Nowy atak grupy szpiegowskiej BackdoorDiplomacy – jak bronić się przed cyberatakami?

Bitdefender Labs niedawno wykrył szeroko zakrojoną operację cyberszpiegowską o nazwie BackdoorDiplomacy powiązaną z rządem Chin, która była wymierzona przeciwko dostawcom usług telekomunikacyjnych na Bliskim Wschodzie. Aby odkryć tę akcję, producent oprogramowania wykorzystał szeroką gamę narzędzi, zarówno open source, jak i tych tworzonych na zamówienie. BackdoorDiplomacy to przedstawiciel tak znanej zaawansowanej grupy trwałych zagrożeń (advanced persistent threat group – APT).

APT to ciągły, wyrafinowany atak cybernetyczny, który wykorzystuje złożony zestaw taktyk, technik i procedur. Cyberprzestępcy, którzy go przeprowadzają, są często dobrze finansowani, doświadczeni i sponsorowani (lub przynajmniej akceptowani) przez kraje, z których przeprowadzają ataki. Chociaż hakerzy zazwyczaj skupiają się na celach, z których mogą wyłudzić duże sumy pieniędzy, to często atakują także mniejsze firmy, które są częścią łańcucha dostaw ich zamierzonego celu.

Oprócz poziomu zaawansowania innym atrybutem definiującym atak ATP jest cel pozostania niewykrytym przez dłuższy czas. Wraz z rosnącą popularnością modelu podziału zysków Ransomware-as-a-Service (RaaS), cyberprzestępcy potrzebują więcej czasu na przygotowanie się do ataku. Partnerzy ransomware – odpowiedzialni za operacjonalizację złośliwego oprogramowania – wykorzystują ten czas do zbierania i eksfiltracji cennych danych lub lokalizowania informacji, które mogą pomóc im właściwie obliczyć maksymalny potencjalny okup.

Jedną z najpopularniejszych technik wykorzystywanych przez podmioty stowarzyszone z oprogramowaniem ransomware w celu uniknięcia wykrycia jest podejście living-off-the-land. Zamiast wdrażać zwykłe złośliwe oprogramowanie, które może zostać wykryte przez nowoczesne mechanizmy bezpieczeństwa, cyberprzestępcy używają plików binarnych, skryptów lub bibliotek, które już znajdują się w systemie docelowym (lub można je pobrać bez wzbudzania podejrzeń). Listę plików binarnych i ich nieoczekiwanego użycia do celów ofensywnych można znaleźć w projekcie LOLBAS.

Cyberbezpieczeństwo to niekończąca się zabawa w kotka i myszkę. W miarę jak atakujący rozwijają swoje techniki, firmy na całym świecie dostosowują swoje metody cyberochrony i wdrażają nowe funkcje wykrywania i reagowania w postaci usługi (MDR) lub produktu (XDR). Nowoczesne rozwiązania do wykrywania i reagowania, takie jak Bitdefender XDR są bardzo skuteczne i minimalizują ryzyko skutecznego ataku. Poniżej przedstawiamy wykres, który udowadnia, że te moduły są coraz popularniejsze wśród wszystkich firm, niezależnie od ich wielkości.

Możliwości wykrywania i reagowania są obecnie powszechnie stosowane przez małe i średnie firmy. Źródło: Bitdefender Cybersecurity Survey Survey 2022

Aby przeciwdziałać rosnącej popularności i skuteczności narzędzi do wykrywania i reagowania, APT używają szeregu metod, które mają na celu uniknięcie wykrycia. Wiele grup APT ma solidne podstawy finansowe i dostęp do profesjonalnych programistów i konsultantów ds. bezpieczeństwa, a niektóre zespoły opracowują obecnie niestandardowe narzędzia do kierowania urządzeń ICS/SCADA. Jak widzieliśmy w niedawnej ocenie „Advanced Threat Protection – Enterprise” przeprowadzonej przez AV-Comparatives, ataki APT są często wykrywane dopiero po tym, gdy już dokonają zmian w sieciach ofiar. Dlatego biorąc pod uwagę wysokie ryzyko stania się ofiarą takiej grupy, poniżej publikujemy podsumowanie szczegółowej analizy ataku BackdoorDiplomacy.

Raport z atak grupy szpiegowskiej BackdoorDiplomacy

Szczegółowa anatomia ataku, w tym wszystkie znane wskaźniki kompromitacji (IOC), jest dostępna w pełnym dokumencie badawczym: „Cyberszpiegostwo na Bliskim Wschodzie: badanie nowej kampanii aktorów zagrożeń dyplomacją typu backdoor ”. Poniżej przedstawimy podsumowanie tego raportu.

