Penyerang SolarWinds Terlihat Menggunakan Taktik Baru, Malware

Satu tahun setelah serangan rantai pasokan SolarWinds yang terkenal dan meluas, orkestranya menyerang lagi. Para peneliti mengatakan mereka telah melihat kelompok ancaman – yang disebut Microsoft sebagai “Nobelium” dan yang terkait dengan agen mata-mata Rusia – mengorbankan bisnis global dan target pemerintah dengan taktik baru dan malware khusus, mencuri data dan bergerak secara lateral melintasi jaringan.

Peneliti dari Mandiant telah mengidentifikasi dua kelompok aktivitas berbeda yang dapat “masuk akal” dikaitkan dengan kelompok ancaman, yang mereka lacak sebagai UNC2452, kata mereka dalam sebuah laporan yang diterbitkan Senin.

Mandiant telah melacak aktivitas terbaru sebagai UNC3004 dan UNC2652 sejak tahun lalu dan sepanjang 2021 , mengamati kompromi dari berbagai perusahaan yang menyediakan solusi teknologi, cloud dan layanan lain serta pengecer, kata mereka.

Kami ingin tahu apa masalah dan tantangan keamanan cloud terbesar Anda, dan bagaimana perusahaan Anda menghadapinya. Bandingkan dengan Threatpost Poll!

!

kami yang eksklusif dan anonim Memang, pengecer menjadi target kampanye Nobelium yang diungkapkan Microsoft pada bulan Oktober, di mana grup tersebut terlihat menggunakan isian kredensial dan phishing, serta penyalahgunaan API dan pencurian token, untuk mengumpulkan kredensial akun yang sah dan akses istimewa ke jaringan pengecer. Tujuan akhir dari kampanye ini tampaknya untuk menjangkau jaringan pelanggan hilir, kata para peneliti pada saat itu.

Nobelium juga terlibat dalam pencurian kredensial pada bulan April menggunakan pintu belakang yang disebut FoggyWeb untuk menyerang server ActiveDirectory, Microsoft mengungkapkan pada bulan September.

Dalam cluster terbaru yang diamati oleh Mandiant, kredensial yang dicuri juga memfasilitasi akses awal ke organisasi yang ditargetkan. Namun, peneliti percaya bahwa pelaku ancaman memperoleh kredensial dari kampanye malware pencuri info dari pihak ketiga dan bukan dari mereka sendiri, kata mereka.

Novel Malware dan Activity

Attackers telah menambahkan sejumlah taktik, teknik, dan prosedur (TTP) baru ke melewati batasan keamanan dalam lingkungan, termasuk ekstraksi mesin virtual untuk menentukan konfigurasi perutean internal, tulis para peneliti.

Mereka juga memiliki malware baru di gudang senjata mereka: pengunduh baru yang dipesan lebih dahulu yang oleh para peneliti disebut Ceeloader. Malware, yang sangat dikaburkan, ditulis dalam C dan dapat mengeksekusi muatan shellcode secara langsung di memori, tulis mereka.

Suar Cobalt Strike menginstal dan mengeksekusi Ceeloader, yang tidak memiliki kegigihan sehingga tidak dapat berjalan secara otomatis saat Windows dijalankan . Malware dapat menghindari perlindungan keamanan, namun, dengan mencampur panggilan ke Windows API dengan blok besar kode yang tidak berguna, kata peneliti.

Aktivitas lain yang diamati dalam serangan termasuk menggunakan akun dengan hak peniruan identitas aplikasi untuk mengumpulkan data email sensitif, menggunakan layanan proxy IP perumahan dan infrastruktur geo-located yang baru untuk berkomunikasi dengan korban yang disusupi, dan penyalahgunaan otentikasi multi-faktor (MFA) untuk memanfaatkan notifikasi “push” pada ponsel cerdas, kata para peneliti. , karena serangan tersebut menunjukkan pelaku yang menargetkan perusahaan untuk mencuri data “yang relevan dengan kepentingan Rusia,” menurut Mandiant.

“Dalam beberapa kasus, pencurian data tampaknya diperoleh terutama untuk membuat rute baru untuk mengakses lingkungan korban lainnya,” tulis para peneliti .

Potensi Kompromi Hilir

Yang disebut serangan SolarWinds “Solorigate” itu wa s ditemukan Desember lalu sekarang barang legenda. Ini menjadi kisah peringatan tentang seberapa cepat dan seberapa jauh serangan siber dapat menyebar melalui rantai pasokan global.

Dalam serangan tersebut, yang memengaruhi banyak organisasi – termasuk Microsoft dan Departemen Keamanan Dalam Negeri – Nobelium menggunakan biner berbahaya yang disebut “Sunburst” sebagai backdoor ke SolarWinds.Orion.Core.BusinessLayer.dll, komponen kerangka perangkat lunak Orion yang ditandatangani secara digital oleh SolarWinds. Komponen tersebut adalah plugin yang berkomunikasi melalui HTTP ke server pihak ketiga, memungkinkan serangan berkembang biak dengan cepat.

Ada potensi serupa untuk serangan luas di cluster baru yang diamati oleh Mandiant, kata peneliti. Mereka mengamati “beberapa contoh di mana aktor ancaman menyusup ke penyedia layanan dan menggunakan akses istimewa dan kredensial milik penyedia ini untuk membahayakan pelanggan hilir,” kata mereka.

Attackers juga menggunakan kredensial yang tampaknya diperoleh dari kampanye pencuri info pihak ketiga. untuk mendapatkan akses ke lingkungan Microsoft 365 organisasi melalui token sesi yang dicuri. Peneliti mengidentifikasi pencuri info CRYPTBOT pada beberapa sistem yang terpengaruh sesaat sebelum token dibuat, kata peneliti.

“Mandiant menilai dengan keyakinan sedang bahwa pelaku ancaman memperoleh token sesi dari operator malware pencuri info,” peneliti menulis. “Token ini digunakan oleh aktor melalui penyedia VPN publik untuk mengautentikasi ke lingkungan Microsoft 365 target.” akun, tulis peneliti.

Banyak penyedia MFA memungkinkan pengguna menerima pemberitahuan push aplikasi telepon atau menerima panggilan telepon dan menekan tombol sebagai faktor kedua untuk mengotentikasi akses ke akun.

Menggunakan kombinasi nama pengguna dan kata sandi yang valid, kata para peneliti bahwa penyerang mengeluarkan beberapa permintaan MFA ke perangkat sah pengguna akhir hingga target menerima otentikasi. Ini pada akhirnya memberikan akses kepada aktor ancaman ke akun, kata mereka.

Secara keseluruhan, cluster baru menunjukkan bahwa potensi Nobelium untuk aktivitas ancaman berbahaya tampaknya meningkat baik dalam kecanggihan dan intensitas, menandakan potensi serangan gaya SolarWinds lainnya di horizon, mengamati seorang profesional keamanan.

“Perang siber sekarang hanyalah bagian dari kehidupan geopolitik modern, jadi kami tidak dapat mengharapkan serangan ini mereda dalam waktu dekat, terutama dari aktor yang disponsori negara,” kata Erich Kron, advokat kesadaran keamanan di keamanan perusahaan KnowBe4, dalam email ke Threatpost. “Serangan ini akan terus meningkat seiring dengan peningkatan teknik dan lebih banyak sumber daya yang dialokasikan untuk perang siber.”

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini:

  • Hacksliu

    <

    ul>iMalwareliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: