Các nhà nghiên cứu an ninh mạng đã phát hiện ra một hoạt động có chủ đích chống lại Ukraine đã được tìm thấy tận dụng một lỗ hổng gần bảy năm tuổi trong Microsoft Office để cung cấp Cobalt Strike trên các hệ thống bị xâm nhập.
Chuỗi tấn công, diễn ra vào cuối năm 2023 theo Deep Instinct, sử dụng tệp trình chiếu PowerPoint ("signal-2023-12-20-160512.ppsx") làm điểm khởi đầu, với tên tệp ngụ ý rằng nó có thể đã được chia sẻ qua ứng dụng nhắn tin tức thời Signal.
Điều đó đã nói, không có bằng chứng thực tế nào cho thấy tệp PPSX được phân phối theo cách này, mặc dù Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã phát hiện ra hai chiến dịch khác nhau đã sử dụng ứng dụng nhắn tin làm vectơ phân phối phần mềm độc hại trong quá khứ.
Mới tuần trước, cơ quan này tiết lộ rằng các lực lượng vũ trang Ukraine đang ngày càng trở thành mục tiêu của nhóm UAC-0184 thông qua các nền tảng nhắn tin và hẹn hò để phục vụ phần mềm độc hại như HijackLoader (hay còn gọi là GHOSTPULSE và SHADOWLADDER), XWorm và Remcos RAT, cũng như các chương trình mã nguồn mở như sigtop và tusc để trích xuất dữ liệu từ máy tính.
Tệp PPSX (trình chiếu PowerPoint) dường như là một hướng dẫn sử dụng cũ của Quân đội Mỹ về lưỡi rà phá bom mìn (MCB) cho xe tăng", nhà nghiên cứu bảo mật Ivan Kosarev cho biết. "Tệp PPSX bao gồm mối quan hệ từ xa với đối tượng OLE bên ngoài."
Điều này liên quan đến việc khai thác CVE-2017-8570 (điểm CVSS: 7.8), một lỗi thực thi mã từ xa hiện đã được vá trong Office có thể cho phép kẻ tấn công thực hiện các hành động tùy ý khi thuyết phục nạn nhân mở một tệp được chế tạo đặc biệt, để tải tập lệnh từ xa được lưu trữ trên weavesilk [.] không gian.
Tập lệnh bị xáo trộn nặng nề sau đó khởi chạy một tệp HTML chứa mã JavaScript, do đó, thiết lập sự tồn tại trên máy chủ thông qua Windows Registry và giảm tải trọng giai đoạn tiếp theo mạo danh máy khách Cisco AnyConnect VPN.
Tải trọng bao gồm một thư viện liên kết động (DLL) cuối cùng tiêm Cobalt Strike Beacon bị bẻ khóa, một công cụ kiểm tra bút hợp pháp, trực tiếp vào bộ nhớ hệ thống và chờ hướng dẫn thêm từ máy chủ chỉ huy và kiểm soát (C2) ("petapixel [.] vui vẻ").
DLL cũng đóng gói các tính năng để kiểm tra xem nó có được thực thi trong máy ảo hay không và tránh bị phát hiện bởi phần mềm bảo mật.
Deep Instinct cho biết họ không thể liên kết các cuộc tấn công với một tác nhân hoặc nhóm đe dọa cụ thể cũng như không loại trừ khả năng diễn tập nhóm đỏ. Cũng không rõ mục tiêu cuối cùng chính xác của cuộc xâm nhập.
Sandworm là một nhóm đe dọa sung mãn và có khả năng thích ứng cao liên kết với Đơn vị 74455 trong Tổng cục Chính của Bộ Tổng tham mưu các lực lượng vũ trang Liên bang Nga (GRU). Nó được biết là đã hoạt động ít nhất từ năm 2009, với kẻ thù cũng gắn liền với ba nhân vật hacktivist hack và rò rỉ như XakNet Team, CyberArmyofRussia_Reborn và Solntsepek.
"Được tài trợ bởi tình báo quân sự Nga, APT44 là một tác nhân đe dọa năng động và trưởng thành về mặt hoạt động, tích cực tham gia vào toàn bộ các hoạt động gián điệp, tấn công và gây ảnh hưởng", ông Mandiant nói, mô tả mối đe dọa dai dẳng tiên tiến (APT) tham gia vào nỗ lực đa hướng để giúp Nga giành được lợi thế thời chiến kể từ tháng 1/2022.