Olympijské hry přitahují pozornost celého světa, a kdo že si letos odnáší zlato v našich Cybulovinách? Na prvním místě jsou opět ruští hacktivisté, kteří se neustále snaží být slyšet a vidět. A právě jim je věnován náš první článek. Stříbrnou příčku obsazují ransomware útoky, ke kterým CISA a FBI vydává aktualizované doporučením k ransomwaru BlackSuit (Royal). A na bronzové pozici se umísťují čínští útočníci, kde se do popředí dostaly skupiny APT41 a StormBamboo.
Příjemné čtení.
Tým Cybule
Obsah:
- Proruské hacktivistické skupiny a bezpečnost olympijských her v Paříži 2024
- Nová hrozba ransomwaru BlackSuit (Royal)
- Zaměřeno na čínské APT: Aktivita APT41 proti Tchaj-wanu; StormBamboo útočí na poskytovatele internetových služeb
Proruské hacktivistické skupiny a bezpečnost olympijských her v Paříži 2024
(29.7.-6.8.2024, Telegram 1|2)
Dvě proruské hacktivistické skupiny, které vznikly 29. července 2024, projevily záměr provést DDoS útoky na webové stránky spojené s olympijskými hrami v Paříži 2024. Hacktivistické skupiny KozSec a Saboteur’s Headquarters využívají významné události k tomu, aby přitáhly pozornost k svým politicky motivovaným útokům, přičemž dopady jejich aktivit zůstávají minimální. Nezávisle na aktivitě KozSec, skupiny Beregini a Zarya zveřejnily na svém telegramovém účtu kompletní databázi polských sportovců včetně výsledků jejich dopingových testů.
Co potřebujete vědět:
- Nově vzniklá anglickojazyčná hacktivistická skupina KozSec plánovala DDoS útok na webové stránky olympiády na 3. srpna 2024. Podle dostupných informací však k žádnému útoku nedošlo.
- KozSec se pravděpodobně spoléhal na uživatele s přístupem k botnetům a v tomto případě měl jen omezené schopnosti k provedení efektivního útoku.
- KozSec (pravděpodobně napojený na Doubleface) se již přihlásila k odpovědnosti za DDoS útoky na ukrajinské a španělské telekomunikační společnosti, přičemž zdůrazňuje proruskou a protizápadní motivaci.
- Druhá skupina je Saboteur’s Headquarters 30. července 2024 vyzvala své příznivce k účasti na DDoS útoku proti webové stránce s prodejem vstupenek na olympiádu.
- Skupina se přihlásila k odpovědnosti za útoky a zveřejnila osobní identifikační údaje dvou ukrajinských občanů, z nichž jeden je členem ukrajinské zpravodajské služby (SBU).
- I když se administrátor Saboteur’s Headquarters snaží získat více členů a spolupracovat s dalšími hacktivistickými skupinami, má pouze omezený počet příznivců a neprojevil žádné veřejné zapojení s etablovanými proruskými hacktivistickými skupinami.
- Dne 6. srpna zveřejnily skupiny Beregini a Zarya na svém telegramovém účtu kompletní databázi polských sportovců včetně výsledků jejich dopingových testů.
Komentář Cybule: Nově vzniklé proruské hacktivistické skupiny, jako jsou KozSec a Saboteur’s Headquarters se snaží využít významných mezinárodních událostí, jako jsou Olympijské hry, k propagaci svých politických cílů. I když se snaží přitáhnout pozornost a získat nové členy, jejich schopnosti provádět efektivní a škodlivé útoky zůstávají v tomto ohledu omezené, alespoň co se týče dopadů na Olympijské hry. Hacktivistické skupiny se pokoušejí zviditelnit své aktivity, avšak dopady jejich útoků jsou ve většině případů zanedbatelné.
Nová hrozba ransomwaru BlackSuit (Royal)
(7. 8.2024, CISA)
FBI a CISA vydaly aktualizované doporučení #StopRansomware zaměřené na ransomware BlackSuit. Současná varianta ransomwaru je evolucí dřívějšího ransomwaru Royal, který byl aktivní od září 2022 do června 2023. BlackSuit vykazuje podobnosti s kódem ransomwaru Royal a disponuje vylepšenými schopnostmi.
