«Επίθεση Phishing στο AnyDesk: Δομή και Αποφυγή Εντοπισμού»

Μια νέα καμπάνια μετατρέπει ένα αξιόπιστο εργαλείο απομακρυσμένης πρόσβασης σε μια μακροπρόθεσμη κερκόπορτα για κατασκοπεία.

Οι επιτιθέμενοι κρύβονται πίσω από πλαστά τιμολόγια για να περάσουν τα φίλτρα email και μόλις εισέλθουν σε ένα δίκτυο βασίζονται σε καθημερινό λογισμικό πληροφορικής και όχι σε προσαρμοσμένο κακόβουλο λογισμικό, καθιστώντας την εισβολή πιο δύσκολο να εντοπιστεί.

Η εκστρατεία στοχεύει ρωσικούς αεροδιαστημικούς και αεροπορικούς οργανισμούς χρησιμοποιώντας ένα δέλεαρ με θέμα τιμολογίου.

Αντί να αναπτύξουν έναν προφανή ιό, οι χειριστές ρυθμίζουν αθόρυβα το AnyDesk για απομακρυσμένη πρόσβαση χωρίς επίβλεψη και, στη συνέχεια, διαγράφουν τα ίχνη τους. Ο στόχος φαίνεται να είναι ο μακροπρόθεσμος, αθόρυβος έλεγχος των μολυσμένων μηχανημάτων.

Αναλυτές από τη Seqrite εντόπισαν και τεκμηρίωσαν αυτή τη δραστηριότητα, εντοπίζοντας πώς ένα συνημμένο email οδηγεί σε ένα πλήρως διαμορφωμένο εργαλείο απομακρυσμένης πρόσβασης και ένα καθαρό σύστημα.

Η έρευνά τους δείχνει μια αλυσίδα που ξεκινά με ένα αρχείο προστατευμένο με κωδικό πρόσβασης και τελειώνει με την προγραμματισμένη επιμονή εργασιών και τη διαγραφή των υπολειμμάτων αρχείων.

είπε η Seqrite σε ρεπορτάζ μοιράστηκε με το Cyber ​​Security News (CSN) ότι το μήνυμα ηλεκτρονικού ταχυδρομείου υποδύεται ένα πραγματικό ρωσικό ομοσπονδιακό ερευνητικό ινστιτούτο συνδεδεμένο με αεροδιαστημική εργασία, που στάλθηκε από έναν τομέα που καταχωρήθηκε μόλις πρόσφατα για να μιμηθεί τον γνήσιο οργανισμό.

Αλυσίδα μόλυνσης (Πηγή – Seqrite)

Απευθύνεται σε άγνωστους παραλήπτες και όχι σε επώνυμη επαφή, υποδηλώνοντας ότι πήγε σε πολλούς στόχους ταυτόχρονα, ένα μοτίβο που δείχνει μια ευρύτερη προσπάθεια συλλογής πληροφοριών.

Οι ερευνητές σημειώνουν ότι οι τακτικές μοιάζουν με έναν παράγοντα απειλής γνωστό ως Rare Werewolf, που ονομάζεται επίσης Librarian Ghouls, ο οποίος στοχεύει βιομηχανικούς, μηχανικούς και αεροδιαστημικούς οργανισμούς σε ολόκληρη τη , τη Λευκορωσία και το Καζακστάν.

Η επίθεση ηλεκτρονικού ψαρέματος στο AnyDesk χρησιμοποιεί προγραμματισμένη επιμονή εργασιών και διαγραφή τεχνουργημάτων

Η επίθεση ξεκινά με ένα email που φέρει ένα αρχείο προστατευμένο με κωδικό πρόσβασης με την ετικέτα του τιμολογίου, με τον κωδικό πρόσβασης τοποθετημένο στο σώμα του μηνύματος, ώστε τα θύματα να μπορούν να το ανοίξουν ενώ οι σαρωτές δεν μπορούν να επιθεωρήσουν τα περιεχόμενα.

Email ηλεκτρονικού ψαρέματος με αρχείο προστατευμένο με κωδικό πρόσβασης (Πηγή - Seqrite)
Email ηλεκτρονικού ψαρέματος με αρχείο προστατευμένο με κωδικό πρόσβασης (Πηγή – Seqrite)

Στο εσωτερικό υπάρχει ένα πρόγραμμα εγκατάστασης που έχει δημιουργηθεί με ένα νόμιμο εργαλείο συσκευασίας, το οποίο ρίχνει αρχεία σε έναν κρυφό φάκελο ενώ εμφανίζει ένα δόλωμα PDF για να διατηρήσει την ψευδαίσθηση ενός γνήσιου τιμολογίου.

