Cybuloviny 22/24

V dnešním vydání Cybulovin se zaměříme na kybernetické aktivity Ruska a Běloruska. Zbytek světa bude reprezentovat nová kampaň aktéra Mustang Panda, který patří mezi nejaktivnější APT skupiny jednající v zájmu Čínské lidové republiky.

Příjemné čtení.

Tým Cybule

Obsah:

  • Mustang Panda využívá nové nástroje a postupy proti cílům v jihovýchodní Asii
  • Phishingové útoky COLDRIVER: Nová vlna proti ruským a běloruským nevládním organizacím
  • Polsko rozbilo kybernetickou sabotážní skupinu napojenou na Rusko a Bělorusko

Mustang Panda využívá nové nástroje a postupy proti cílům v jihovýchodní Asii

(10.9.2024, Sophos, 9.9.2024, Trend Micro. 6.9.2024, Unit 42)

Analytici kyberbezpečnostních společností Trend Micro a Palo Alto (resp. analytický tým Unit 42) se nezávisle na sobě věnovali čínskému aktérovi známému jako Mustang Panda (známý také jako Earth Preta, Stately Taurus, RedDelta nebo Camaro Dragon). Trend Micro se zaměřil na nové nástroje a postupy v arzenálu dlouhodobě aktivní čínské APT skupiny. Konkrétně jde o nové varianty červa HIUPAN a downloaderu PUBLOAD. Útočníci k rozšíření malwaru na systémy svých obětí používají USB disky. K rozšíření malwaru dojde poté co uživatel počítače, kde útočník již nainstaloval HIUPAN a PUBLOAD, použije přenosný disk. HIUPAN detekuje USB disk a nainstaluje se na přenosné zařízení společně s PUBLOAD. Vzhledem ke schopnosti sebereplikace se HIUPAN (a s ním PUBLOAD) samostatně šíří na další stanice. Šíření malwaru přes infikované USB disky je v souladu s dříve pozorovanou aktivitou Mustang Panda. Trend Micro v kampani zaměřené na organizace v jihovýchodní Asii pozoruje i spearphishingovou kampaň, která začala nejpozději v květnu 2024.

Mechanismus šíření červa HIUPAN přes USB disky (Trend Micro)

Tým Unit 42 publikoval analýzu, která mapuje zneužití nástroje Microsoft Visual Studio Code (VS Code), konkrétně vestavěné schopnosti reverse shell, pro spuštění libovolného kódu a instalaci malwaru na systémech obětí. Analytici Unit 42 upozorňují na skutečnost, že jde o relativně nově objevenou techniku, zdokumentovanou v září 2023, a dostupné údaje naznačují, že Mustang Panda je prvním aktérem, který ji zneužil ve škodlivé kampani.

Co potřebujete vědět:
  • HIUPAN je klasifikován jako červ, tj. jedná se o typ malwaru, který má schopnost samostatného šíření. Zatímco HIUPAN usnadňuje šíření prostřednictvím vyměnitelných disků, PUBLOAD provádí počáteční sběr systémových informací za účelem zmapování napadené sítě.
  • Exfiltrace probíhá různými způsoby, nejčastější z nich je použití cURL pro nahrání souborů shromážděných v RAR souboru na FTP server kontrolovaný útočníkem. Při kolekci se útočník zaměřuje na dokumenty (.doc, .docx, .xls, .xlsx, .pdf, .ppt, .pptx), které byly upraveny po specifickém datu.
  • Před deseti lety byl malware šířený přes USB mnohem rozšířenější, kdy hackeři mohli infiltrovat organizace pouhým zanecháním flash disků například na parkovištích organizací, které byly cílem. Nicméně, jak se tento vektor útoku stal známým a alternativní metody ukládání a přenosu souborů se staly populárnějšími, tato technika upadla v zapomnění. V posledních letech však APT skupiny oživují použití USB jako účinného infekčního vektoru.
  • VS Code je nástroj pro editaci kódu s podporou pro spouštění úkolů, debugging a další funkce pro vývojářské týmy, který funguje na hlavních operačních systémech.
  • Zatímco současná kampaň míří na organizace v JV Asii, Mustang Panda byli v roce 2022 velmi aktivní v Evropě s využitím témat spojených s ruskou agresí proti Ukrajině pro spearphishingové návnady.

Komentář Cybule: Mustang Panda patří dlouhodobě mezi nejaktivnější čínské aktéry, který se na Cybuli neobjevuje poprvé a zcela jistě ne naposled. Analýzy Unit 42 a Trend Micro dobře ukazují, že vysoce aktivní APT skupiny se nespoléhají jen na osvědčené techniky a fungující nástroje. Jejich úspěch je podpořený průběžným vývojem svých nástrojů a hledání nových vektorů útoku a taktik, včetně využívání nástrojů dostupných na cílových systémech, jako je například VS Code.