Początek ataku

Początkowym wektorem infekcji była instancja serwera Exchange wykorzystana przez znaną niezałataną lukę w zabezpieczeniach ProxyShell — połączenie luk CVE-2021-31207 (obejście uwierzytelnienia), CVE-2021-34523 (eskalacja uprawnień) i CVE-2021-34473 (zdalne wykonanie kodu). Jest to jedna z 15 najczęściej wykorzystywanych luk w zabezpieczeniach, umożliwiająca cyberprzestępcom wykonanie dowolnego kodu. Co zaskakujące, wykorzystywanie dobrze znanych luk w zabezpieczeniach jest nadal skuteczną metodą infiltrowania sieci przez podmioty powiązane z rządami innych krajów. Zgodnie z najnowszym raportem Data Breach Investigations Report jest to wektor ataku o niskich kosztach i dużej wartości, ponieważ ponad 30% ataków na aplikacje internetowe ma związek ze szpiegostwem. Ustalając priorytety strategii bezpieczeństwa, warto upewnić się, że te rutynowo wykorzystywane luki są traktowane jako najwyższy priorytet.

Atak BackdoorDiplomacy rozpoczął się od wiadomości e-mail, jednak nie był to tradycyjny atak typu phishing. Złośliwy ładunek został dołączony jako załącznik, a po odebraniu i przetworzeniu wiadomości e-mail przez serwer Exchange, luka została wykorzystana (bez kliknięcia załącznika lub nawet wyświetlenia wiadomości e-mail). Temat wiadomości e-mail i nazwa załącznika sugerują, że wykorzystano publiczny dowód słuszności koncepcji exploita ProxyShell.

Po uzyskaniu dostępu do tego systemu cyberprzestępcy wdrożyli dwie powłoki sieciowe na zaatakowanym serwerze Exchange. Powłoka sieciowa to złośliwy interfejs przypominający powłokę (zwykle napisany w językach programowania stron internetowych, takich jak JSP lub PHP), który jest używany do uzyskiwania zdalnego dostępu do serwera sieciowego, zapewniając hakerowi dostęp nawet po naprawieniu wykorzystywanej luki w zabezpieczeniach. W tej operacji użyto dwóch typów powłok internetowych: ReGeorg oraz powłoki internetowej typu open source w języku C#.

Rekonesans, dostęp do poświadczeń i eskalacja uprawnień

Po początkowym ataku cyberprzestępcy kontynuowali wykrywanie, identyfikowanie i lokalizowanie innych komputerów oraz udziałów plików w sieci. Do wstępnego rozpoznania cyberprzestępcy wykorzystali kombinację wbudowanych narzędzi użytkowych, narzędzi wykrywających usługi Active Directory, skanerów typu open source i innego publicznie dostępnego oprogramowania (skaner portów NimScan , IPv4/IPv6 skaner SoftPerfect Network Scanner, skaner NetBIOS NBTscan i inne).

Ponadto hakerzy zbierali również informacje o użytkownikach i grupach, które wyodrębnili z serwera Exchange przez PowerShell (Get-User -ResultSize Unlimited | Select-Object -Property Name), z udziałem członków Active Directory z grup „Administratorzy domeny”, „Użytkownicy pulpitu zdalnego” i innych niestandardowych grup. 

Poświadczenia zostały wyodrębnione z rejestru przez uruchomienie następujących poleceń: 

• reg save hklm\sam sam.hive
• reg save hklm\security security.hive
• reg save hklm\system system.hive

Aby przechwycić więcej danych uwierzytelniających, cyberprzestępcy włączyli w rejestrze protokół Digest Authentication Protocol (WDigest). Jest to starszy protokół używany w systemie Windows Server 2003 i starszych systemach operacyjnych, który wymaga przechowywania w pamięci haseł w postaci zwykłego tekstu. Włączając ten protokół, hakerzy mogą zbierać nie tylko skróty haseł, ale także hasła w postaci zwykłego tekstu dla wszystkich użytkowników uwierzytelnionych na serwerze.

W celu eskalacji uprawnień cyberprzestępcy użyli niestandardowego narzędzia %LocalAppData%\VMware\t.exe. Ten binarny moduł ładujący wyodrębnił i uruchomił w pamięci ładunek — kod eskalacji uprawnień oparty na luce CVE-2018-8440 , czyli binarny moduł ładujący napisany w języku programowania Nim, który nie jest powszechnie używany – cyberprzestępcy prawdopodobnie wybrali go, aby uniknąć wykrycia przez zespoły bezpieczeństwa, które nie znają tego języka. Nowy język programowania tworzy sekwencje kodu bajtowego, które są nieznane wielu narzędziom do wykrywania, i jest to jedna z typowych taktyk pomagających uniknąć wykrycia.

