Nizozemsko a pravděpodobně i další země se stávají terčem rozsáhlé kybernetické kampaně vedené Čínou. Malware s názvem Coathanger, zaměřený na firewally FortiGate, umožňuje útočníkům získat trvalý přístup k infikovaným zařízením. Proukrajinské APT skupiny reagují na kybernetickou ofenzivu Ruska a Běloruska a mění své taktiky. Místo přímých útoků se nyní zaměřují na sofistikované phishingové kampaně, které cílí na zaměstnance v leteckém a farmaceutickém průmyslu. A jako třetí téma vám přinášíme analýzu společnosti Sophos, která vyšetřuje kompromitaci vládní instituce v jihovýchodní Asii vícero čínskými skupinami najednou.
Příjemné čtení.
Tým Cybule
Obsah:
- Skupina čínských APT cílí na vládní instituce v jihovýchodní Asii
- Malware Coathanger: Skrytá čínská hrozba s dalekosáhlými dopady
- Sticky Werewolf: Nová kyberhrozba pro Rusko a Bělorusko
Skupina čínských APT cílí na vládní instituce v jihovýchodní Asii
Čínská státem podporovaná kyberšpionážní operace s kódovým názvem Crimson Palace cílila na nejmenovanou vládní instituci v jihovýchodní Asii. Kampaň, která probíhá od března 2022, se vyznačuje zapojením více aktérů a vysokou mírou jejich koordinace. Podle zjištění Sophosu měli útočníci za cíl udržovat přístup k síti a sbírat citlivé informace. Složitost a koordinace operace naznačují zapojení více aktérů pod jednou organizací.
Sophos identifikoval celkem tři uskupení aktivit, které se navzájem překrývají a každá ze skupin má překryv s jedním či více známými aktéry kybernetických hrozeb. Splečným prvkem všech tří uskupení je společná infrastruktura, souběžná přítomnost v systémech oběti a aktivita odpovídající čínské pracovní době. První uskupení (Cluster Alpha) se vyznačuje podobností aktérům BackdoorDiplomacy, REF5961, Worok a TA428. Cluster Bravo je přisuzován nové skupině Unfading Sea Haze, aktivní v regionu Jihočínského moře, a třetí Cluster Charlie je spojován s aktérem Earth Longzhi, který je považován za podskupinu skupiny APT41.
Tři uskupení aktivní v operaci Crimson Palace (Sophos)
Co potřebujete vědět:
- Sophos neodhalil identitu napadené instituce, ale společnost uvedla, že se jedná o vládní instituce země, která má opakované konflikty s Čínou o území v Jihočínském moři, což naznačuje, že by se mohlo jednat o Filipíny. Ty byly v minulosti cílem útoků čínských státem podporovaných skupin.
- Sophos s vysokou mírou pravděpodobnosti přisuzuje aktivitu čínskému státu, ale sdržuje se identifikování konkrétních skupin. Jedním z důvodů je, že čínské kyberšpionážní skupiny často sdílejí infrastrukturu a nástroje, což ztěžuje jejich jednoznačnou identifikaci.
- Cluster Alpha je spojován se skupinou BackdoorDiplomacy, která je více známá jako APT15 (Mandiant), Ke3Chang (ESET) nebo VIXEN PANDA (CrowdStrike). Jedná se o aktéra, který je aktivní nejméně od roku 2010 a v letech 2014-2019 stál za velkým množstvím kompromitací ministerstev zahraničních věcí v Evropě. Narozdíl od řady čínských APT skupin se u APT15 doposud nepodařilo určit jestli působí v rámci čínské armády, civilní rozvědky nebo je jedním z mnoha soukromých kontraktorů, kteří pracují pro čínský stát.
- Identita skupiny APT41 je naopak známa. Jedná se o čínského kontraktora Chengdu 404. Earth Longzhi je pravděpodobně jedním z ofenzivných týmů působících v rámci Chengdu 404.
- Minimálně v jednom případě došlo k exfiltraci velkého objemu dat, včetně citlivých vojenských a politických dokumentů, údajů o IT architektuře a přihlašovacích údajů a tokenů. K této aktivitě došlo v listopadu 2023 a stál za ní Cluster Charlie.
Komentář Cybule: Čínské kyberšpionážní skupiny jsou dlouhodobě aktivní v oblasti Jihočínského moře a útočí na vládní instituce i regionální organizace jako je Sdružení národů jihovýchodní Asie (ASEAN). Filipínsko-čínské vztahy jsou v posledních měsících vyhrocené kvůli čínskému blokování přístupu k oblastem Jihočínského moře, které Peking považuje za své území, přestože mezinárodní soud označil čínské nároky za nezákonné v červenci 2016.
Sticky Werewolf: Nová kyberhrozba pro Rusko a Bělorusko
(Morphisec, 6.6.2024)
Sticky Werewolf je skupina, která se poprvé objevila v roce 2023. Původně se její aktivity zaměřovaly na Bělorusko a Rusko, kde se soustředila na farmaceutický sektor. Nedávno však rozšířila své operace i na letecký průmysl. Ve své nejnovější kampani využila propracovaný phishing v podobě falešných pozvánek na videokonference, které cílily na klíčové osoby v leteckém průmyslu.
Co potřebujete vědět:
- Sticky Werewolf používá k útokům spearphishingové zprávy, které vypadají jako pozvánky na videokonference.
- E-mail obsahuje heslem chráněný archiv, který má přimět příjemce k otevření souborů pod záminkou obchodního setkání.
