Co přináší páteční Cybuloviny? Společnost Trend Micro odhalila nové informace o aktivitách skupiny Earth Estries, která má vazby na známého aktéra Salt Typhoon. Tyto poznatky upozorňují na vážnou hrozbu, kterou si uvědomují i americké úřady – ty vydaly doporučení, jak se před ní efektivně chránit. Zároveň se na scéně pohybuje CyberVolk, který kombinuje proruské hacktivistické útoky s ransomware kampaněmi. Tento mix ideologických a finančních motivací dokládá, jak různorodé cíle mohou mít moderní hacktivistické operace. A do třetice, útoky ruské skupiny RomCom, která zneužívá zero-day zranitelnosti ve webových prohlížečích Firefox a Tor Browser.
Příjemné čtení!
Tým Cybule
Obsah:
- Ruská skupina RomCom při svých útocích v Evropě a Severní Americe využívá zero-day zranitelnosti ve Firefoxu a prohlížeči Tor Browser
- CyberVolk střídá proruský hacktivismus a ransomware
- Trend Micro přináší nové poznatky o aktérovi Earth Estries, překrývajícího se se skupinou Salt Typhoon; Americké úřady zveřejnili doporučení pro ochranu před působením Salt Typhoon
Ruská skupina RomCom při svých útocích v Evropě a Severní Americe využívá zero-day zranitelnosti ve Firefoxu a prohlížeči Tor Browser
(26.11.2024, HackerNews)
Ruská kyberzločinecká skupina RomCom (známá také pod označeními UAT-5647, Storm-0978, Tropical Scorpius, UAC-0180 a UNC2596) zneužila dvě zranitelnosti nultého dne ve Firefoxu a Tor Browseru k rozsáhlým útokům na uživatele v Evropě a Severní Americe. Pokud oběť navštíví webovou stránku obsahující exploit, může být bez jakékoliv interakce uživatele (tzv. zero-click) spuštěn libovolný kód, což v tomto případě vede k instalaci backdooru RomCom do napadeného zařízení.
Co potřebujete vědět:
- První zneužitá zero-day zranitelnost, CVE-2024-9680, se nachází ve Firefoxu a souvisí s chybou typu use-after-free v modulu animací. Tato zranitelnost umožňuje útočníkovi spustit škodlivý kód v prostředí, ve kterém prohlížeč zpracovává obsah webových stránek. Druhá zranitelnost, CVE-2024-49039, se týká Windows Task Scheduleru a umožňuje útočníkovi získat vyšší oprávnění v systému. Tato zranitelnost zneužívá mechanismus AppContaineru, což je bezpečnostní funkce ve Windows, která izoluje aplikace a omezuje jejich přístup k systému. Díky AppContaineru aplikace běží s minimálními oprávněními, které nemohou ovlivňovat jiné části systému. Pokud však útočník dokáže z tohoto prostředí uniknout, získá vyšší oprávnění a může spustit škodlivý kód s většími pravomocemi, než by měl běžný uživatel, což mu umožní obejít bezpečnostní opatření a získat kontrolu nad dalšími částmi systému.
- Útočníci zneužili obě zranitelnosti současně. Oběti nalákali na falešnou webovou stránku, která po otevření ve zranitelném prohlížeči spustila exploit. Exploit obešel sandbox Firefoxu pomocí Reflective DLL Injection (RDI) a stahl backdoory RomCom přímo ze serverů C2 (např. journalctd[.]live, correctiv[.]sbs, cwise[.]store).
- Po úspěšném útoku byly oběti přesměrovány na legitimní webové stránky, tak aby útok nebyl na první pohled tak zřejmý. Podle zprávy společnosti ESET útočníci použili falešné servery s názvy domén obsahujícími vzory jako „redir“ nebo „red“. Díky tomuto způsobu distribuce se podařilo skrýt škodlivou aktivitu.
- Skupina RomCom nasadila aktualizovanou verzi svého malwaru RomCom RAT, nazvanou SingleCamper. Tento škodlivý kód se načítá přímo z registru do paměti a komunikuje přes loopback adresu. Kromě toho byly použity nové downloadery RustClaw a MeltingClaw a backdoor DustyHammock (napsaný v jazyce Rust) a ShadyHammock (napsaný v C++).
Řetězec útoku (ESET)
Komentář Cybule: Spojení dvou zranitelností nultého dne vyzbrojilo RomCom exploitem, který nevyžaduje žádnou interakci uživatele. Tato úroveň propracovanosti ukazuje vůli a prostředky, které je možné srovnat s pokročilými útočníky. Po nahlášení zranitelnosti firmě Mozilla společností ESET byla oprava vydána během pouhých 25 hodin, což je na bezpečnostním trhu nadstandardní rychlost. Tento krok zdůrazňuje význam koordinované spolupráce mezi bezpečnostními firmami a vývojáři softwaru.
