciju više backdoor-a, uključujući varijantu TinyTurla i prilagođeni downloader poznat kao TwoDash, kako bi se poboljšale njihove mogućnosti infiltracije.
Osim toga, koriste alat za praćenje međuskladišta koji se naziva Statuezy i drugi maliciozni softver kako bi pojačali svoje napore u špijunaži.
- Učitane datoteke i različito korisničko ime otpremaoca
- Informacije o pogođenom uređaju, uključujući IP adresu, lokaciju, verziju operativnog sistema i instalirani antivirusni softver
- Događaji mrežne veze, trajanje sesije i vremenske oznake kao što su vrijeme prekida i povezivanja
Izveštaj naglašava značajan uticaj Secret Blizzarda na globalnu sajber bezbjednost . Strateškim pozicioniranjem i backdoor raspoređivanjem, ova grupa je efektivno probila infrastrukturu u avganistanskoj vladi, uključujući Ministarstvo vanjskih poslova i Generalnu direkciju za obavještajne poslove.
Izvor: CyberSecurityNews