Hackerská skupina SilverFish prepojená so SolarWinds zneužíva obete podnikov na testy v karanténe

  • Sep 07, 2023

Existujúce siete obetí sa používajú na testovanie užitočného zaťaženia ako novej formy karantény.

Kyberútočníci zapojení do celosvetových hackerských kampaní využívajú kompromitované systémy vysokoprofilových obetí ako ihriská na testovanie miery detekcie škodlivých nástrojov.

Bezpečnosť

  • 8 návykov vysoko bezpečných vzdialených pracovníkov
  • Ako nájsť a odstrániť spyware z telefónu
  • Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
  • Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej

Vo štvrtok o tom informovala švajčiarska kyberbezpečnostná firma Prodaft že SilverFish (.PDF), „mimoriadne kvalifikovaná“ skupina hrozieb, bola zodpovedná za prieniky do viac ako 4 720 súkromných a vládnych organizácií. vrátane spoločností z rebríčka Fortune 500, ministerstiev, leteckých spoločností, dodávateľov obrany, audítorských a poradenských spoločností a automobilového priemyslu výrobcov“.

Útoky sú zamerané proti americkým a európskym subjektom a sú zamerané najmä na kritickú infraštruktúru a ciele s trhovou hodnotou nad 100 miliónov dolárov.

SilverFish bol pripojený k nedávne porušenie SolarWinds ako „jedna z mnohých“ skupín hrozieb, ktoré využívajú situáciu, v ktorej boli zákazníkom doručené škodlivé aktualizácie SolarWinds Orion, čo viedlo ku kompromisu tisícky podnikových sietí.

V decembri, po odhalení porušenia SolarWinds, spoločnosť Prodaft dostala od klienta žiadosť o analýzu a vytvorila odtlačok prsta na základe verejných indikátorov kompromisu (IoC) vydal FireEye.

Po vykonaní skenovania IPv4 tím našiel nové detekcie do 12 hodín a potom začal prehľadávať web pre servery príkazov a ovládania (C2s), ktoré sa používajú pri operácii, pričom spresňujú záznamy o odtlačkoch prstov. Prodaft hovorí, že po získaní vstupu do riadiaceho ovládacieho panela C2 bola spoločnosť schopná overiť prepojenia na existujúce bezpečnostné incidenty SolarWinds a známe obete prostredníctvom adresy IP, používateľského mena, vykonania príkazu, krajiny a časovej pečiatky záznamy.

Medzi obete, ktoré spoločnosť overila, patrí americký vojenský dodávateľ, popredný výrobca testovacích súprav na COVID-19, letectvo a kozmonautika automobiloví giganti, viaceré policajné siete, európske letiskové systémy a „desiatky“ bankových inštitúcií v USA a Európe.

SilverFish sa zameriava na prieskum siete a exfiltráciu dát a používa rôzne softvéry a skripty na počiatočné aj post-exploatačné aktivity. Patria sem ľahko dostupné nástroje ako Empire, Cobalt Strike a Mimikatz, ako aj prispôsobené rootkity, PowerShell, BAT a súbory HTA.

Prodaft hovorí, že útočníci SilverFish majú tendenciu sledovať konkrétne vzorce správania pri vymenovaní domén, vrátane spúšťanie príkazov na zoznam radičov domény a dôveryhodných domén, ako aj zobrazenie uložených poverení a správcov účtov.

Potom sa spustia skripty na prieskum po exploatácii a činnosti súvisiace s krádežou údajov. Napadnuté, legitímne domény sa niekedy používajú na presmerovanie prevádzky na C2.

Asi najzaujímavejšou pozorovanou taktikou je však použitie existujúcich obetí podniku ako pieskoviska.

„Skupina SilverFish navrhla bezprecedentnú karanténu na detekciu malvéru tvorenú skutočnými obeťami podnikov, ktorá umožňuje protivníkom otestovať ich škodlivé zaťaženie na serveroch obetí s rôznymi podnikovými AV a EDR riešeniami, čím sa ďalej rozširuje vysoká miera úspešnosti útokov skupiny SilverFish,“ hovorí spoločnosť.

Panel C2 tiež odhalil niekoľko zaujímavých rád o tom, ako SilverFish funguje. Panely sú nastavené pre „Aktívne tímy“ a zdá sa, že zodpovedajú za viaceré skupiny, ako napríklad Tím 301, 302, 303 a 304, pričom na písanie komentárov k záznamom obetí sa používa angličtina aj ruština.

Zdá sa, že pracovný čas zostáva od 8:00 do 20:00 UTC, pričom cez víkendy sa odohráva oveľa menej aktivity. Zdá sa, že tímy útočníkov každý deň cyklujú medzi obeťami a vždy, keď je zachytený nový cieľ, server je priradený konkrétnej pracovnej skupine na preskúmanie.

„Testovacia prevádzka“ kompromisu SolarWinds Orion sa uskutočnila v roku 2019, zatiaľ čo malvér Sunburst bol nasadený klientom medzi marcom a júnom 2020. Útoky SilverFish-SolarWinds sa začali koncom augusta 2020 a uskutočnili sa v troch vlnách, ktoré skončili iba zadržaním a prepadnutím kľúčovej domény.

Tím však očakáva, že ďalšie útoky súvisiace so špionážou a krádežou údajov budú pokračovať aj v roku 2021.

Infraštruktúra SilverFish tiež odhalila prepojenia na viaceré IoC, ktoré boli predtým pripisované TrickBot, EvilCorp, WastedLocker a DarkHydrus. Prodaft varuje, že „bezpečnostní analytici by nemali plne automatizovať svoje protokoly spravodajských informácií o hrozbách [..], pretože konajú striktne podľa IoC inteligencia zo zdrojov tretích strán môže byť jedným z hlavných dôvodov, ktoré bránia výskumníkom uvedomiť si skutočný rozsah rozsiahleho APT útoky."

„SilverFish stále používajú relevantné stroje na fázy bočného pohybu svojich kampaní,“ dodala spoločnosť. "Nanešťastie, napriek tomu, že ide o veľkú kritickú infraštruktúru, väčšina ich cieľov nevie o prítomnosti skupiny SilverFish v ich sieťach."

Ako „veľmi citlivá záležitosť“ Prodaft pre ZDNet povedal, že obete neboli kontaktované priamo. Zistenia firmy však boli zdieľané „so všetkými zodpovednými tímami CERT a rôznymi orgánmi činnými v trestnom konaní; aby sa ako oprávnený orgán mohli spojiť s obeťami a podeliť sa o svoje zistenia.“

Predchádzajúce a súvisiace pokrytie

  • Microsoft: Našli sme ďalšie tri časti malvéru používaného útočníkmi SolarWinds
  • Microsoft: Útok SolarWinds si vyžiadalo vytvorenie viac ako 1 000 inžinierov
  • Všetko, čo potrebujete vedieť o hacke servera Microsoft Exchange

Máte tip? Spojte sa bezpečne cez WhatsApp | Signál na čísle +447713 025 499 alebo na čísle Keybase: charlie0