Cybuloviny 10/24

Nizozemsko a pravděpodobně i další země se stávají terčem rozsáhlé kybernetické kampaně vedené Čínou. Malware s názvem Coathanger, zaměřený na firewally FortiGate, umožňuje útočníkům získat trvalý přístup k infikovaným zařízením. Proukrajinské APT skupiny reagují na kybernetickou ofenzivu Ruska a Běloruska a mění své taktiky. Místo přímých útoků se nyní zaměřují na sofistikované phishingové kampaně, které cílí na zaměstnance v leteckém a farmaceutickém průmyslu. A jako třetí téma vám přinášíme analýzu společnosti Sophos, která vyšetřuje kompromitaci vládní instituce v jihovýchodní Asii vícero čínskými skupinami najednou.

Příjemné čtení.

Tým Cybule

Obsah:

  • Skupina čínských APT cílí na vládní instituce v jihovýchodní Asii
  • Malware Coathanger: Skrytá čínská hrozba s dalekosáhlými dopady
  • Sticky Werewolf: Nová kyberhrozba pro Rusko a Bělorusko

Skupina čínských APT cílí na vládní instituce v jihovýchodní Asii

(4.6.2024, Sophos 1 | 2)

Čínská státem podporovaná kyberšpionážní operace s kódovým názvem Crimson Palace cílila na nejmenovanou vládní instituci v jihovýchodní Asii. Kampaň, která probíhá od března 2022, se vyznačuje zapojením více aktérů a vysokou mírou jejich koordinace. Podle zjištění Sophosu měli útočníci za cíl udržovat přístup k síti a sbírat citlivé informace. Složitost a koordinace operace naznačují zapojení více aktérů pod jednou organizací.

Sophos identifikoval celkem tři uskupení aktivit, které se navzájem překrývají a každá ze skupin má překryv s jedním či více známými aktéry kybernetických hrozeb. Splečným prvkem všech tří uskupení je společná infrastruktura, souběžná přítomnost v systémech oběti a aktivita odpovídající čínské pracovní době. První uskupení (Cluster Alpha) se vyznačuje podobností aktérům BackdoorDiplomacy, REF5961, Worok a TA428. Cluster Bravo je přisuzován nové skupině Unfading Sea Haze, aktivní v regionu Jihočínského moře, a třetí Cluster Charlie je spojován s aktérem Earth Longzhi, který je považován za podskupinu skupiny APT41.

Tři uskupení aktivní v operaci Crimson Palace (Sophos)

Co potřebujete vědět:
  • Sophos neodhalil identitu napadené instituce, ale společnost uvedla, že se jedná o vládní instituce země, která má opakované konflikty s Čínou o území v Jihočínském moři, což naznačuje, že by se mohlo jednat o Filipíny. Ty byly v minulosti cílem útoků čínských státem podporovaných skupin.
  • Sophos s vysokou mírou pravděpodobnosti přisuzuje aktivitu čínskému státu, ale sdržuje se identifikování konkrétních skupin. Jedním z důvodů je, že čínské kyberšpionážní skupiny často sdílejí infrastrukturu a nástroje, což ztěžuje jejich jednoznačnou identifikaci.
  • Cluster Alpha je spojován se skupinou BackdoorDiplomacy, která je více známá jako APT15 (Mandiant), Ke3Chang (ESET) nebo VIXEN PANDA (CrowdStrike). Jedná se o aktéra, který je aktivní nejméně od roku 2010 a v letech 2014-2019 stál za velkým množstvím kompromitací ministerstev zahraničních věcí v Evropě. Narozdíl od řady čínských APT skupin se u APT15 doposud nepodařilo určit jestli působí v rámci čínské armády, civilní rozvědky nebo je jedním z mnoha soukromých kontraktorů, kteří pracují pro čínský stát.
  • Identita skupiny APT41 je naopak známa. Jedná se o čínského kontraktora Chengdu 404. Earth Longzhi je pravděpodobně jedním z ofenzivných týmů působících v rámci Chengdu 404.
  • Minimálně v jednom případě došlo k exfiltraci velkého objemu dat, včetně citlivých vojenských a politických dokumentů, údajů o IT architektuře a přihlašovacích údajů a tokenů. K této aktivitě došlo v listopadu 2023 a stál za ní Cluster Charlie.