Co potřebujete vědět:
- Skupina stojící za ransomwarem BlackSuit (dříve Royal) požadovala výkupné ve výši přes 500 milionů dolarů od více než 350 obětí.
- Phishingové e-maily patří mezi její nejefektivnější vektory pro získání počátečního přístupu k síti oběti. Mezi další běžné metody patří kompromitace RDP, zneužití známých zranitelností a využití služeb Initial Access Brokers.
- Po získání přístupu útočníci deaktivují antivirový software a exfiltrují velké množství dat, než nakonec nasadí ransomware a zašifrují systémy. Pro udržení persistence a načtení dalších nástrojů využívají malware SystemBc a Gootloader.
- Historicky bylo pozorováno, že Royal využívá nástroje Chisel, PuTTy, OpenSSH a MobaXterm pro komunikaci se svou C2 infrastrukturou.
- Zajímavým aspektem taktiky BlackSuit je exfiltrace dat a vydírání obětí ještě před samotným šifrováním. Aktér hrozí publikací dat na LeakSite, pokud není zaplaceno výkupné.
- V poslední době se zvýšil počet případů, kdy útočníci kontaktovali oběti s informacemi o kompromitaci jejich systémů a nabídli možnost zaplacení výkupného.
- Výše výkupného není uvedena v původním oznámení a je zjištěna až při přímé komunikaci s útočníky prostřednictvím .onion adresy (dostupné přes prohlížeč TOR), která je oběti poskytnuta po zašifrování dat.
- Požadavky na výkupné se pohybují v rozmezí od jednoho do 10 milionů USD, přičemž platba je požadována v bitcoinech.
- Skupina se zaměřuje na kritickou infrastrukturu, zdravotnictví, vzdělávání a místní samosprávy.
Komentář Cybule: Aktualizované doporučení od CISA a FBI je důležitým varováním před ransomwarem BlackSuit, který představuje závažnou hrozbu pro organizace po celém světě. Je klíčové, aby podniky implementovaly robustní bezpečnostní opatření, jako jsou pravidelné zálohy, školení zaměstnanců a monitorování sítě. Placení výkupného by mělo být až poslední možností, protože neexistuje záruka, že útočníci vrátí přístup k datům. Namísto toho je nutné incidenty neprodleně hlásit, aby mohlo dojít ke koordinaci reakce a sdílení informací v rámci jedntlivých komunit. Ransomware jako BlackSuit se neustále vyvíjí, proto je důležité, aby organizace byly připraveny a aktivně monitorovaly hrozby. Spolupráce a sdílení informací mezi soukromým sektorem, vládou a bezpečnostními experty jsou klíčové pro účinnou obranu proti ransomwarovým útokům.
Zaměřeno na čínské APT: Aktivita APT41 proti Tchaj-wanu; StormBamboo útočí na poskytovatele internetových služeb
(1. 8.2024, Cisco Talos, 2.8.2024, Volexity)
Analýza Talos Intelligence odhaluje operaci čínské hackerské skupiny APT41 z července 2023, která vedla k úspěšné kompromitaci tchajwanského vládního výzkumného institutu. APT41 použil klasiky arzenálu čínských APT skupin: malware ShadowPad a nástroj pro penetrační testování Cobalt Strike. Taktiky APT41 zahrnovaly zneužití šest let staré zranitelnosti v nástroji Microsoft COM (CVE-2018-0824) a 13 let staré verzi binárního kódu v softwaru Microsoft Office IME k získání privilegovaného oprávnění a spuštění sekundárního malwaru.
Společnost Volexity se ve své analýze zaměřuje na aktivitu čínské APT skupiny StormBamboo, kterou slovenský ESET sleduje jako Evasive Panda. Ve sledovaném případě z loňského roku se StormBamboo zaměřil na poskytovatele internetového připojení jako prostředek ke kompromitaci zamýšlených obětí. Útočníci využili techniky DNS poisoning k přesměrování legitimních požadavků na aktualizaci na své škodlivé servery, což jim umožnilo nainstalovat zadní vrátka do aplikací během procesu aktualizace. Skupina StormBamboo zneužila nezabezpečené mechanismy aktualizace softwaru, zejména ty, které používají nešifrovaný protokol HTTP. Kompromitace aktualizačního procesu umožnila útočníkům například nasazení nástroje RELOADEXT, škodlivého rozšíření pro Chrome, které odesílá cookies napadeného prohlížeče do úložiště Google Drive pod kontrolou útočníků. Další nasazený malware zahrnoval varianty Macma a Pocostick pro operační systémy macOS a Windows. Volexity ve své analýze poukazuje na trend využívaní zranitelností nebo špatného zabezpečení třetích stran (v tomto případě poskytovatele internetového připojení) k získání přístupu k cílovým systémům.
