Grupa za sajber špijunažu povezana s Kinom, poznata kao APT41 , pripisana je novoj kampanji usmjerenoj na vladine IT usluge u afričkoj regiji.
„Napadači su koristili kodirana imena internih servisa, IP adrese i proxy servere ugrađene u njihov zlonamjerni softver“, rekli su istraživači Kasperskyja Denis Kulik i Daniil Pogorelov . „Jedan od C2 [komandnih i kontrolnih servera] bio je zatvoreni SharePoint server unutar infrastrukture žrtve.“
APT41 je nadimak dodijeljen kineskoj hakerskoj grupi nacionalne države koja je poznata po ciljanju organizacija koje obuhvataju više sektora, uključujući telekomunikacijske i energetske kompanije, obrazovne institucije, zdravstvene organizacije i IT energetske kompanije u više od trideset i četiri zemlje.
Ono što kampanju čini značajnom jeste njen fokus na Afriku, koja je, kako je ruski dobavljač opreme za sajber sigurnost istakao, “doživjela najmanje aktivnosti” od strane ovog specifičnog hakera. Osim toga, nalazi se poklapaju sa prethodnim zapažanjima kompanije Trend Micro da se kontinent nalazi na njihovom nišanu od kraja 2022. godine.
Kaspersky je saopštio da je započeo istragu nakon što je otkrio “sumnjivu aktivnost” na više radnih stanica povezanih s IT infrastrukturom neimenovane organizacije, u kojoj su napadači izvršavali naredbe kako bi utvrdili dostupnost svog C2 servera, bilo direktno ili putem internog proxy servera unutar kompromitovanog entiteta.
“Izvor sumnjive aktivnosti ispostavio se kao nenadgledani host koji je bio kompromitovan”, primijetili su istraživači. ” Impacket je izvršen na njemu u kontekstu servisnog računa. Nakon što su moduli Atexec i WmiExec završili s radom, napadači su privremeno obustavili svoje operacije.”
Ubrzo nakon toga, napadači su navodno prikupili pristupne podatke povezane s privilegovanim računima kako bi olakšali eskalaciju privilegija i lateralno kretanje, te su na kraju primijenili Cobalt Strike za C2 komunikaciju koristeći bočno učitavanje DLL-a.
Maliciozne DLL datoteke uključuju provjeru jezičkih paketa instaliranih na hostu i nastavljaju s izvršavanjem samo ako se ne otkriju sljedeći jezički paketi: japanski, korejski (Južna Koreja), kineski (kontinentalna Kina) i kineski (Tajvan).
Napad je takođe karakteriziran korištenjem hakiranog SharePoint servera za C2 svrhe, koristeći ga za slanje naredbi koje pokreće zlonamjerni softver zasnovan na C# i postavljen na žrtvene hostove.
„Distribuirali su datoteke pod nazivom agents.exe i agentx.exe putem SMB protokola kako bi komunicirali sa serverom“, objasnio je Kaspersky. „Svaka od ovih datoteka je zapravo C# trojanac čija je primarna funkcija izvršavanje naredbi koje prima od web ljuske pod nazivom CommandHandler.aspx, koja je instalirana na SharePoint serveru.“
Ova metoda kombinuje tradicionalno postavljanje malicioznog softvera s taktikama preživljavanja izvan okvira, gdje se pouzdane usluge poput SharePointa pretvaraju u tajne kontrolne kanale. Ova ponašanja su u skladu s tehnikama kategoriziranim pod MITRE ATT&CK, uključujući T1071.001 (Web protokoli) i T1047 (WMI), što ih čini teškim za otkrivanje korištenjem samo alata zasnovanih na potpisima.
Osim toga, uočeno je da hakeri izvode naknadne aktivnosti na mašinama koje se smatraju vrijednim nakon početnog izviđanja. To se postiže pokretanjem naredbe cmd.exe za preuzimanje zlonamjerne HTML aplikacije (HTA) datoteke koja sadrži ugrađeni JavaScript s vanjskog resursa i njenim pokretanjem pomoću naredbe mshta.exe.
Tačna priroda sadržaja isporučenog putem eksternog URL-a, domene koja se predstavlja kao GitHub (“github.githubassets[.]net”) kako bi se izbjeglo otkrivanje, trenutno nije poznata. Međutim, analiza jedne od prethodno distribuiranih skripti pokazuje da je dizajnirana za pokretanje obrnute ljuske, čime se napadačima daje mogućnost izvršavanja naredbi na zaraženom sistemu.
U napadima se takođe koriste programi za krađu podataka i uslužni programi za prikupljanje podataka kako bi se prikupili osjetljivi podaci i iz njih izvukli detalji putem SharePoint servera. Neki od alata koje je napadač koristio navedeni su u nastavku –
- Pillager , iako modificirana verzija, koristi se za krađu podataka iz pretreživača, baza podataka i administrativnih programa poput MobaXterm-a; izvornog koda; snimaka ekrana; sesija ćaskanja i podataka; e-mail poruka; SSH i FTP sesija; liste instaliranih aplikacija; izlaza naredbi systeminfo i tasklist; i informacija o računu iz aplikacija za ćaskanje i e-mail klijenata.
- Blagajna za krađu informacija o preuzetim datotekama i podacima o kreditnim karticama sačuvanim u web pretreživačima kao što su Yandex, Opera, OperaGX, Vivaldi, Google Chrome, Brave i Cốc Cốc.
- RawCopy za kopiranje sirovih datoteka registra
- Mimikatz za ispis podataka o računu
„Napadači koriste širok spektar i prilagođenih i javno dostupnih alata“, rekao je Kaspersky. „Konkretno, koriste alate za testiranje penetracije poput Cobalt Strikea u različitim fazama napada.“
“Napadači se brzo prilagođavaju infrastrukturi svoje mete, ažurirajući svoje maliciozne alate kako bi uzeli u obzir specifične karakteristike. Mogu čak iskoristiti i interne servise za komunikaciju C2 i krađu podataka.”
Ova operacija takođe naglašava nejasnu granicu između alata crvenog tima i simulacije protivnika u stvarnom svijetu, gdje akteri prijetnji koriste javne okvire poput Impacket, Mimikatz i Cobalt Strike uz prilagođene implantate. Ova preklapanja predstavljaju izazove za timove za detekciju fokusirane na lateralno kretanje, pristup akreditivima i izbjegavanje odbrane u Windows okruženjima.
Izvor:The Hacker News
