Dnes se podíváme na nové informace o čínských skupinách Velvet Ant a UNC3886 (častý host na Cybuli), které spojuje obliba v cílení na edge aplikace. To SCATTERED SPIDER má u nás dlouho odkládanou premiéru, protože se jinak jedná o jednoho z nejnebezpečnějších kyberkriminálních aktérů. Specialitou tohohle pavouka je sociální inženýrství, prakticky žádný malware a v poslední době i cílení na poskytovatele software-as-a-service (SaaS). SCATTERED SPIDER je pozoruhodný i tím, že se nejedná o ruskojazyčný kriminální gang. Rusko však v našem týdenním přehledu chybět nebude a patří mu čestné místo s kampaní APT29 Diplomatic Orbiter.
Příjemné čtení.
Tým Cybule
Obsah:
- Čínské skupiny UNC3886 a Velvet Ant útočí na edge aplikace
- Kyberkriminální skupina SCATTERED SPIDER cílí na SaaS poskytovatele
- Francouzská ANSSI varuje: Ruská APT skupina Nobelium zintenzivňuje útoky na diplomatické, vládní a IT subjekty
Čínské skupiny UNC3886 a Velvet Ant útočí na edge aplikace
(17.6.2024, Sygnia, 18.6.2024, Google Cloud)
Čínské skupině UNC3886 jsme se podrobně věnovali již dvakrát a oprávněně. Z nepřiřazených (UNC identifikátor znamená UNCategorized Threat Group) čínských aktéru patří UNC3886 mezi ty nejpokročilejší a je známá využíváním zero-day zranitelností na různých platformách, zejména cílí na tzv. edge zařízení Fortinet, VMware a Ivanti. Klíčové taktiky UNC3886 zahrnují zneužití chyb v zabezpečení síťových zařízení, hypervizorů a virtuálních strojů s cílem vyhnutí se detekce a udržení dlouhodobé přítomnosti v napadených prostředích. Analýza kyberbezpečnostní společnosti Mandiant přináší nové poznatky z pokračující analýzy zneužívání zero-day zranitelností v produktech VMware (specificky vCenter a ESXi serverů), které sahá až do roku 2021. Analytici Mandiantu se zaměřují na způsob a počáteční techniky útoku a následné kroky provedené v napadených prostředích po kompromitaci virtuálních strojů za účelem získání přístupu k kritickým systémům. Útočníci mj. využívali veřejně dostupné rootkity (REPTILE a MEDUSA) pro dlouhodobou perzistenci a nasazovali malware, který využíval důvěryhodné služby třetích stran pro řízení a kontrolu (C2). Dále překonávali přístupy a sbírali přihlašovací údaje pomocí backdoorů v Secure Shell (SSH) a získávali přihlašovací údaje pomocí vlastního malwaru (MOPSLED, RIFLESPINE).
Analýza izraelské firmy Sygnia ukazuje, že UNC3886 není zdaleka jedinou skupinou, která se zajímá o zařízení fungující na bezpečnostním perimetru nebo usnadňující přístup mezi jednotlivými segmenty sítě. Vyšetřování společnosti Sygnia odhalilo sofistikovaného útočníka, kterého označuje jako Velvet Ant. Vyšetřování potvrdilo, že útočník udržoval dlouhodobou přítomnost v síti organizace po dobu přibližně tří let. Útočník dosáhl několik let trvající přítomnosti tím, že vytvořil a udržoval několik opěrných bodů v prostředí oběti. Jedním z použitých mechanismů pro perzistenci byly starší nezabezpečené zařízení F5 BIG-IP s otevřeným přístupem z internetu. F5 BIG-IP zařízení jsou často umístěné na perimetru nebo mezi různými segmenty sítě. Útočníci, kteří takové zařízení kompromitují, mohou získat významnou kontrolu nad síťovým provozem bez vyvolání podezření. Sygnia upozorňuje na zavednou praxi u mnoha organizací, které sbírají a analyzují logy ze síťových zařízení, ale jejich pozornost je především zaměřena na aplikační logy, jako jsou záznamy o provozu a upozornění. Logy z operačního systému často zůstávají opomíjeny, buď kvůli omezením dodavatelů nebo nedostatečnému uznání jejich významu. Výsledkem může být, že zadní vrátka skrytá v F5 zařízení mohou uniknout detekci tradičními monitorovacími řešeními logů. Organizace kompromitovaná Velvet Ant měla dvě F5 BIG-IP zařízení, která poskytovala služby jako firewall, WAF, vyvažování zátěže a správu lokálního provozu. Tato zařízení byla přímo vystavena internetu a obě byla útočníkem kompromitována.
