MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Финансиски мотивираната сајбер група забележана од страна на Mandiant како „UNC3944“ користи phishing и SIM swapping напади за да ги хакира административните сметки на Microsoft Azure и да добие пристап до виртуелните машини.

Оттаму, напаѓачите ја злоупотребуваат Azure Serial Console за да инсталираат софтвер за далечинско управување за злоупотреба на Azure Extensions за прикриен надзор.

Mandiant известува дека UNC3944 е активен од мај 2022 година, а нивната кампања има за цел да краде податоци од организациските жртви кои ја користат Microsoft cloud computing услугатa.

UNC3944 претходно беше припишан на создавањето на STONESTOP (loader) и POORTRY (kernel-mode driver) за да се прекине безбедносниот софтвер.

Напаѓачите ги користеа украдените сметки од развивачите на хардвер на Microsoft за да ги потпишат своите драјвери на кернелот.

Почетниот пристап до сметката на Azure администраторот се одвива со користење на украдени акредитиви стекнати во СМС phishing , вообичаена тактика на UNC3944.

Следно, напаѓачите го имитираат администраторот кога контактираат со помошните агенти со цел да ги измамат да испратат код за ресетирање со повеќе фактори преку СМС на телефонскиот број на жртвата.

Сепак, напаѓачот веќе го заменил бројот на администраторот со SIM-картичката и го префрлил на нивниот уред, па го добиле 2FA токенот без жртвата да го сфати пробивањето.

Mandiant допрва треба да утврди како напаѓачите ја извршуваат фазата на замена на SIM-картичката од нивното работење. Сепак, претходните случаи покажаа дека познавањето на телефонскиот број на жртвата и заговорот со бескрупулозните вработени во telecom е доволно за да се олеснат незаконските порти со броеви.

Откако напаѓачите ќе навлезат во Azure околината на таргетираната организација, тие ги користат нивните администраторски привилегии за да соберат информации, да ги менуваат постоечките сметки на Azure по потреба или да создадат нови.

Во следната фаза на напад, UNC3944 користи Azure Extensions за да спроведе надзор и да собира информации, да ги маскира малициозните дејства како навидум безопасни дневни задачи.

Azure Extensions се „додатни“ функции и услуги кои можат да се интегрираат во Azure Virtual Machine (VM) за да помогнат во проширувањето на можностите, автоматизирањето на задачите итн.

Бидејќи овие екстензии се извршуваат внатре во VM и обично се користат за легитимни цели, тие се и прикриени и помалку сомнителни.

Во овој случај, напаѓачот ги злоупотребил вградените дијагностички екстензии на Azure, како што е „CollectGuestLogs“, што беше искористено за собирање log датотеки од пробиената крајна точка. Дополнително, Mandiant пронајде докази за напаѓачот кој се обидува да ги злоупотреби следните дополнителни екстензии:

– Azure Network Watcher
– Guest Agent Automatic Log Collection
– VMSnapshot
– Guest configuration

Следно, UNC3944 користи Azure Serial Console за да добие пристап до административната конзола на VM и да изврши команди на командната линија преку сериската порта.

„Овој метод на напад беше единствен по тоа што избегнуваше многу од традиционалните методи за детекција користени во Azure и му обезбеди на напаѓачот целосен административен пристап до VM“, стои во извештајот на Mandiant.

Mandiant забележа дека „whoami“ е првата команда што напаѓачите ја извршуваат за да го идентификуваат моментално најавениот корисник и да соберат доволно информации за да ја продолжат експлоатацијата.

Повеќе информации за тоа како да се анализираат дневниците за Azure Serial Console може да се најдат во прилогот на извештаите.

Следно, напаѓачите користат PowerShell за да ја подобрат својата сила на VM и да инсталираат повеќе комерцијално достапни далечински администраторски алатки кои не се именувани во извештајот.

„За да го одржи присуството на VM, напаѓачот често распоредува повеќе комерцијално достапни алатки за далечинско администрирање преку PowerShell“, стои во извештајот на Mandiant.

„Предноста на користењето на овие алатки е тоа што тие се легитимно потпишани апликации и му обезбедуваат далечински пристап на напаѓачот без да активираат предупредувања во многу платформи за детектирање крајни точки.