CyberVolk střídá proruský hacktivismus a ransomware
(25.11.2024, SentinelLabs)
Analýza SentinelLabs se věnuje hacktivistické a kyberkriminální skupině CyberVolk. Tato skupina je jednou z mnoha hacktivistických skupin, které se dostali do centra pozornosti po ruské invazi na Ukrajinu v roce 2022. CyberVolk se od svého přejmenování z GLORIAMIST v červnu 2024 silně angažuje v oblasti kybernetické kriminality. Skupina je odpovědná za řadu ransomware útoků, které se zaměřují především na veřejné a vládní subjekty. CyberVolk tvrdí, že je v alianci s dalšími pro-ruskými hacktivistickými skupinami, včetně NoName057(16). Skupina používá jak DDoS, tak ransomware útoky, ve svých snahách podkopat a narušit operace těch, kteří jsou proti ruským zájmům. GLORIAMIST zdánlivě působila z Indie, ale v současnosti je indický původ skupiny nejistý.
Oznámení CyberVolk o spuštění vlastního RaaS programu (volitelné, Prolink na zdroj)
Co potřebujete vědět:
- CyberVolk začali jako politicky motivovaná hacktivistická skupina s proindickými a proruskými vazbami. Skupina se ve své současné podobě objevila v květnu 2024, přičemž předtím fungovala pod několika různými názvy, včetně GLORIAMIST, GLORIAMIST India a Solntsevskaya Bratva. CyberVolk využívá aktuální geopolitické problémy k zahájení a ospravedlnění svých útoků na veřejné a vládní organizace.
- V červnu 2024 CyberVolk oznámil vznik vlastního Ransomware-as-a-Service (RaaS) programu. Jejich první ransomware byl vyvinut na základě uniklého zdrojového kódu ransomware AzzaSec (také známého jako AzzaSecurity). AzzaSec byla hacktivistická skupina s proruskými, protiizraelskými a protiukrajinskými názory, která se objevila v únoru 2024. AzzaSec oznámili ukončení aktivity v srpnu 2024.
- CyberVolk používají několik rodin ransomware. Kromě derivátu AzzaSec to je Invisible (známý také jako Doubleface), Hexa Locker a Porano ransomware.
- Na začátku listopadu 2024 se CyberVolk a několik přidružených skupin vytratilo z Telegramu v důsledku hromadného zákazu hacktivistických organizací. Poslední významné příspěvky na kanálech CyberVolk na Telegramu byly zveřejněny 3. listopadu 2024. Následně skupina oznámila prostřednictvím Twitteru/X, že pro své komunikace bude od nynějška používat výhradně platformu X.
- Proruské zaměření skupiny však není bezvýhradné. CyberVolk se hlásí i k decentralizovanému hacktivistickému hnutí Anonymous a v posledních dnech se připojili k #OpGeorgia, kterou vyhlásili Anonymous a která cílí na gruzínské státní instituce v podpoře protivládních proevropských protestů v Gruzii. Dřívější hacktivistické aktivity nicméně skupiny měly silně proruský podtext a je možné (byť spekulativní), že podpora pro gruzínské protesty je důsledkem změn ve „vedení“ CyberVolk. Další možností je, že hacktivistické aktivity jsou oportunistické a skupina jako taková nemá primární ideologické zaměření.
Komentář Cybule: CyberVolk není první hacktivistická skupina, která se vydala na kyberkriminální dráhu. Jedním ze známějších případů je GhostSec, skupina, která se proslavila hacktivistickými útoky proti Islámskému státu. Na podzim 2023 GhostSec přešel na kyberkriminální aktivity s použitím vlastního nástroje GhostLocker. Zakladatel GhostSec v květnu oznámil konec GhostLockeru a návrat GhostSec k hacktivismu. Kyberkriminální fázi vysvětlil potřebou získání finančních prostředků pro pokračování hacktivistických aktivit. Druhým případem je Anonymous Sudan, kteří byli dlouho považovaní za ruskou hacktivistickou skupinu, která se vydává za Súdánce, než FBI oznámila zatčení dvou bratrů, občanů Súdánu, ve spojitosti s aktivitou Anonymous Sudan. Z vyšetřování vyšlo najevo, že hacktivismus Anonymous Sudan sloužil k propagaci jejich DDoS nástroje, který pronajímali k útokům. Anonymous Sudan ovšem otevřeně neprezentovali své aktivity jako finančně motivované. CyberVolk jsou v tomto směru odlišní, protože paralelně provozují RaaS program a politicky motivovaný hacktivismus.