Postup kompromitace zařízení F5 BIG-IP (Sygnia)
Co potřebujete vědět:
- UNC3886 ve sledované kampani využila několika zero-day zranitelnosti, včetně CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware vCenter) a CVE-2023-20867 (VMware Tools), k provádění různých škodlivých aktivit, jako je nasazování backdoorů a získávání přihlašovacích údajů, které útočníci následně využili k pohybu napříč a hlouběji v systémech oběti.
- Aktivita UNC3886 se primárně zaměřila na subjekty v severní Americe, jihovýchodní Asii a Oceánii, ale oběti byly identifikovány také v Evropě, Africe a dalších částech Asie. Cílená odvětví zahrnují vlády, telekomunikace, technologie, letectví a obranu, stejně jako energetiku a veřejné služby.
- Skupina Velvet Ant prokázala mimořádnou znalost napadené sítě a odolnost vůči opakovaným pokusům o likvidaci přístupu ze strany Sygnie. Po objevení a odstranění jednoho opěrného bodu se útočník rychle přesunul k dalšímu. Sygnia tak musela útočníka vytlačit opakovaně.
- Sygnia zaznamenala nové známky aktivity Velvet Ant jen pár dní po prvním pokusu odepřít útočníkovi přístup. V síti napadené organizace objevily nová zařízení infikovaná malwarem PlugX. Narozdíl od prvního pokusu nekomunikovala infikovaná zažízení s externím C2 serverem. Následné vyšetřování odhalilo, že Velvet Ant nakonfiguroval starší fileserver v napadené síti jako interní C2 server pro kompromitovaná zařízení, která tak nevykazovala podezřelou komunikaci mimo interní síť. To znamená, že Velvet Ant nasadil dvě verze PlugX: první s externím C2 serverem pro koncové body s přístupem na internet k usnadnění exfiltrace odcizených informací a druhou bez C2 konfigurace, která byla nasazena výhradně na starších serverech.
- PlugX je velmi populární u čínských státem podporovaných skupin, používaný již od roku 2008. Tento nástroj je stále široce nasazený, i přes rostoucí oblíbenost ShadowPad, který se poprvé objevil v roce 2015. PlugX byl původně navržen pro poskytování vzdáleného přístupu k infikovaným systémům. Malware nicméně obsahuje modulární pluginový systém, který útočníkům poskytuje širokou škálu dalších schopností, které mohou být využity pro škodlivé účely.
Komentář Cybule: Případ skupiny Velvet Ant ukazuje na paradox platný u všech dlouhotrvajících kompromitací. Útočník s cílem udržet nepozorovanou přítomnost často vykazuje lepší znalost napadené sítě než její legitimní správci. Útočník je pak schopen odolávat opakovaným pokusům o vytlačení s pomocí předem připravených záložních přístupů buď přes kompromitovaná nebo zastaralá nezabezpečená zařízení.
Kyberkriminální skupina SCATTERED SPIDER cílí na SaaS poskytovatele
(13.6.2024, Google Cloud)
SCATTERED SPIDER je jedna z nejaktivnějších kyberkriminálních skupin, která po dobu své relativně krátké existence (prvni aktivita spadá do začátku roku 2022) již několikrát změnila postupy a zacílení. Nová studie Mandiantu upozorňuje na jednu takovou změnu. Kromě stávajícího cílení na software provozovaný na lokálních sítích (tzv. on premise nebo on-prem), se SCATTERED SPIDER od konce nového roku začal zaměřovat na cloudová software-as-a-service (SaaS) prostředí. Mandiant ve své analýze zmiňuje například neoprávněný přístup k aplikacím jako vCenter, CyberArk, Salesforce, Azure, CrowdStrike, Amazon Web Services (AWS) a Google Cloud Platform (GCP). K přístupu do SaaS aplikací chráněných poskytovateli tzv. jednotného přihlášení (single sign on, SSO) používá skupina právě ukradené přihlašovací údaje.
