Μια νέα καμπάνια phishing μετατρέπει ένα αξιόπιστο εργαλείο απομακρυσμένης πρόσβασης σε μια μακροπρόθεσμη κερκόπορτα για κατασκοπεία.
Οι επιτιθέμενοι κρύβονται πίσω από πλαστά τιμολόγια για να περάσουν τα φίλτρα email και μόλις εισέλθουν σε ένα δίκτυο βασίζονται σε καθημερινό λογισμικό πληροφορικής και όχι σε προσαρμοσμένο κακόβουλο λογισμικό, καθιστώντας την εισβολή πιο δύσκολο να εντοπιστεί.
Η εκστρατεία στοχεύει ρωσικούς αεροδιαστημικούς και αεροπορικούς οργανισμούς χρησιμοποιώντας ένα δέλεαρ με θέμα τιμολογίου.
Αντί να αναπτύξουν έναν προφανή ιό, οι χειριστές ρυθμίζουν αθόρυβα το AnyDesk για απομακρυσμένη πρόσβαση χωρίς επίβλεψη και, στη συνέχεια, διαγράφουν τα ίχνη τους. Ο στόχος φαίνεται να είναι ο μακροπρόθεσμος, αθόρυβος έλεγχος των μολυσμένων μηχανημάτων.
Αναλυτές από τη Seqrite εντόπισαν και τεκμηρίωσαν αυτή τη δραστηριότητα, εντοπίζοντας πώς ένα συνημμένο email οδηγεί σε ένα πλήρως διαμορφωμένο εργαλείο απομακρυσμένης πρόσβασης και ένα καθαρό σύστημα.
Η έρευνά τους δείχνει μια αλυσίδα που ξεκινά με ένα αρχείο προστατευμένο με κωδικό πρόσβασης και τελειώνει με την προγραμματισμένη επιμονή εργασιών και τη διαγραφή των υπολειμμάτων αρχείων.
είπε η Seqrite σε ρεπορτάζ μοιράστηκε με το Cyber Security News (CSN) ότι το μήνυμα ηλεκτρονικού ταχυδρομείου υποδύεται ένα πραγματικό ρωσικό ομοσπονδιακό ερευνητικό ινστιτούτο συνδεδεμένο με αεροδιαστημική εργασία, που στάλθηκε από έναν τομέα που καταχωρήθηκε μόλις πρόσφατα για να μιμηθεί τον γνήσιο οργανισμό.
Απευθύνεται σε άγνωστους παραλήπτες και όχι σε επώνυμη επαφή, υποδηλώνοντας ότι πήγε σε πολλούς στόχους ταυτόχρονα, ένα μοτίβο που δείχνει μια ευρύτερη προσπάθεια συλλογής πληροφοριών.
Οι ερευνητές σημειώνουν ότι οι τακτικές μοιάζουν με έναν παράγοντα απειλής γνωστό ως Rare Werewolf, που ονομάζεται επίσης Librarian Ghouls, ο οποίος στοχεύει βιομηχανικούς, μηχανικούς και αεροδιαστημικούς οργανισμούς σε ολόκληρη τη Ρωσία, τη Λευκορωσία και το Καζακστάν.
Η επίθεση ηλεκτρονικού ψαρέματος στο AnyDesk χρησιμοποιεί προγραμματισμένη επιμονή εργασιών και διαγραφή τεχνουργημάτων
Η επίθεση ξεκινά με ένα email που φέρει ένα αρχείο προστατευμένο με κωδικό πρόσβασης με την ετικέτα του τιμολογίου, με τον κωδικό πρόσβασης τοποθετημένο στο σώμα του μηνύματος, ώστε τα θύματα να μπορούν να το ανοίξουν ενώ οι σαρωτές δεν μπορούν να επιθεωρήσουν τα περιεχόμενα.
.webp)
Στο εσωτερικό υπάρχει ένα πρόγραμμα εγκατάστασης που έχει δημιουργηθεί με ένα νόμιμο εργαλείο συσκευασίας, το οποίο ρίχνει αρχεία σε έναν κρυφό φάκελο ενώ εμφανίζει ένα δόλωμα PDF για να διατηρήσει την ψευδαίσθηση ενός γνήσιου τιμολογίου.
Μια σειρά από αρχεία δέσμης εκτελούνται το ένα μετά το άλλο, πρώτα απευθυνόμενοι σε έναν απομακρυσμένο διακομιστή για λήψη ενός δεύτερου αρχείου προστατευμένου με κωδικό πρόσβασης που περιέχει το πραγματικό ωφέλιμο φορτίο.
Αυτό το αρχείο αποσυσκευάζει ένα φορητό αντίγραφο του AnyDesk, ένα εργαλείο email γραμμής εντολών, ένα βοηθητικό πρόγραμμα συμπίεσης και ένα μικρό πρόγραμμα που ονομάζεται Tray Minimizer που κρύβει τα παράθυρα της εφαρμογής από τον χρήστη.
Το σενάριο σταματά για περίπου ένα λεπτό, πιθανότατα να διαρκέσει περισσότερο από αυτοματοποιημένους ελέγχους sandbox. Στη συνέχεια διαμορφώνει το AnyDesk με έναν προκαθορισμένο κωδικό πρόσβασης, ώστε ο εισβολέας να μπορεί να συνδεθεί χωρίς να εμφανίζονται προτροπές στην οθόνη και εκκινεί αθόρυβα το εργαλείο στο παρασκήνιο.
Μόλις εκτελεστεί το AnyDesk, το σενάριο συσκευάζει τα αρχεία διαμόρφωσης, τις ρυθμίσεις σύνδεσης και τα πιστοποιητικά του σε ένα νέο αρχείο προστατευμένο με κωδικό πρόσβασης.