Ruch boczny

Po zebraniu podstawowych informacji o komputerach, sieciach i użytkownikach cyberprzestępcy usprawnili proces rekonesansu za pomocą niestandardowego narzędzia c:\windows\com\taskmgr.exe
(SHA256: ba757a4d3560e18c198110ac2f3d610a9f4ffb378f29fd29cd91a66e2529a67c).
To narzędzie wykorzystuje listę komputerów i listę poświadczeń uzyskanych wcześniej w celu zebrania większej ilości informacji i danych oraz do wykonania zdalnych poleceń.

To narzędzie jest przeznaczone do pracy w środowiskach grup roboczych i domen. Obsługuje zdalne wykonywanie w oparciu o PsExec, WMI (przy użyciu wmic.exe) lub przy użyciu zdalnych zaplanowanych zadań. Po połączeniu się z każdą maszyną zdefiniowaną w lokalnym pliku konfiguracyjnym, narzędzie to skopiuje lokalny skrypt wsadowy na maszynę zdalną, uruchomi go i pobierze plik wyjściowy z wyodrębnionymi informacjami.at.exe 

Zawiera również polecenia do wyświetlania klucza rejestru dla ustawień internetowych, uruchamiania kluczy rejestru i zawartości katalogu. Dane wyjściowe wszystkich poleceń przekierowywano do pliku lokalnego. Pełny raport zawiera przegląd tego narzędzia, w tym wszystkie parametry wiersza poleceń i logikę wewnętrzną. tasklist /svcipconfig /allipconfig /displaydnsnetstat -anonet startsysteminfonet usernet localgroup administratorsc:\Users 

Hakerzy wykorzystywali również inne narzędzia do przemieszczania się bocznego, w tym autonomiczne, ostre i .schtasks.exepsexec.exewmiexec.exesmbexec.py 

Eksfiltracja danych

Chociaż na początku trudno jest ustalić cel ataku hakerów, istnieje kilka artefaktów, które to sugerują. Pierwszym sygnałem jest wykorzystanie poleceń cmdlet PowerShell i serwera Exchange do pozyskiwania treści i metadanych wiadomości e-mail.Get-MailboxGet-MessageTrackingLog 

Podczas ataku BackdoorDiplomacy do eksfiltracji danych wykorzystano inne narzędzie oparte na projekcie open source sftp, które pobierało plik wykonywalny, a następnie przesyłało archiwum na ten sam serwer. Plik RAR był wielokrotnie używany do kompresji plików, takich jak wyniki wykrywania, wiadomości e-mail i pliki dziennika za pomocą naciśnięć klawiszy.rar.exe 

Kolejnym dowodem przemawiającym za hipotezą, że możemy mieć do czynienia z akcją szpiegowską, jest użycie keyloggera. Podczas ataku złośliwy komponent został załadowany przez legalny plik binarny credwiz.exe (jedno z wystąpień techniki sideloadingu DLL). Plik dziennika generowany przez ten keylogger nie jest szyfrowany – zawiera znacznik czasu, nazwę okna i wpisane naciśnięcia klawiszy.duser.dll 

W jaki sposób się bronić?

Niedawny atak BackdooRDiplomacy dowodzi tego, że zaniedbania w aktualizacjach oprogramowania użytkowego mogą doprowadzić do bardzo groźnych incydentów. Niestety nawet najbardziej restrykcyjna polityka bezpieczeństwa w firmie nie gwarantuje tego, że wszyscy pracownicy będą ich przestrzegać. Dlatego najlepszą ochroną przed nowoczesnymi cyberatakami jest wielowarstwowa obrona. Jeśli planujesz zabezpieczyć swoją firmę, to zacznij od zmniejszenia powierzchni potencjalnego ataku, koncentrując się na zarządzaniu poprawkami (nie tylko dla systemu Windows, ale dla wszystkich aplikacji i usług dostępnych w Internecie) oraz wykrywaniu błędnych konfiguracji. Do tego zadania doskonałym narzędziem będzie GravityZone Patch Management. Moduł ten umożliwia zdalną aktualizację wszystkich komputerów w firmie, dzięki temu będziesz mógł zniwelować ryzyko ataku na twoją firmę z powodu luk.

Jeśli chciałbyś poznać więcej możliwości, które zapewnia oprogramowanie Bitdefender, to zapraszamy do kontaktu.