SCATTERED SPIDER, také známý jako Octo Tempest, Starfraud, UNC3944 či Muddled Libra, je skupina mimořádně zdatná v sociálním inženýrství a využívá metody jako phishing, push bombing a SIM swap útoky k získání přihlašovacích údajů, instalaci nástrojů pro vzdálený přístup a obcházení vícefaktorového ověřování. Zpočátku její kampaně cílily na společnosti zabývající se správou vztahů se zákazníky, outsourcingem obchodních procesů a také na firmy v oblasti telekomunikací a technologií. Postupem času skupina přešla na používání ransomware jako svého hlavního způsobu vydírání a rozšířila své zaměření na vysoce výnosné soukromé sektory, zejména společnosti z Fortune 500. SCATTERED SPIDER jen zřídka používá malware a při nasazení ransomwaru se spoléhá na třetí strany (dříve ALPHV ransomware-as-a-service, v poslední době Qilin Raas).
Vývoj skupiny SCATTERED SPIDER/Octo Tempest (Microsoft)
Co potřebujete vědět:
- Útoky SCATTERED SPIDER se silně spoléhají na zneužívání přihlašovací identity. Gang často cílí na účty patřící IT a bezpečnostním pracovníkům s cílem získat přístup k bezpečnostním nástrojům, dokumentaci a dalším informacím, které usnadňují pohyb napříč sítí a kompromitaci účtů. Navíc se zaměřují na účty vyššího managementu a zaměstnanců s přímým přístupem k finančním zdrojům společnosti, přičemž využívají techniky sociálního inženýrství k získání počátečního přístupu do sítí obětí.
- SCATTERED SPIDER používá k získání přihlašovacích údajů i zastrašování. Tyto taktiky zahrnují hrozby zveřejnění osobních informací, hrozby fyzického násilí obětem a jejich rodinným příslušníkům či zveřejnění kompromitujícího materiálu.
- SCATTERED SPIDER je součástí větší kyberkriminální komunity známé jako The Comm, což je rozsáhlý online ekosystém sestávající se z desítek tisíc jednotlivců. Pouze malá část The Comm se aktivně účastní kyberkriminality. Tito jedinci se spojují s podobně smýšlejícími aktéry hrozeb a tvoří malé podskupiny.
- Dne 18. června média informovala o zatčení člena SCATTERED SPIDER ve Španělsku. Zatčený jedinec je údajně Tyler Buchanan (22) z Dundee ve Skotsku, známý v kyberzločineckých komunitách jako TylerB, pravděpodobně člen podskupiny v rámci The Comm. Jeho spojení se SCATTERED SPIDER zatím ovšem není potvrzené. Zatímco některé zdroje tvrdí, že zatčený jedinec je spojen se SCATTERED SPIDER, CrowdStrike takové spojení nepozoroval. Úsilí vyšetřovatelů v USA a EU čelí značným výzvám, protože SCATTERED SPIDER nepoužívá centralizovanou infrastrukturu, ani se nespoléhá na určitý malware. Je proto mnohem obtížnější narušit jejich operace ve srovnání se skupinami jako LockBit a dalšími ransomwarovými gangy.
Komentář Cybule: “Členská základna” SCATTERED SPIDER sestávající se z jednotlivců mluvících angličtinou jako prvním jazykem, je jednou z hlavních výhod v porovnání s jinými kyberkriminálními gangy. Rodilý mluvčí působí v komunikaci důvěryhodněji, zčásti i kvůli stereotypnímu spojení kyberkriminálního prostředí s ruským nebo třeba nigerijským přízvukem při komunikaci v angličtině. Skupina je charakteristická velmi vysokým operačním tempem. Odhaduje se, že jádro gangu působí z území USA. Narozdíl od ruskojazyčných skupin se tak členové SCATTERED SPIDER nemohou spolehnout na ochranu ze strany státních institucí.
Francouzská ANSSI varuje: Ruská APT skupina Nobelium zintenzivňuje útoky na diplomatické, vládní a IT subjekty
(19.6.2024, CERTFR)
Francouzská ANSSI tento týden vydala report shrnující klíčové poznatky o kampani spojené se skupinou Nobelium, známou také jako Midnight Blizzard, která je aktivní minimálně od roku 2020. Nobelium se zaměřuje na špionážní aktivity proti diplomatickým, vládním a IT subjektům v Evropě, Africe, Severní Americe a Asii. Nárůst aktivit byl ANSSI zaznamenán především v souvislosti s ruskou agresí proti Ukrajině. Hrozba této kampaně pro evropské diplomatické zájmy a národní bezpečnost je hodnocena jako významná.