Αυτό το αρχείο αποστέλλεται μέσω ηλεκτρονικού ταχυδρομείου μέσω ενός νόμιμου βοηθητικού προγράμματος αλληλογραφίας SMTP σε μια διεύθυνση ελεγχόμενη από τον εισβολέα, δίνοντας στους χειριστές ότι χρειάζονται για να διαχειριστούν τη συνεδρία αργότερα.
Κάλυψη ιχνών και παραμονή κρυμμένη
Αφού εδραιωθεί η επιμονή, το κακόβουλο σενάριο διαγράφει τα αρχεία εντολών, τα αρχεία καταγραφής κειμένου, τα αρχεία, τα εκτελέσιμα αρχεία και το decoy PDF που χρησιμοποιούνται κατά την εγκατάσταση.
Αυτός ο καθαρισμός αφαιρεί τα περισσότερα από τα εγκληματολογικά στοιχεία στα οποία θα βασιζόταν ο ερευνητής, καθιστώντας την εισβολή πιο δύσκολη στην ανακατασκευή στη συνέχεια.
Η χρήση του Tray Minimizer για να μην φαίνεται το AnyDesk είναι ένα αποτελεσματικό τέχνασμα αποφυγής, καθώς το Το ίδιο το εργαλείο απομακρυσμένης πρόσβασης είναι νόμιμο λογισμικό πολλά προϊόντα ασφαλείας δεν θα επισημαίνουν.
.webp)
Σε συνδυασμό με την προγραμματισμένη επιμονή εργασιών και τη διαγραφή αρχείων, η προσέγγιση ευνοεί την ανάμειξη στην κανονική δραστηριότητα έναντι της ανάπτυξης προφανώς κακόβουλου κώδικα.
Οι ερευνητές δεν έχουν παρατηρήσει εξόρυξη κρυπτονομισμάτων σε αυτό το συγκεκριμένο δείγμα, αν και σχετικές καμπάνιες από τον ίδιο παράγοντα έχουν αναπτύξει εργαλεία εξόρυξης μετά την καθιέρωση μόνιμης πρόσβασης. Το οικονομικό κέρδος μπορεί να εξακολουθεί να είναι ένας δευτερεύων στόχος όταν εξασφαλιστεί ο απομακρυσμένος έλεγχος.
Οι οργανισμοί της αεροδιαστημικής και των συναφών βιομηχανικών τομέων θα πρέπει να αντιμετωπίζουν τα μη αναμενόμενα email τιμολογίων με προσοχή, ειδικά εκείνα που προέρχονται από νέους καταχωρημένους τομείς.
Επειδή τα εργαλεία εδώ αποτελούνται εξ ολοκλήρου από νόμιμα, ευρέως χρησιμοποιούμενα βοηθητικά προγράμματα, η ανίχνευση βάσει υπογραφών μπορεί να δυσκολευτεί να επισημάνει την εισβολή.
Η παρακολούθηση συμπεριφοράς που επικεντρώνεται στην προγραμματισμένη δημιουργία εργασιών και την εξαγωγή αρχείου προσφέρει μια πιο αξιόπιστη διαδρομή για τη σύλληψη αυτής της δραστηριότητας.
Δείκτες συμβιβασμού (IoCs):-
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| SHA256 Κατακερματισμός | 47854deb456cb08c651b7f9ae2f9d87c72d0719de6af233340632efb3c1980f4 | Κακόβουλο εκτελέσιμο/σταγονόμετρο στοιχείο |
| SHA256 Κατακερματισμός | 12648cd9d425f78db2dbc6e03c14f11e6ac6aadf8b3975c23cce9519e2b58d33 | Κατακερματισμός αρχείου σχετικού ωφέλιμου φορτίου |
| SHA256 Κατακερματισμός | f57e010541fb4ccbf23aefc4a827f753a6ff3f8792d9c04c3eea83f6963c6bae | Κατακερματισμός αρχείου σχετικού ωφέλιμου φορτίου |
| SHA256 Κατακερματισμός | 0dc0fa727f900ed5033f46f8ba6cf2d97d20ab95fd334cabc0f216da6e0622b0 | Κατακερματισμός αρχείου σχετικού ωφέλιμου φορτίου |
| Διεύθυνση IP | 198.54.120[.]13 | Υποδομή επιτιθέμενων |
| Διεύθυνση IP | 194.87.57[.]81 | Υποδομή επιτιθέμενων |
| Διεύθυνση IP | 2.23.88[.]201 | Υποδομή επιτιθέμενων |
| Διεύθυνση IP | 109.106.178.14 | Υποδομή επιτιθέμενων |
| Πεδίο ορισμού | aviatronika[.]online | Παραπλανητικός όμοιος τομέας |
| Πεδίο ορισμού | vniir-avia[.]χώρος | Παραπλανητικός τομέας που πλαστοπροσωπεί το ινστιτούτο VNIIR, που χρησιμοποιείται για την αποστολή email ηλεκτρονικού ψαρέματος |
| Πεδίο ορισμού | fgub-vniir[.]χώρος | Παραπλανητικός όμοιος τομέας |
| Πεδίο ορισμού | vniir-πληροφορίες[.]χώρος | Παραπλανητικός όμοιος τομέας |
| Πεδίο ορισμού | nova-stream[.]τοποθεσία | Παραπλανητικός όμοιος τομέας |
Σημείωση: Οι διευθύνσεις IP και οι τομείς είναι σκόπιμα αλλοιωμένοι (π.χ. [.]) για την αποφυγή τυχαίας επίλυσης ή υπερσύνδεσης. Re-fang μόνο σε ελεγχόμενες πλατφόρμες πληροφοριών απειλών όπως το MISP, το VirusTotal ή το SIEM σας.