Komentář Cybule: Čínské kyberšpionážní skupiny jsou dlouhodobě aktivní v oblasti Jihočínského moře a útočí na vládní instituce i regionální organizace jako je Sdružení národů jihovýchodní Asie (ASEAN). Filipínsko-čínské vztahy jsou v posledních měsících vyhrocené kvůli čínskému blokování přístupu k oblastem Jihočínského moře, které Peking považuje za své území, přestože mezinárodní soud označil čínské nároky za nezákonné v červenci 2016.

Sticky Werewolf: Nová kyberhrozba pro Rusko a Bělorusko

(Morphisec, 6.6.2024)

Sticky Werewolf je skupina, která se poprvé objevila v roce 2023. Původně se její aktivity zaměřovaly na Bělorusko a Rusko, kde se soustředila na farmaceutický sektor. Nedávno však rozšířila své operace i na letecký průmysl. Ve své nejnovější kampani využila propracovaný phishing v podobě falešných pozvánek na videokonference, které cílily na klíčové osoby v leteckém průmyslu.

Co potřebujete vědět:
  • Sticky Werewolf používá k útokům spearphishingové zprávy, které vypadají jako pozvánky na videokonference.
  • E-mail obsahuje heslem chráněný archiv, který má přimět příjemce k otevření souborů pod záminkou obchodního setkání.

Infekční řetězec (morphisec)

  • Archiv obsahuje legitimní PDF soubor a dva škodlivé soubory LNK. Soubor PDF obsahuje v textu také odkazy na zmíněné soubory LNK (jsou totožné se soubory v archivu), kterými jsou:
    • Повестка совещания.docx.lnk (Agenda schůze)
    • Список рассылки.docx.lnk (Seznam adresátů)
  • Jakmile oběť klikne na první LNK soubor, spustí se řada akcí, kterými jsou:
    • Přidání položky do registru pro spuštění WINWORD.exe ze sdílené složky,
    • zobrazení hlášky v ruštině, že daný soubor je poškozený,
    • zkopírování souboru image.jpg z jiného sdíleného síťového adresáře \\79.132.128[.]47\image.jpg do lokálního root adresáře.
  • Druhý LNK soubor Список рассылки.docx.lnk (Seznam adresátů) spustí příkaz \\document-cdn[.]org\Microsoft Office Word$\WINWORD.exe, který spustí stejný exe soubor jako v první LNK.
  • Exe soubor je samorozbalovací archiv NSIS, který je součástí známého kryptoru CypherIT.
  • Archiv NSIS extrahuje soubory do adresáře $INTERNET_CACHE, který se nachází v adresáři %LocalAppData%\Microsoft\Windows\INetCache a bývá používán pro dočasné uložení souborů aplikace Internet Explorer. Po extrakci dochází ke spuštění souborů, včetně obfuskovaného batch scriptu.
  • Batch script má několik funkcí, včetně spuštění AutoIT, který provádí anti-analýzu a anti-emulaci, zajišťuje perzistenci a unhooking.
  • Hlavní cílem skupiny je nasazení škodlivého payloadu, vytvoření perzistence a vyhnutí se bezpečnostním mechanismů – především od společností jako je AVAST, SOPHOS, NORTON SECURITY, WEBROOT.
  • Sticky Werewolf běžně používá RAT a stealery jako Rhadamanthys Stealer a Ozone RAT. V minulosti byly používány také MetaStealer, DarkTrack a Netwire, které slouží především k špionáži a exfiltraci dat.

