حمله سایبری به اوکراین با استفاده از باگ مایکروسافت آفیس

پژوهشگران امنیت سایبری عملیات هدفمندی را علیه اوکراین کشف کرده‌اند که از یک نقص تقریباً هفت ساله در مایکروسافت آفیس برای انتقال Cobalt Strike به سیستم‌های آسیب‌دیده استفاده می‌کند.

بر اساس گزارش Deep Instinct، این حمله سایبری به اوکراین که در اواخر سال ۲۰۲۳ رخ داده است، از یک فایل پاورپوینت ( “signal-2023-12-20-160512.ppsx” ) به عنوان نقطه شروع استفاده می کند و نام فایل نشان می دهد که ممکن است از طریق برنامه پیام رسانی سیگنال به اشتراک گذاشته شده باشد.

با وجود اینکه  تیم واکنش به رویدادهای رایانه ای اوکراین (CERT-UA) دو کمپین مختلف را کشف کرده است که از برنامه پیام رسانی به عنوان ابزاری برای انتقال بدافزار در گذشته استفاده کرده اند، هیچ مدرک واقعی برای نشان دادن اینکه فایل  پاورپوینت به این روش توزیع شده است وجود ندارد.

همین هفته گذشته، این آژانس فاش کرد که نیروهای مسلح اوکراین به طور فزاینده ای توسط گروه UAC-0184 از طریق پلتفرم های پیام رسانی و دوستیابی برای انتقال بدافزارهایی مانند HijackLoader (با نام مستعار GHOSTPULSE و SHADOWLADDER)، XWorm و Remcos RAT و همچنین برنامه های متن باز مانند sigtop و tusc برای سرقت اطلاعات از کامپیوتر ها هدف قرار می گیرند.

ایوان کوزارف، محقق امنیتی می گوید: “فایل پاورپوینت ظاهرا یک دفترچه راهنمای قدیمی ارتش ایالات متحده برای تیغه های مین روب (MCB) برای تانک ها باشد. این فایل شامل یک ارتباط از راه دور به یک شیء OLE خارجی است.”

این اتفاق به دلیل وجود یک باگ اجرای کد از راه دور که اکنون در Office برطرف شده است، رخ داده که می تواند به مهاجم اجازه دهد تا با متقاعد کردن قربانی برای باز کردن یک فایل خاص، یک اسکریپت از راه دور را که در weavesilk[.]space میزبانی شده است، بارگیری کند.

اسکریپت به شدت مخفی شده متعاقباً یک فایل HTML حاوی کد جاوا اسکریپت را اجرا می کند که از طریق رجیستری ویندوز، تنظیمات Persistence  را روی میزبان اعمال می کند و در مرحله بعدی وانمود می کند یک سرویس گیرنده VPN سیسکو AnyConnect است.

این پِی‌لود شامل یک کتابخانه پیوند پویا (DLL) است که در نهایت یک Cobalt Strike Beacon کرک شده، (یک ابزار تست نفوذ)، را مستقیماً به حافظه سیستم تزریق می کند و منتظر دستورالعمل های بیشتر از یک سرور فرمان و کنترل (C2) (“petapixel[.]fun”) می‌ماند.

این DLL همچنین دارای ویژگی هایی برای بررسی اینکه آیا در یک ماشین مجازی اجرا می شود و از شناسایی توسط نرم افزار امنیتی فرار می کند، می باشد.

Deep Instinct  می گوید که نمی تواند حملات را به یک بازیگر یا گروه تهدید خاص مرتبط کند و همچنین نمی تواند احتمال یک تمرین تیم قرمز را رد کند. هدف نهایی نفوذ نیز مشخص نیست.

کوزارف گفت: “این طعمه حاوی محتوای نظامی بوده که نشان می دهد پرسنل نظامی را هدف قرار داده است.”

“اما نام دامنه های weavesilk[.]space و petapixel[.]fun به عنوان یک سایت مبهم هنری تولید شده (weavesilk[.]com)  و یک سایت محبوب عکاسی (petapixel[.]com) پنهان شده اند. اینها بی ارتباط هستند و کمی گیج کننده است که چرا یک مهاجم از آنها به طور خاص برای فریب پرسنل نظامی استفاده می کند.”

Sandworm در یک حمله سایبری به اوکراین زیرساخت‌های حیاتی آن را هدف قرار می‌دهد

این افشاگری در حالی صورت می‌گیرد که CERT-UA اعلام کرد حدود 20 تامین‌کننده انرژی، آب و گرمایش در اوکراین توسط یک گروه دولتی روسی به نام UAC-0133 هدف قرار گرفته‌اند. این گروه یک زیرمجموعه از Sandworm (با نام‌های مستعار APT44، FROZENBARENTS، Seashell Blizzard، UAC-0002 و Voodoo Bear) است که مسئول بخش عمده‌ای از تمام عملیات‌های مخرب و ویرانگر علیه این کشور است.

حملات با هدف از کار انداختن خدمات حیاتی، از بدافزارهایی مانند کاپکا (با نام‌های مستعار ICYWELL، KnuckleTouch، QUEUESEED و wrongsens) و نسخه لینوکسی آن BIASBOAT به همراه GOSSIPFLOW و LOADGRIP استفاده می‌کنند.

• GOSSIPFLOW یک پروکسی SOCKS5 مبتنی بر Golang است.
• LOADGRIP یک باینری ELF است که با C نوشته شده است و برای بارگذاری BIASBOAT روی هاست‌های لینوکس آسیب‌دیده استفاده می‌شود.

Sandworm  یک گروه تهدید بسیار فعال و تطبیق‌پذیر است که به واحد 74455 وابسته به مدیریت اصلی ستاد کل نیروهای مسلح فدراسیون روسیه (GRU) مرتبط است. این گروه دست کم از سال 2009 فعال بوده است و با سه شخصیت هکری به نام  XakNet Team، CyberArmyofRussia_Reborn  و Solntsepek نیز مرتبط است.

Mandiant این گروه APT را به عنوان بازیگری با طیف کامل جاسوسی، حمله و عملیات نفوذ توصیف می‌کند که از ژانویه 2022 برای کمک به روسیه در زمان جنگ تلاش‌های بسیاری داشته است.

فعالیت های Sandworm  در سطح جهانی است و منافع و جاه‌طلبی‌های گسترده روسیه را منعکس می‌کند. الگوهای فعالیت سندورم در طول زمان نشان می‌دهد که وظایف مختلفی با اولویت‌های راهبردی گوناگون را بر عهده دارد و به احتمال زیاد کرملین آن را به عنوان ابزاری انعطاف‌پذیر از قدرت می‌بیند که قادر به خدمت به الزامات اطلاعاتی ماندگار و نوظهور است.