Co potřebujete vědět:
- Nobelium je aktivní od října 2020, zaměřuje se na vysoce postavené cíle, které zahrnují diplomatické a vládní instituce v Evropě, Africe, Severní Americe a Asii.
- Hlavní technikou útoků je phishing, který často využívá kompromitované e-mailové účty diplomatických pracovníků, návnady s diplomatickou tématikou (pozvánky na společenské akce, informace o uzavření ambasád, aj.) a privátní loadery (např. Wineloader) k instalaci nástrojů jako Cobalt Strike a Brute Ratel.
- Aktivity Nobelium jsou veřejně spojovány s ruskou zahraniční zpravodajskou službou SVR, konkrétně s APT29.
- ANSSI, přestože jsou aktivity spojovány s APT29, na základě odlišného intrusion setu dělí aktivity APT skupiny spadající pod SVR do tří clusterů a to na APT29 (aka The Dukes), jenž je aktivní nejméně od roku 2008 do roku 2019, útočící proti vládním institucím a think-tankům, spojená s útoky v roce 2015 na Democratic National Comittee. Dále se skupinou Dark Helo, která získala věhlas v rámci útoku na dodavatelský řetězec SolarWinds v prosinci 2020 a Nobelium, která je aktivní od roku 2020.
Aktivity ATP29 rozdělené do tří clusterů (ANSSI)
- Nobelium se několikrát pokusil kompromitovat francouzské vládní instituce a velvyslanectví- s různou mírou úspěchu.
- V letech 2023-2024 se skupina zaměřila na několik společností z odvětví IT. Podle společnosti Microsoft se část aktivit spojených s Nobelium (alias Midnight Blizzard) zaměřila na e-mailovou komunikaci kybernetického bezpečnostního a právního oddělení a korespondenci vedoucích pracovníků.
- Týmy kybernetické bezpečnosti ve společnosti Microsoft pravidelně zveřejňují zprávy o kybernetické bezpečnosti a tyto poznatky mohly útočníkům poskytnout příležitosti ke zlepšení jejich operačního zabezpečení, vyhnutí se odhalení a ztížení analytických monitorovacích možnosti obránců.
- V lednu 2024 americká společnost Hewlett Packard Enterprise (HPE) oznámila, že aktér Midnight Blizzard, získal neautorizovaný přístup do cloudového e-mailového prostředí společnosti.
- Útoky proti IT společnostem jako je Microsoft a Hewlett Packard Enterprise v letech 2023 a 2024 ukazují na zaměření Nobelia na získávání citlivých informací z kybernetických a právních týmů – tak aby útočníci zjistili co o nic ví.
- Ve zprávě polských, britských a amerických úřadů zveřejněné v prosinci 2023 se uvádí, že Nobelium od září 2023 zneužívala CVE-2023-42793 proti serverům se softwarem JetBrains vyvinutým společností TeamCity.
- Napadeny byly desítky společností v různých zemích a odvětvích. Podle CERT.PL mohlo kompromitování serverů TeamCity umožnit útoky na dodavatelský řetězec, avšak takové pokusy dosud nebyly zaznamenány. Kampaň však naznačuje, že Nobelium aktivně hledá příležitosti k provádění tohoto typu útoku.
- ANSSI zaznamenala zvýšenou aktivitu Nobelium v souvislosti s ruskou agresí proti Ukrajině, což ohrožuje evropské diplomatické zájmy a národní bezpečnost.
Komentář Cybule: Aktivity Nobelium představují vážnou hrozbu pro mezinárodní bezpečnost. Jejich schopnost kompromitovat diplomatické a vládní instituce ohrožuje nejen cílové země, ale i širší geopolitickou stabilitu. Zaměření na IT a kybernetické subjekty naznačuje, že Nobelium se snaží zlepšit své útočné schopnosti a zůstat o krok před bezpečnostními opatřeními. Reakce na tyto hrozby vyžaduje mezinárodní spolupráci a důkladné monitorování kybernetického prostoru a spolupráci na mezinárodní úrovni.