Следниот чекор за UNC3944 е да создаде reverse SSH тунел до нивниот C2 сервер, за да се одржи таен и постојан пристап преку безбеден канал и да се заобиколат мрежните ограничувања и безбедносните контроли.

Напаѓачот го конфигурира reverse тунелот со пренасочување на портата, олеснувајќи го директното поврзување со Azure VM преку далечинска работна површина. На пример, секоја влезна врска со далечинската машинска порта 12345 ќе биде препратена до локалната порта домаќин 3389 (Remote Desktop Protocol Service Port).

Конечно, напаѓачите ги користат ингеренциите на компромитирана корисничка сметка за да се логираат на компромитираниот Azure VM преку reverse shell и дури потоа продолжуваат да ја прошируваат својата контрола во пробиената околина, крадејќи податоци.

Нападот претставен од страна на Mandiant го покажува длабокото разбирање на UNC3944 за Azure околината и како тие можат да ги користат вградените алатки за да избегнат детекција.

Кога ова техничко знаење се комбинира со вештини за social engineering на високо ниво кои им помагаат на напаѓачите да извршат замена на SIM-картичката, ризикот се зголемува.

Во исто време, недостигот на разбирање за cloud технологиите од организациите кои применуваат недоволни безбедносни мерки, како што е повеќефакторска автентикација базирана на СМС, создава можности за ваков тип напади.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата APT хакерска група  наречена Lancefly користи прилагоден „Merdoor“ backdoor малвер за да ги таргетира владините, авијацијата и телекомуникациските организации во Јужна и Југоисточна Азија.

Symantec Threat лабораториите открија дека Lancefly распоредува таен Merdoor backdoor во високо таргетирани напади од 2018 година за да воспостави сила, да извршува команди и да врши keylogging на корпоративните мрежи.

„Прилагодениот Lancefly малвер, кој го нарековме Merdoor, е моќен backdoor кој постои од 2018 година“, открива новиот извештај на Symantec.

„Истражувачите на Symantec забележаа дека се користи во некоја активност во 2020 и 2021 година, како и оваа понова кампања, која продолжи во првиот квартал од 2023 година. Се верува дека мотивацијата зад двете кампањи е собирањето разузнавачки информации“.

Се верува дека Lancefly се фокусира на сајбер-шпионажа, со цел да собира разузнавачки информации од мрежите на своите жртви во долги периоди.

Symantec не го откри иницијалниот вектор на инфекција што го користеше Lancefly. Сепак, откри докази дека хакерската група користи phishing-мејлови, brute forcing на SSH ингеренциите и искористување на пропустите на серверот со кои се соочува јавноста за неовластен пристап со текот на годините.

Откако напаѓачите ќе влезат во системот на жртвата, тие вметнуваат Merdoor backdoor преку DLL странично вчитување или во „perfhost.exe“ или „svchost.exe“, двата легитимни Windows процеси што му помагаат на малициозниот софтвер да избегне детекција.

Merdoor му помага на Lancefly да го одржи својот пристап и да се зацврсти на системот на жртвата, инсталирајќи се како услуга што опстојува помеѓу рестартирањето.

Потоа Merdoor воспоставува комуникација со C2 серверот користејќи еден од неколкуте поддржани комуникациски протоколи (HTTP, HTTPS, DNS, UDP и TCP) и чека инструкции.

Освен што поддржува размена на податоци со C2 серверот, Merdoor може да прифаќа команди и со слушање на локални порти; сепак, аналитичарите на Symantec не дадоа конкретни примери.

Backdoor, исто така, снима притискање на копчињата на корисникот со цел да сними потенцијално вредни информации како што се кориснички имиња, лозинки или други тајни.

Исто така, забележано е дека Lancefly ја користи „Atexec“ функцијата на Impacket за да може веднаш да изврши закажана задача на оддалечена машина преку SMB. Се верува дека напаѓачите ја користат оваа функција со цел да се шират странично на други уреди на мрежата или да ги бришат излезните датотеки креирани од други команди.

Lancefly ги шифрира украдените датотеки користејќи маскирана верзија на алатката за архивирање WinRAR и потоа ги ексфилтрира податоците, најверојатно користејќи Merdoor.

Употребата на понова, полесна и побогата верзија на ZXShell rootkit беше забележана и во Lancefly нападите.