Infekční řetězec (morphisec)
- Archiv obsahuje legitimní PDF soubor a dva škodlivé soubory LNK. Soubor PDF obsahuje v textu také odkazy na zmíněné soubory LNK (jsou totožné se soubory v archivu), kterými jsou:
- Повестка совещания.docx.lnk (Agenda schůze)
- Список рассылки.docx.lnk (Seznam adresátů)
- Jakmile oběť klikne na první LNK soubor, spustí se řada akcí, kterými jsou:
- Přidání položky do registru pro spuštění WINWORD.exe ze sdílené složky,
- zobrazení hlášky v ruštině, že daný soubor je poškozený,
- zkopírování souboru
image.jpg
z jiného sdíleného síťového adresáře\\79.132.128[.]47\image.jpg
do lokálního root adresáře.
- Druhý LNK soubor Список рассылки.docx.lnk (Seznam adresátů) spustí příkaz
\\document-cdn[.]org\Microsoft Office Word$\WINWORD.exe
, který spustí stejný exe soubor jako v první LNK. - Exe soubor je samorozbalovací archiv NSIS, který je součástí známého kryptoru CypherIT.
- Archiv NSIS extrahuje soubory do adresáře
$INTERNET_CACHE
, který se nachází v adresáři%LocalAppData%\Microsoft\Windows\INetCache
a bývá používán pro dočasné uložení souborů aplikace Internet Explorer. Po extrakci dochází ke spuštění souborů, včetně obfuskovaného batch scriptu. - Batch script má několik funkcí, včetně spuštění AutoIT, který provádí anti-analýzu a anti-emulaci, zajišťuje perzistenci a unhooking.
- Hlavní cílem skupiny je nasazení škodlivého payloadu, vytvoření perzistence a vyhnutí se bezpečnostním mechanismů – především od společností jako je AVAST, SOPHOS, NORTON SECURITY, WEBROOT.
- Sticky Werewolf běžně používá RAT a stealery jako Rhadamanthys Stealer a Ozone RAT. V minulosti byly používány také MetaStealer, DarkTrack a Netwire, které slouží především k špionáži a exfiltraci dat.
Komentář Cybule: Z analytického pohledu je zajímavé sledovat nárůst kybernetických útoků cílených na Rusko a Bělorusko v posledních měsících. Z technického hlediska je obzvláště rafinovaná technika vložení LNK souborů do PDF dokumentu. Je důležité podotknout, že Sticky WereWolf není jedinou aktivní skupinou v ruském a běloruském kyberprostoru. Dalšími známými aktéry, kteří se zaměřují na Rusko a Bělorusko, jsou Sapphire WereWolf, Fluffy Wolf a Mysterious WereWolf. Tyto skupiny si získaly pozornost především díky důkladné analýze ruské společnosti BI.ZONE, která patří mezi přední lídry v oblasti odhalování kybernetických hrozeb v Rusku.
Malware Coathanger: Skrytá čínská hrozba s dalekosáhlými dopady
(NCSC, 10.6.2024)
V únoru 2024 Nizozemské národní centrum pro kybernetickou bezpečnost (NCSC) ve spolupráci se zpravodajskými službami MIVD a AIVD zveřejnilo zprávu o sofistikovaném malwaru s názvem “Coathanger“, který cílil na systémy FortiGate. Od té doby MIVD provedlo další vyšetřování a ukázalo se, že čínský útočník získal přístup k nejméně 20 000 systémům FortiGate po celém světě během několika měsíců v roce 2022 a 2023 prostřednictvím zranitelnosti s charakteristickou CVE-2022-42475 . Kromě toho výzkum ukazuje, že státní útočník stojící za touto kampaní si byl této zranitelnosti v systémech FortiGate vědom nejméně dva měsíce předtím, než Fortinet tuto zranitelnost oznámil. Během tohoto takzvaného “nultého dne” útočník infikoval 14 000 zařízení. Mezi cíle patří desítky (západních) vlád, mezinárodních organizací a velký počet společností v obranném průmyslu.
Co potřebujete vědět:
- MIVD odhalil, že čínská hackerská skupina získala přístup k nejméně 20 000 systémům FortiGate po celém světě, což je mnohem více, než se dříve předpokládalo.
- Mezi cíle patřily desítky vlád, mezinárodní organizace a obranné společnosti, což naznačuje, že kampaň měla za cíl shromažďovat citlivé politické a průmyslové informace.
- Útočníci zneužili kritickou zranitelnost v softwaru FortiOS/FortiProxy, která jim umožnila vzdáleně spustit kód na zranitelných zařízeních.
- Čínská APT skupina nasadila malware s názvem “Coathanger”, který je obtížné odhalit a odstranit. Malware dokáže přežít restartování systému a upgrady firmwaru a umožňuje útočníkum trvalý přístup k infikovaným systémům.
- I přes technickou zprávu o malwaru COATHANGER je obtížné identifikovat a odstranit infekce od aktéra. NCSC a nizozemské zpravodajské služby proto uvádějí, že je pravděpodobné, že státem sponzorovaná APT má stále přístup k systémům značného počtu obětí.
Komentář Cybule: Trend zneužívání zranitelností na tzv. edge zařízeních, jako jsou firewally, VPN servery, routery patří na Cybuli již k evergreenům. Je však klíčové si uvědomit, že i po instalaci bezpečnostní aktualizace FortiGate si malware Coathanger, resp. útočník, dokáže v systému udržet persistenci. Tento fakt představuje vážný problém a podtrhuje náročnost boje proti této sofistikované kybernetické hrozbě. V únorové zprávě Fortinetu k malwaru Coathanger se objevují zajímavé informace ohledně atribuce. Za útokem pravděpodobně stojí jeden ze tří aktérů: APT31, Volt Typhoon nebo APT15. Každý z těchto aktérů má v oblasti kybernetické bezpečnosti bohaté zkušenosti s pokročilými technikami, které by mohly být využity při vývoji malwaru Coathanger.