اوکراین به دلیل آسیبپذیری هفت ساله مایکروسافت آفیس هدف حمله سایبری قرار گرفت
پژوهشگران امنیت سایبری عملیات هدفمندی را علیه اوکراین کشف کردهاند که از یک نقص تقریباً هفت ساله در مایکروسافت آفیس برای انتقال Cobalt Strike به سیستمهای آسیبدیده استفاده میکند.
بر اساس گزارش Deep Instinct، این حمله سایبری به اوکراین که در اواخر سال ۲۰۲۳ رخ داده است، از یک فایل پاورپوینت ( “signal-2023-12-20-160512.ppsx” ) به عنوان نقطه شروع استفاده می کند و نام فایل نشان می دهد که ممکن است از طریق برنامه پیام رسانی سیگنال به اشتراک گذاشته شده باشد.
با وجود اینکه تیم واکنش به رویدادهای رایانه ای اوکراین (CERT-UA) دو کمپین مختلف را کشف کرده است که از برنامه پیام رسانی به عنوان ابزاری برای انتقال بدافزار در گذشته استفاده کرده اند، هیچ مدرک واقعی برای نشان دادن اینکه فایل پاورپوینت به این روش توزیع شده است وجود ندارد.
همین هفته گذشته، این آژانس فاش کرد که نیروهای مسلح اوکراین به طور فزاینده ای توسط گروه UAC-0184 از طریق پلتفرم های پیام رسانی و دوستیابی برای انتقال بدافزارهایی مانند HijackLoader (با نام مستعار GHOSTPULSE و SHADOWLADDER)، XWorm و Remcos RAT و همچنین برنامه های متن باز مانند sigtop و tusc برای سرقت اطلاعات از کامپیوتر ها هدف قرار می گیرند.
ایوان کوزارف، محقق امنیتی می گوید: “فایل پاورپوینت ظاهرا یک دفترچه راهنمای قدیمی ارتش ایالات متحده برای تیغه های مین روب (MCB) برای تانک ها باشد. این فایل شامل یک ارتباط از راه دور به یک شیء OLE خارجی است.”
این اتفاق به دلیل وجود یک باگ اجرای کد از راه دور که اکنون در Office برطرف شده است، رخ داده که می تواند به مهاجم اجازه دهد تا با متقاعد کردن قربانی برای باز کردن یک فایل خاص، یک اسکریپت از راه دور را که در weavesilk[.]space میزبانی شده است، بارگیری کند.
اسکریپت به شدت مخفی شده متعاقباً یک فایل HTML حاوی کد جاوا اسکریپت را اجرا می کند که از طریق رجیستری ویندوز، تنظیمات Persistence را روی میزبان اعمال می کند و در مرحله بعدی وانمود می کند یک سرویس گیرنده VPN سیسکو AnyConnect است.
این پِیلود شامل یک کتابخانه پیوند پویا (DLL) است که در نهایت یک Cobalt Strike Beacon کرک شده، (یک ابزار تست نفوذ)، را مستقیماً به حافظه سیستم تزریق می کند و منتظر دستورالعمل های بیشتر از یک سرور فرمان و کنترل (C2) (“petapixel[.]fun”) میماند.
این DLL همچنین دارای ویژگی هایی برای بررسی اینکه آیا در یک ماشین مجازی اجرا می شود و از شناسایی توسط نرم افزار امنیتی فرار می کند، می باشد.
Deep Instinct می گوید که نمی تواند حملات را به یک بازیگر یا گروه تهدید خاص مرتبط کند و همچنین نمی تواند احتمال یک تمرین تیم قرمز را رد کند. هدف نهایی نفوذ نیز مشخص نیست.
کوزارف گفت: “این طعمه حاوی محتوای نظامی بوده که نشان می دهد پرسنل نظامی را هدف قرار داده است.”
“اما نام دامنه های weavesilk[.]space و petapixel[.]fun به عنوان یک سایت مبهم هنری تولید شده (weavesilk[.]com) و یک سایت محبوب عکاسی (petapixel[.]com) پنهان شده اند. اینها بی ارتباط هستند و کمی گیج کننده است که چرا یک مهاجم از آنها به طور خاص برای فریب پرسنل نظامی استفاده می کند.”
Sandworm در یک حمله سایبری به اوکراین زیرساختهای حیاتی آن را هدف قرار میدهد
این افشاگری در حالی صورت میگیرد که CERT-UA اعلام کرد حدود 20 تامینکننده انرژی، آب و گرمایش در اوکراین توسط یک گروه دولتی روسی به نام UAC-0133 هدف قرار گرفتهاند. این گروه یک زیرمجموعه از Sandworm (با نامهای مستعار APT44، FROZENBARENTS، Seashell Blizzard، UAC-0002 و Voodoo Bear) است که مسئول بخش عمدهای از تمام عملیاتهای مخرب و ویرانگر علیه این کشور است.
حملات با هدف از کار انداختن خدمات حیاتی، از بدافزارهایی مانند کاپکا (با نامهای مستعار ICYWELL، KnuckleTouch، QUEUESEED و wrongsens) و نسخه لینوکسی آن BIASBOAT به همراه GOSSIPFLOW و LOADGRIP استفاده میکنند.
- GOSSIPFLOW یک پروکسی SOCKS5 مبتنی بر Golang است.
- LOADGRIP یک باینری ELF است که با C نوشته شده است و برای بارگذاری BIASBOAT روی هاستهای لینوکس آسیبدیده استفاده میشود.
Sandworm یک گروه تهدید بسیار فعال و تطبیقپذیر است که به واحد 74455 وابسته به مدیریت اصلی ستاد کل نیروهای مسلح فدراسیون روسیه (GRU) مرتبط است. این گروه دست کم از سال 2009 فعال بوده است و با سه شخصیت هکری به نام XakNet Team، CyberArmyofRussia_Reborn و Solntsepek نیز مرتبط است.
Mandiant این گروه APT را به عنوان بازیگری با طیف کامل جاسوسی، حمله و عملیات نفوذ توصیف میکند که از ژانویه 2022 برای کمک به روسیه در زمان جنگ تلاشهای بسیاری داشته است.
فعالیت های Sandworm در سطح جهانی است و منافع و جاهطلبیهای گسترده روسیه را منعکس میکند. الگوهای فعالیت سندورم در طول زمان نشان میدهد که وظایف مختلفی با اولویتهای راهبردی گوناگون را بر عهده دارد و به احتمال زیاد کرملین آن را به عنوان ابزاری انعطافپذیر از قدرت میبیند که قادر به خدمت به الزامات اطلاعاتی ماندگار و نوظهور است.