Rootkit вчитувачот, „FormDII.dll“, извезува функции што може да се користат за испуштање payloads што одговараат на системската архитектура на домаќинот, читање и извршување на shell кодот од датотека, убивање процеси и многу повеќе.

Rootkit исто така користи алатка за инсталација и ажурирање што споделува заеднички код со Merdoor вчитувачот, што покажува дека Lancefly користи заедничка база на кодови за нивните алатки.

Инсталационата функционалност на ZXShell поддржува креирање услуга, хакирање и лансирање, модификација на регистарот и компресирање на копија од сопствената извршна датотека заради затајување и издржливост.

ZXShell rootkit го поврзува Lancefly со другите кинески APT групи кои ја користеле алатката во напади, вклучувајќи ги APT17 и APT41.

Сепак, врската е слаба бидејќи изворниот код на rootkit е јавно достапен веќе неколку години.

Името „formdll.dll“ на Lancefly за rootkit вчитувачот беше претходно пријавено во кампања на APT27, aka „Budworm“.

Сепак, не е јасно дали ова е намерен избор за погрешно насочување на аналитичарите и за отежнување на атрибуцијата.

Елемент кој дополнително ја поддржува хипотезата дека Lancefly има кинеско потекло е забележаната употреба на PlugX и ShadowPad RAT (тројанци за далечински пристап), кои се споделуваат меѓу неколку кинески APT групи.

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Новата phishing-as-a-service (PhaaS или PaaS) платформа наречена Greatness е искористена од страна на сајбер-криминалците за да ги таргетира деловните корисници на Microsoft 365 cloud услугата од средината на 2022 година, ефикасно намалувајќи ја лентата за влез за phishing напади.

„Greatness, засега, е фокусирана само на phishing страниците на Microsoft 365, обезбедувајќи им на хакерите додаток и врски што создава многу убедливи мамки и страници за најавување“, изјави истражувачот на Cisco Talos, Tiago Pereira.

„Содржи функции како што се претходно пополнета email адреса на жртвата и прикажување на нивното соодветно лого на компанијата и слика за позадина, извлечени од таргетираната организациска Microsoft 365 страница за најавување.

Кампањите кои вклучуваат Greatness имаат главно производствени, здравствени и технолошки ентитети лоцирани во САД, Обединетото Кралство, Австралија, Јужна Африка и Канада, со скок во активноста откриени во декември 2022 и март 2023 година.

Phishing комплетите, како што е Greatness, нудат хакерите, е економична и скалабилна едношалтерска продавница, што овозможува да се дизајнираат убедливи страници за најавување поврзани со различни онлајн услуги и да се заобиколи заштитата со двофакторска автентикација (2FA).

Поточно, страниците за мамки со автентичен изглед функционираат како reverse proxy за собирање акредитиви и time based one time лозинки (TOTP) внесени од страна на жртвите.

Chains нападите започнуваат со малициозни мејлови кои содржат HTML прилог, кој, по отворањето, извршува заматен JavaScript код кој го пренасочува корисникот на таргетирана страница со претходно пополнета мејл адреса на примачот и ја бара неговата лозинка и MFA кодот.

Внесените акредитиви и токени последователно се препраќаат на Telegram каналот со цел да се добие неовластен пристап до сметките.

AiTM phishing комплетот доаѓа и со административна табла која му овозможува на хакерот да го конфигурира ботот на Telegram, да ги следи украдените информации, па дури и да создава прилози или врски кои служат како замка.

Исто така, се очекува секој хакер да има валиден API клуч за да може да ја вчита phishing страницата. API клучот исто така ги спречува несаканите IP адреси да ја гледаат phishing страницата и ја олеснува комуникацијата зад сцената со вистинската страница за најавување на Microsoft 365, претставувајќи се како жртва.

„Работејќи заедно, phishing комплетот и API платформата вршат ‘man-in-the-middle’ напад, барајќи информации од жртвата што API потоа ќе ги достави до легитимната страница за најавување во реално време“, изјави Pereira.

„Ова им овозможува на креаторите на PaaS да украдат кориснички имиња и лозинки, заедно со автентицираните сесиски колачиња доколку жртвата користи MFA“.

Наодите доаѓаат откако Microsoft почна да спроведува совпаѓање на броеви во Microsoft Authenticator нотификациите од 8 мај 2023 година, за да ја подобри 2FA заштитата и да ги спречи брзите бомбашки напади.

Извор: TheHackerNews