Phishingové útoky COLDRIVER: Nová vlna útoků proti ruským a běloruským nevládním organizacím

(9.9.2024,The Register)

Společnost Citizen Lab upozornila na vysoce cílené phishingové útoky APT skupiny COLDRIVER (známé také jako SEABORGIUM, TA446, BlueCharlie, Star Blizzard nebo Callisto), která je napojena na ruskou zpravodajskou službu FSB. Útoky se zaměřují především na nevládní organizace, jako je například Free Russia Foundation, a svým dopadem mohou způsobit vážné škody, včetně krádeže citlivých údajů nebo politických represí.

Co potřebujete vědět:
  • Phishingové útoky byly záměrně přizpůsobeny jednotlivým obětem a často byly zasílány z kompromitovaných účtů nebo falešných profilů vydávajících se za osoby, které oběti znaly.
  • Útočníci použili taktiku, kdy první e-mail obsahoval přílohu, která vypadala jako uzamčený soubor PDF, a v dalším e-mailu byl zaslán odkaz, který měl soubor odemknout. Tento odkaz však vedl na falešnou stránku určenou k získání přihlašovacích údajů, pomocí kterých útočník získal přístup k e-mailovému účtu oběti.
  • Uvedené útoky mohou mít dopad zejména na ruské a běloruské nevládní organizace a nezávislá média, protože e-mailové schránky jejich zaměstnanců často obsahují důvěrné informace o jejich konkrétní činnosti, kontaktech a místě pobytu.
  • Nutno podotknout, že jakýkoli kontakt mezi těmito organizacemi a zahraničními subjekty může ruská vláda považovat za důkaz toho, že se jedná o „zahraničního agenta“ nebo „nežádoucí organizaci“. Takové označení může vést nejen k politickým represím, ale také k trestnímu stíhání a uvěznění zúčastněných osob.

Komentář Cybule: Skupina COLDRIVER, napojená na FSB, je kybernetická útočná jednotka aktivní od roku 2019. Zaměřuje se především na nevládní organizace, vládní instituce, kritickou infrastrukturu a dokonce i na volební procesy na Západě. Její phishingové útoky představují závažnou hrozbu zejména pro nevládní organizace a nezávislá média, což je zvláště alarmující v kontextu rostoucího politického napětí v Rusku a Bělorusku. Tyto útoky nejen ohrožují bezpečnost citlivých informací, ale mohou být také využity k politické represi, čímž dochází k nebezpečnému propojení kybernetických hrozeb s reálnými politickými důsledky.

Polsko rozbilo kybernetickou sabotážní skupinu napojenou na Rusko a Bělorusko

(9.9.2024, The Record)

Polské bezpečnostní složky oznámily odhalení sabotážní skupiny, která byla napojena na ruské a běloruské kybernetické operace. Tato skupina se pokusila destabilizovat Polsko prostřednictvím cílených kybernetických útoků, které zahrnovaly získávání citlivých informací z vládních a státních organizací.

Co potřebujete vědět:
  • Polské bezpečnostní složky rozbily kybernetickou sabotážní skupinu, která se pokusila paralyzovat zemi prostřednictvím kybernetických útoků.
  • Skupina, jejíž členové nebyli veřejně identifikováni, vylákala od polských vládních agentur a státních společností vojenské a bezpečnostní informace.
  • Mezi významné aktivity této skupiny patřil i útok na polskou antidopingovou agenturu POLADA, ve které uniklo více než 50 000 citlivých souborů, včetně lékařských záznamů a výsledků testů polských sportovců. K odpovědnosti za tento útok se přihlásila skupina Beregini, která se prezentuje jako „ukrajinská hackerská skupina“ a tvrdí, že její akce byly reakcí na politizaci Olympijských her.
  • Polský ministr pro digitální záležitosti Krzysztof Gawkowski označil činnosti skupiny za „de facto kybernetickou válku“ a uvedl, že útoky měly za cíl destabilizovat Polsko v politické, vojenské a ekonomické oblasti.
  • Na rozbití kybernetické sabotážní skupiny se podílely dvě klíčové organizace: ABW (Agencja Bezpieczeństwa Wewnętrznego), polská vnitřní zpravodajská služba, která hraje zásadní roli v ochraně národní bezpečnosti a předcházení hrozbám, včetně kybernetických útoků, a NASK (Naukowa i Akademicka Sieć Komputerow) , která se zaměřuje na kybernetickou bezpečnost a ochranu informačních systémů v Polsku.

Komentář Cybule: Bude jistě zajímavé sledovat, zda se podaří odhalit skupinu stojící za sabotážními útoky proti polským státním institucím. V současnosti je jediným známým útočníkem skupina Beregini, která již dříve spolupracovala s proruskými organizacemi na šíření falešných dokumentů a dezinformací o ukrajinských válečných plánech. Tato taktika je typická pro Rusko, které využívá hacktivistické skupiny k zastírání činnosti svých zpravodajských služeb a ztěžuje tak přiřazení škodlivých aktivit přímo ruskému státu.

Přejít nahoru