Trend Micro přináší nové poznatky o aktérovi Earth Estries, překrývajícího se se skupinou Salt Typhoon; Americké úřady zveřejnili doporučení pro ochranu před působením Salt Typhoon
(25.11.2024, Trend Micro, 4.12.2024, CISA)
TrendMicro publikoval analýzu aktéra Earth Estries a přispěl tak do diskuse o propojení dříve pozorovaných aktivit s probíhajícím útokem skupiny Salt Typhoon na telekomunikační sektor v USA. Earth Estries je čínská skupina, která aktivně cílí na kritické průmyslové sektory po celém světě od roku 2023, přičemž se zaměřuje zejména na telekomunikace a vládní subjekty v USA, Asii a Tichomoří, Blízkém východě a Jižní Africe. Skupina používá sofistikované útočné techniky a využívá různé vlastní backdoory k provádění špionážních operací s dlouhodobým působením v systémech obětí. Earth Estries obvykle zneužívá zranitelnosti na veřejně přístupných serverech k získání počátečního přístupu a používá nástroje, které jsou součástí systému (tzv. “living off the land”), k dalšímu postupu uvnitř sítí obětí.
Geografická distribuce obětí Earth Estries (Trend Micro)
Co potřebujete vědět:
- TrendMicro zdůrazňuje, že vzhledem k nedostatku informací o kampani Salt Typhoon, neexistují dostatečné důkazy, které by prokazovaly spojení s aktérem Earth Estries. V současné době lze pouze potvrdit, že některé taktiky, techniky a postupy (TTP) Earth Estries se překrývají s těmi od FamousSparrow a GhostEmperor, tedy dvou skupin, které jsou rovněž spojovány se Salt Typhoon.
- TrendMicro ve své analýze upozornil na doposud neznámý backdoor GHOSTSPIDER, který bylo objeveno během útoků na telekomunikační společnosti v jihovýchodní Asii. Earth Estries rovněž využila modulární zadní vrátko SNAPPYBEE a linuxovou variantu MASOL RAT.
- Earth Estries využili při útocích N-Day (známé, ale na straně oběti neopravené) zranitelnosti v zařízeních Ivanti Connect Secure VPN (CVE-2023-46805 and CVE-2024-21887), Fortinet FortiClient (CVE-2023-48788), Sophos Firewall (CVE-2022-3236) a sérii propojených zranitelností v Microsoft Exchange známou jako ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065) .
- O Salt Typhoon se mluví výhradně ve spojitosti s kompromitací telekomunikačních operátorů a ISP v USA, včetně mobilních operátorů Verizon, AT&T a T-Mobile. Potvrzení překryvu Salt Typhoon s Earth Estries bude složité. Nicméně poslední poznatky, zveřejněné poradkyní prezidenta USA pro kybernetickou bezpečnost Anne Neuberger v průběhu tiskové konference, naznačují, že Salt Typhoon kompromitoval nejméně osm telekomunikačních společností jen v USA a další cíle v několika tuctech zemí v Evropě, Indopacifiku a jinde. Širší geografický záběr než jen USA odpovídá působení Earth Estries.
- CISA, FBI a další partneři u USA a zemí Five Eyes zveřejnili doporučení k posílení bezpečnosti a odhalení aktivity Salt Typhoon v napadených organizacích. Úřady uvedly, že Salt Typhoon stále udržuje přístup do systému svých obětí.
Komentář Cybule: Sjednocení atribuce napříč jednotlivými bezpečnostními firmami a vládními agenturami je velmi komplexní proces, který nikdy nemůže dosáhnout úrovně absolutní jistoty. ESET (FamousSparrow) identifikuje aktéry na základě analýzy jiného souboru dat než Microsoft (Salt Typhoon), jiná data má Kaspersky (GhostEmperor), CrowdStrike (Operator Panda), atd. Interní metodiky se velmi pravděpodobně rovněž významně liší mezi jednotlivými organizacemi. V případě Salt Typhoon a jejich propojení s GhostEmperor, Earth Estries a dalšími pozorovanými aktivitami je na hodnocení, že se jedná o identickou skupinu, příliš brzy. Doposud bylo zveřejněno jen velmi málo technických detailů o kampani Salt Typhoon v USA a podobnost Salt Typhoon s dřívějšími aktivitami (Earth Estries, GhostEmperor, FamousSparrow) je třeba brát s rezervou. Sjednocení atribucí bude komplikovat i sdílení nástrojů a postupů napříč širokým spektrem čínských skupin. Je docela možné, že Salt Typhoon, Earth Estries, GhostEmperor a FamousSparrow jsou různé ofenzivní týmy, které ale působí v rámci stejného oddělení Ministerstva státní bezpečnosti nebo ofenzivního kontraktora pracujícího pro čínskou vládu.