Μια σειρά από αρχεία δέσμης εκτελούνται το ένα μετά το άλλο, πρώτα απευθυνόμενοι σε έναν απομακρυσμένο διακομιστή για λήψη ενός δεύτερου αρχείου προστατευμένου με κωδικό πρόσβασης που περιέχει το πραγματικό ωφέλιμο φορτίο.

Αυτό το αρχείο αποσυσκευάζει ένα φορητό αντίγραφο του AnyDesk, ένα εργαλείο email γραμμής εντολών, ένα βοηθητικό πρόγραμμα συμπίεσης και ένα μικρό πρόγραμμα που ονομάζεται Tray Minimizer που κρύβει τα παράθυρα της εφαρμογής από τον χρήστη.

Το σενάριο σταματά για περίπου ένα λεπτό, πιθανότατα να διαρκέσει περισσότερο από αυτοματοποιημένους ελέγχους sandbox. Στη συνέχεια διαμορφώνει το AnyDesk με έναν προκαθορισμένο κωδικό πρόσβασης, ώστε ο εισβολέας να μπορεί να συνδεθεί χωρίς να εμφανίζονται προτροπές στην οθόνη και εκκινεί αθόρυβα το εργαλείο στο παρασκήνιο.

Μόλις εκτελεστεί το AnyDesk, το σενάριο συσκευάζει τα αρχεία διαμόρφωσης, τις ρυθμίσεις σύνδεσης και τα πιστοποιητικά του σε ένα νέο αρχείο προστατευμένο με κωδικό πρόσβασης.

Αυτό το αρχείο αποστέλλεται μέσω ηλεκτρονικού ταχυδρομείου μέσω ενός νόμιμου βοηθητικού προγράμματος αλληλογραφίας SMTP σε μια διεύθυνση ελεγχόμενη από τον εισβολέα, δίνοντας στους χειριστές ότι χρειάζονται για να διαχειριστούν τη συνεδρία αργότερα.

Μια προγραμματισμένη εργασία που μεταμφιέζεται ως διαδικασία ενημέρωσης ρουτίνας διασφαλίζει ότι το εργαλείο κρυφού δίσκου, και κατ’ επέκταση το AnyDesk, επανεκκινείται κάθε φορά που το θύμα συνδέεται.

Κάλυψη ιχνών και παραμονή κρυμμένη

Αφού εδραιωθεί η επιμονή, το κακόβουλο σενάριο διαγράφει τα αρχεία εντολών, τα αρχεία καταγραφής κειμένου, τα αρχεία, τα εκτελέσιμα αρχεία και το decoy PDF που χρησιμοποιούνται κατά την εγκατάσταση.

Αυτός ο καθαρισμός αφαιρεί τα περισσότερα από τα εγκληματολογικά στοιχεία στα οποία θα βασιζόταν ο ερευνητής, καθιστώντας την εισβολή πιο δύσκολη στην ανακατασκευή στη συνέχεια.

Η χρήση του Tray Minimizer για να μην φαίνεται το AnyDesk είναι ένα αποτελεσματικό τέχνασμα αποφυγής, καθώς το Το ίδιο το εργαλείο απομακρυσμένης πρόσβασης είναι νόμιμο λογισμικό πολλά προϊόντα ασφαλείας δεν θα επισημαίνουν.

Εξαγόμενα δεδομένα αρχείου rar (Πηγή - Seqrite)
Εξαγόμενα δεδομένα αρχείου rar (Πηγή – Seqrite)

Σε συνδυασμό με την προγραμματισμένη επιμονή εργασιών και τη διαγραφή αρχείων, η προσέγγιση ευνοεί την ανάμειξη στην κανονική δραστηριότητα έναντι της ανάπτυξης προφανώς κακόβουλου κώδικα.

Οι ερευνητές δεν έχουν παρατηρήσει εξόρυξη κρυπτονομισμάτων σε αυτό το συγκεκριμένο δείγμα, αν και σχετικές καμπάνιες από τον ίδιο παράγοντα έχουν αναπτύξει εργαλεία εξόρυξης μετά την καθιέρωση μόνιμης πρόσβασης. Το οικονομικό κέρδος μπορεί να εξακολουθεί να είναι ένας δευτερεύων στόχος όταν εξασφαλιστεί ο απομακρυσμένος έλεγχος.