Komentář Cybule: Z analytického pohledu je zajímavé sledovat nárůst kybernetických útoků cílených na Rusko a Bělorusko v posledních měsících. Z technického hlediska je obzvláště rafinovaná technika vložení LNK souborů do PDF dokumentu. Je důležité podotknout, že Sticky WereWolf není jedinou aktivní skupinou v ruském a běloruském kyberprostoru. Dalšími známými aktéry, kteří se zaměřují na Rusko a Bělorusko, jsou Sapphire WereWolf, Fluffy Wolf a Mysterious WereWolf. Tyto skupiny si získaly pozornost především díky důkladné analýze ruské společnosti BI.ZONE, která patří mezi přední lídry v oblasti odhalování kybernetických hrozeb v Rusku.

Malware Coathanger: Skrytá čínská hrozba s dalekosáhlými dopady

(NCSC, 10.6.2024)

V únoru 2024 Nizozemské národní centrum pro kybernetickou bezpečnost (NCSC) ve spolupráci se zpravodajskými službami MIVD a AIVD zveřejnilo zprávu o sofistikovaném malwaru s názvem “Coathanger“, který cílil na systémy FortiGate. Od té doby MIVD provedlo další vyšetřování a ukázalo se, že čínský útočník získal přístup k nejméně 20 000 systémům FortiGate po celém světě během několika měsíců v roce 2022 a 2023 prostřednictvím zranitelnosti s charakteristickou CVE-2022-42475 . Kromě toho výzkum ukazuje, že státní útočník stojící za touto kampaní si byl této zranitelnosti v systémech FortiGate vědom nejméně dva měsíce předtím, než Fortinet tuto zranitelnost oznámil. Během tohoto takzvaného “nultého dne” útočník infikoval 14 000 zařízení. Mezi cíle patří desítky (západních) vlád, mezinárodních organizací a velký počet společností v obranném průmyslu.

Co potřebujete vědět:
  • MIVD odhalil, že čínská hackerská skupina získala přístup k nejméně 20 000 systémům FortiGate po celém světě, což je mnohem více, než se dříve předpokládalo.
  • Mezi cíle patřily desítky vlád, mezinárodní organizace a obranné společnosti, což naznačuje, že kampaň měla za cíl shromažďovat citlivé politické a průmyslové informace.
  • Útočníci zneužili kritickou zranitelnost v softwaru FortiOS/FortiProxy, která jim umožnila vzdáleně spustit kód na zranitelných zařízeních.
  • Čínská APT skupina nasadila malware s názvem “Coathanger”, který je obtížné odhalit a odstranit. Malware dokáže přežít restartování systému a upgrady firmwaru a umožňuje útočníkum trvalý přístup k infikovaným systémům.
  • I přes technickou zprávu o malwaru COATHANGER je obtížné identifikovat a odstranit infekce od aktéra. NCSC a nizozemské zpravodajské služby proto uvádějí, že je pravděpodobné, že státem sponzorovaná APT má stále přístup k systémům značného počtu obětí.

Komentář Cybule: Trend zneužívání zranitelností na tzv. edge zařízeních, jako jsou firewally, VPN servery, routery patří na Cybuli již k evergreenům. Je však klíčové si uvědomit, že i po instalaci bezpečnostní aktualizace FortiGate si malware Coathanger, resp. útočník, dokáže v systému udržet persistenci. Tento fakt představuje vážný problém a podtrhuje náročnost boje proti této sofistikované kybernetické hrozbě. V únorové zprávě Fortinetu k malwaru Coathanger se objevují zajímavé informace ohledně atribuce. Za útokem pravděpodobně stojí jeden ze tří aktérů: APT31, Volt Typhoon nebo APT15. Každý z těchto aktérů má v oblasti kybernetické bezpečnosti bohaté zkušenosti s pokročilými technikami, které by mohly být využity při vývoji malwaru Coathanger.

Přejít nahoru