Vlade snose teret novog talasa kibernetičkog kriminala.
Iako smo tradicionalno viđali privatni sektor koji najviše pati od malicioznih aktivnosti jer hakeri izvode napade posebno osmišljene za finansijsku iznudu, agencije javnog sektora su sada izložene rastućoj vatri kibernetičkih kriminalaca sa skrivenim motivima.
U protekloj godini, hakeri koje sponzoriše država podigli su se u prvi plan, uglavnom zbog pojačanih tenzija u međunarodnoj areni koje su proizašle iz ruske invazije na Ukrajinu.
Kritično je da se motivacije protivnika koje sponzoriše država obično razlikuju od onih koje ciljaju na privatni sektor. Umjesto da traže novčanu dobit, njihovi ciljevi su generalno nijansiraniji, nastojeći da ometaju osnovne javne usluge, kradu državne tajne, šire dezinformacije i/ili izazivaju nacionalnu sramotu.
Istraživanja iz trećeg kvartala 2022. godine sugerišu da je vlada/vojska sada druga najciljana industrija, a za ovu vertikalu se kaže da se suočava s 1564 incidenta svake sedmice, povećanje od 20% u odnosu na isti period 2021. godine.
Analiza PureCrypter distribucije putem Discord URL-ova
Ovaj pomak ka agencijama javnog sektora je evidentan u nekoliko kampanja koje smo pratili. A naš tim Menlo Labsa nedavno je identifikovao jednog hakera koji koristi metode izbjegavanja napada posebno usmjerene na vladine subjekte.
Ovaj specifičan primjer uključuje PureCrypter, učitavač malicioznog softvera koji se obično koristi za postavljanje trojanaca za daljinski pristup i kradljivaca informacija.
Iako je PureCrypter poznata pretnja od marta 2021. godine, njegove mogućnosti su nastavile da se razvijaju i napreduju. Zaista, u junu 2022. godine, Integraciona ćelija za kibernetičku bezbjednost i komunikacije New Jersey-a izvijestila je da su operateri aktivno razvijali mogućnosti učitavača kako bi osigurali da može izbjeći antivirusni softver.
Naša sigurnosna platforma u Cloud-u blokirala je arhivske datoteke zaštićene lozinkom koje su ciljale na nekoliko vladinih klijenata sa sjedištem u Sjevernoj Americi i Aziji i Pacifiku tokom ove kampanje.
Vidjeli smo da hakeri sada žele distribuisati svoj specifični maliciozni softver koristeći popularnu aplikaciju za razmjenu poruka Discord putem URL-ova koji, zauzvrat, upućuju na maliciozne ZIP datoteke zaštićene lozinkom.
Ovi ZIP fajlovi se koriste za izvršavanje PureCrypter loader-a. Međutim, kopajući dublje, otkrili smo da će učitavač naknadno pokušati da preuzme sekundarni payload preko domene ugrožene neprofitne organizacije, koja je iskorišćena kao komanda i kontrola (C2).
U trenutku istrage tima Menlo Labs-a, web stranica ugrožene neprofitne organizacije je već bila uklonjena, što znači da nismo mogli preuzeti ovaj drugi payload za analizu. Međutim, otkrili smo da su kredencijali domena organizacije procurili na internet, što sugeriše da će hakeri vjerovatno nastaviti koristiti različitu ugroženu infrastrukturu, skačući između njih po potrebi kako bi izvršili napade.
Jednako tako, uspjeli smo pronaći slične uzorke incidenata u kojima su maliciozni sadržaji prethodno bili preuzeti iz ciljane neprofitne organizacije. U ovim slučajevima, PureCrypter je isporučio nekoliko vrsta malicioznog softvera, od Redline Stealer-a, AgentTesla i Eternity do Blackmoon-a i Philadelphia Ransomware-a.
Mnoštvo pokušaja pretnje
U ovoj posljednjoj instanci uspjeli smo utvrditi prisustvo AgentTesla. naprednog backdoor-a koji se koristi za maliciozne aktivnosti kao što su evidentiranje međuspremnika, keylogging i snimanje ekrana, kao i krađu lozinki pohranjenih u pretraživačima.
Tipično, AgentTelsa će se izvršiti ubrizgavanjem svog payload-a putem tehnike dubljeg procesa prije korištenja XOR algoritma za šifrovanje svoje konfiguracijske datoteke. Uspjeli smo dešifrovati datoteku i provesti tehničku analizu, otkrivši da je maliciozni softver šifrovan u dijelu resursa preuzimanja koristeći algoritam standarda za šifrovanje podataka (DES) u procesu.
Takođe smo otkrili da je preuzeta binarna datoteka bila spakovana kako bi se izbjegla početna detekcija. Nadalje, kada se izvrši, maliciozni softver bi eksfiltrirao ukradene kredencijale na FTP server u Pakistanu.
Utvrđeno je da ovaj konkretan lanac infekcije ima sličnosti sa 106 drugih napada koje smo istražili. U jednom primjeru, otkrili smo upotrebu malicioznog priloga u kampanji za krađu identiteta koja sadrži iste kredencijale FTP servera kao PureCrypter kampanja. Ovaj FTP server je takođe korišten u drugoj kampanji za koju je identifikovano da koristi OneNote za isporuku malicioznog softvera.
Iako se čini da haker koji stoji iza ovih kampanja nije glavni igrač, to je dokaz zabrinjavajućeg trenda, da vladini subjekti sve više ulaze u vidokrugu kibernetičkih kriminalaca.
To je velika briga. Državni subjekti poseduju neverovatno osetljive informacije, od nacionalnih tajni i visoko poverljivih sredstava do ličnih podataka (PII). Oni su takođe odgovorni za uspjeh vitalnih socijalnih usluga i funkcionisanje kritične nacionalne infrastrukture.
S obzirom na porast pretnji, važnije je nego ikada da vladine agencije osiguraju adekvatne metode zaštite, prihvaćajući moderna rešenja sposobna za borbu protiv modernih pretnji.
Izvor: Infosecurity Magazine