Οι οργανισμοί της αεροδιαστημικής και των συναφών βιομηχανικών τομέων θα πρέπει να αντιμετωπίζουν τα μη αναμενόμενα email τιμολογίων με προσοχή, ειδικά εκείνα που προέρχονται από νέους καταχωρημένους τομείς.

Η παρακολούθηση μη εξουσιοδοτημένων προγραμματισμένων εργασιών και απροσδόκητων εγκαταστάσεων απομακρυσμένης πρόσβασης μπορεί να βοηθήσει στην έγκαιρη παρακολούθηση αυτής της δραστηριότητας. Ο περιορισμός της κυκλοφορίας εξερχόμενης αλληλογραφίας σε εγκεκριμένους διακομιστές μπορεί επίσης να περιορίσει την εκκένωση δεδομένων που έχουν κλαπεί.

Επειδή τα εργαλεία εδώ αποτελούνται εξ ολοκλήρου από νόμιμα, ευρέως χρησιμοποιούμενα βοηθητικά προγράμματα, η ανίχνευση βάσει υπογραφών μπορεί να δυσκολευτεί να επισημάνει την εισβολή.

Η παρακολούθηση συμπεριφοράς που επικεντρώνεται στην προγραμματισμένη δημιουργία εργασιών και την εξαγωγή αρχείου προσφέρει μια πιο αξιόπιστη διαδρομή για τη σύλληψη αυτής της δραστηριότητας.

Δείκτες συμβιβασμού (IoCs):-

Τύπος Δείκτης Περιγραφή
SHA256 Κατακερματισμός 47854deb456cb08c651b7f9ae2f9d87c72d0719de6af233340632efb3c1980f4 Κακόβουλο εκτελέσιμο/σταγονόμετρο στοιχείο
SHA256 Κατακερματισμός 12648cd9d425f78db2dbc6e03c14f11e6ac6aadf8b3975c23cce9519e2b58d33 Κατακερματισμός αρχείου σχετικού ωφέλιμου φορτίου
SHA256 Κατακερματισμός f57e010541fb4ccbf23aefc4a827f753a6ff3f8792d9c04c3eea83f6963c6bae Κατακερματισμός αρχείου σχετικού ωφέλιμου φορτίου
SHA256 Κατακερματισμός 0dc0fa727f900ed5033f46f8ba6cf2d97d20ab95fd334cabc0f216da6e0622b0 Κατακερματισμός αρχείου σχετικού ωφέλιμου φορτίου
Διεύθυνση IP 198.54.120[.]13 Υποδομή επιτιθέμενων
Διεύθυνση IP 194.87.57[.]81 Υποδομή επιτιθέμενων
Διεύθυνση IP 2.23.88[.]201 Υποδομή επιτιθέμενων
Διεύθυνση IP 109.106.178.14 Υποδομή επιτιθέμενων
Πεδίο ορισμού aviatronika[.] Παραπλανητικός όμοιος τομέας
Πεδίο ορισμού vniir-avia[.]χώρος Παραπλανητικός τομέας που πλαστοπροσωπεί το ινστιτούτο VNIIR, που χρησιμοποιείται για την αποστολή email ηλεκτρονικού ψαρέματος
Πεδίο ορισμού fgub-vniir[.]χώρος Παραπλανητικός όμοιος τομέας
Πεδίο ορισμού vniir-πληροφορίες[.]χώρος Παραπλανητικός όμοιος τομέας
Πεδίο ορισμού nova-stream[.]τοποθεσία Παραπλανητικός όμοιος τομέας

Σημείωση: Οι διευθύνσεις IP και οι τομείς είναι σκόπιμα αλλοιωμένοι (π.χ. [.]) για την αποφυγή τυχαίας επίλυσης ή υπερσύνδεσης. Re-fang μόνο σε ελεγχόμενες πλατφόρμες πληροφοριών απειλών όπως το MISP, το VirusTotal ή το SIEM σας.

NewsRoom
NewsRoomhttps://technoid.gr
Η συντακτική ομάδα του Technoid.gr αποτελείται από έμπειρους δημοσιογράφους και λάτρεις της τεχνολογίας με πολυετή θητεία στον ειδικό τύπο. Με προσήλωση στην εγκυρότητα και την αντικειμενική ανάλυση, το NewsRoom μεταφέρει τον παλμό των παγκόσμιων εξελίξεων, από τα τελευταία gadgets μέχρι τις επαναστατικές καινοτομίες που αλλάζουν τον κόσμο μας.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