Schéma kompromitace poskytovatele služeb skupinou StormBamboo (Volexity)
Co potřebujete vědět:
- APT41 patří mezi nejaktivnější čínské APT skupiny a je rovněž známá jako Wicked Panda/Wicked Spider (CrowdStrike), Brass Typhoon/Barium (Microsoft), Earth Longzhi (Trend Micro) a Winnti Group (ESET). APT41 je rovněž známá jako Chengdu 404, kyberofenzivní kontraktor pro čínskou vládu. V záři 2020 zveřejnilo Ministerstvo spravedlnosti USA žalobu na pět zaměstnanců Chengdu 404 obviněných z celé řady zločinů spáchaných proti více než stovce organizací.
- APT41 byla po několik let příkladem aktéra, který podnikal kyberšpionážní i kriminální aktivity. Analytici Mandiantu ve studii ze srpna 2019 nabídli hypotézu, že APT41 je kontraktorem pro čínskou vládu a její členové se věnují finančně motivovaným útokům mimo “řadnou” pracovní dobu (tzv. moonlighting). Jejich podezření se potvrdilo o rok později.
- APT41 se jako vládní kontraktor zaměřuje na velmi širokou škálu obětí, v závislosti na zadání od čínské vlády. Tchaj-wan a Japonsko však patří mezi pravidelné cíle. V roce 2023 byla APT41 identifikována jako jeden ze dvou aktérů (společně s APT15) kyberšpionážní kampaně Crimson Palace cílící na vládní instituce v oblasti Jihočínského moře.
- Technika, kterou skupina StormBamboo využila, se nazývá Adversary-in-the-Middle (AiTM). Technika AiTM je typ kybernetického útoku, při kterém útočník vstoupí mezi dvě komunikující strany a odposlouchává nebo manipuluje jejich komunikaci.
- Se StormBamboo/Evasive Panda jsme se setkali loni na jaře, kdy ESET publikoval analýzu incidentu, při kterém kterém byl v rámci automatické aktualizace aplikace pro zasílání zpráv Tencent QQ distribuován malware MsgBot. Cílem útočníků byli ve většině případů zaměstnanci mezinárodních neziskových organizací působících v Číně.
- StormBamboo Panda je aktivní nejméně od roku 2012 a zaměřuje se na organizace v Číně, Hongkongu, Macau, Nigérii a zemích jihovýchodní a východní Asie, včetně Tchaj-wanu. V červenci 2024 publikoval Symantec analýzu aktualizovaných nástrojů StromCloudu (označovaných Symantecem jako Daggerfly), včetně nové verze MacOS backdooru Macma, zpozorovaných v útocích proti americké NGO, působící v Číně, a několika tchajwanských organizací.
Komentář Cybule: APT41 je v Cybulovinách podruhé za dva týdny. V předminulém vydání jsme psali o analýze aktualizovaných nástrojů, kterou publikoval Mandiant. Na příkladu APT41 se ukazuje, že ani ztotožnění skupiny se soukromou firmou v Číně, tj. Chengdu 404, příliš neomezuje aktéra v poměrně vysokém operačním tempu. Aktivita StormBamboo je zase důkazem, že útočník nepotřebuje nasadit příliš sofistikované postupy, pokud mu pomáhá slabé zabezpečení na straně oběti nebo dodavatele služeb, kterou oběŤ používá. Kompromitace aktualizačního procesu, která může být velmi sofistikovanou operací, jako tomu bylo v případě SolarWinds, je v případě aktivity StromBamboo poměrně triviální. U útoků proti zahraničním organizacím v ČLR je třeba vzít v úvahu velmi reálnou možnost, že poskytovatel služeb s aktérem na kompromitaci spolupracuje nebo ji alespoň umožňuje.