Prošle sedmice, Glavna obavještajna uprava Ukrajine (GUR) orkestrirala je sofisticirani sajber napad na kompaniju Gaskar Integration, vodećeg ruskog proizvođača dronova.
Operacija je započela izviđanjem javne infrastrukture kompanije, gdje su hakeri identifikovali ranjive usluge udaljene radne površine i zastarjele VPN gateway-e.
Iskoristivši zero-day firewall web aplikacije treće strane, napadači su stekli početni uporište unutar korporativne mreže. Jednom unutra, instalirali su prilagođeni maliciozni softver koji je iskorištavao Windows Management Instrumentation (WMI) za izvršavanje lateralnog kretanja i prikupljanje vjerodajnica.
Analitičari Hromadskea su primijetili da je maliciozni teret uključivao dvostepeni program za učitavanje napisan u C++ i PowerShellu.
Prva faza je uspostavila perzistentnost putem maliciozne WMI pretplate, dok je druga faza dešifrovala implantat obrnute ljuske u memoriji.
Komunikacija je tunelirana preko TLS-a korištenjem krivotvorenih sertifikata koji su imitirali vlastitu infrastrukturu javnih ključeva kompanije.
Infrastruktura komandovanja i kontrole (C2) malicioznog softvera bila je smještena na kompromitovanim serverima industrijskog kontrolnog sistema, što je dodatno otežalo atribuciju i uklanjanje zlonamjernog softvera.
Do trenutka kada su branioci otkrili anomalni mrežni promet, napadači su uspjeli otuđiti više od 47 TB tehničkih podataka, uključujući sheme dizajna dronova, proizvodne zapise i evidenciju zaposlenika.
Sve sigurnosne kopije na serverima žrtve su nepovratno izbrisane, što je efektivno osakatilo Gaskarove proizvodne i računovodstvene operacije.
Radnici su bili isključeni iz proizvodnog softvera i sistema fizičkog pristupa, a samo su izlazi u slučaju požara ostali funkcionalni.
Istraživači Hromadskea su identificirali ključne module implantata reverznim inženjeringom njegovog raspakivača.
Mehanizam infekcije
Mehanizam zaraze maliciznom softverom zasnivao se na iskorištavanju WAF bypassa . Nakon što su dobili pristup, napadači su postavili mali dropper – manji od 15 KB – koji je izvršavao PowerShell kodiran u Base64.
Ovaj skript se povezao s čvrsto kodiranim C2 domenom, preuzeo šifrovani korisni teret i u potpunosti ga pozvao u memoriji kako bi izbjegao detekciju na disku.
Trajni WMI filter događaja je kreiran na sljedeći način: –
$filter = Set-WmiInstance -Namespace root\subscription -Class __EventFilter `
-Arguments @{
Name = "SysUpdateFilter"
EventNameSpace = "root\cimv2"
QueryLanguage = "WQL"
Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime'"
}
Set-WmiInstance -Namespace root\subscription -Class __FilterToConsumerBinding `
-Arguments @{
Filter = $filter
Consumer = $consumer
}Ovo osigurava izvršavanje na svakom otkucaju sistemskog takta, dajući implantu visoku preživljivost čak i nakon ponovnog pokretanja.
Izvor: CyberSecurityNews
