Copy-Paste Compromises – TTPs used to target multiple Australian networks

Posted by & filed under Security News.

Η έκθεση του Εθνικού CSIRT-CY περιγράφει τις τακτικές, τις τεχνικές και τις διαδικασίες (TTPs) που χρησιμοποιήθηκαν κατά τη διάρκεια της κυβερνοεπίθεσης που στόχευσε δίκτυα της Αυστραλιανής Κυβέρνησης αλλά και του ιδιωτικού τομέα (Πηγή: Australian Cyber ​​Security Centre (ACSC))

Τα TTPs καταγράφονται στο πλαίσιο τακτικών και τεχνικών που περιγράφονται στο πλαίσιο MITER ATT & CK®.

1.1      Περίληψη Επίθεσης

Η Αυστραλιανή κυβέρνηση επί του παρόντος γνωρίζει και ανταποκρίνεται σε μια συνεχή επίθεση κατά των Αυστραλιανών κυβερνητικών οργανισμών και εταιρειών του ιδιωτικού τομέα από κακόβουλους χρήστες, που φαίνεται να βρίσκονται πίσω από κάποια κυβέρνηση.

Ο τίτλος «Copy-Paste Compromises» προέρχεται από τη πολλαπλή χρήση concept exploit code, web shells και άλλων εργαλείων που αντιγράφηκαν σχεδόν τα ίδια από ανοικτές πηγές διανομής κώδικα. Οι κακόβουλοι χρήστες έχουν αναγνωριστεί ότι χρησιμοποιούν ευπάθειες εκτέλεσης απομακρυσμένου κώδικα σε μη ενημερωμένες εκδόσεις του Telerik UI.

Άλλες ευπάθειες που χρησιμοποιήθηκαν κατά των υποδομών περιλαμβάνουν την εκμετάλλευση μιας ευπάθειας «deserialisation vulnerability στο Microsoft Internet Information Services (IIS)», μια ευπάθεια στο SharePoint 2019 και μια ευπάθεια στο Citrix 2019.

Οι κακόβουλοι χρήστες, έχουν δείξει την ικανότητα να εκμεταλλευτούν άμεσα τα proof of concepts (POCs) για να στοχεύσουν δίκτυα που τους ενδιαφέρουν και να διεξάγουν τακτικές αναγνώρισης. Στην συνέχεια αναζητούν ευάλωτες υπηρεσίες, διατηρώντας ενδεχομένως μια λίστα με υπηρεσίες που αντιμετωπίζουν προβλήματα για γρήγορη στόχευση. Οι κακόβουλοι χρήστες έχουν επίσης επιδείξει την ικανότητα να εντοπίζουν υπηρεσίες οι οποίες για κάποιους λόγους υπολειτουργούσαν στον οργανισμό ή δεν διατηρούνται έγκυρες
(up-to-date) από τους οργανισμούς, ως μέρος της επίθεσης.

Όταν τα προαναφερθέν δεν πέτυχαν τον στόχο τους, η ανάλυση έδειξε ότι οι κακόβουλοι χρήστες έστρεψαν τις τακτικές τους σε επιθέσεις spearphishing, με στόχους:

  • Links to credential harvesting websites (υποκλοπή διαπιστευτηρίων),
  • Emails with links to malicious files, or with the malicious file directly attached (ηλεκτρονικά μηνύματα με σκοπό την υποκλοπή δεδομένων και διαπιστευτηρίων),
  • Links prompting users to grant Office 365 OAuth tokens to the actor,
  • Use of email tracking services to identify the email opening and lure click through events.

Μόλις επιτεύχθηκε η αρχική πρόσβαση, οι κακόβουλοι χρήστες χρησιμοποίησαν ένα μείγμα ανοιχτού κώδικα και δικών τους προσαρμοσμένων εργαλείων για να συνεχίσουν την επίθεση. Αν και τοποθετήθηκαν εργαλεία στο εσωτερικό δίκτυο, οι κακόβουλοι χρήστες μετακινήθηκαν μέσα στο δίκτυο με νόμιμα διαπιστευτήρια που είχαν κλαπεί από τις επιθέσεις spearphishing που έγιναν.

Κατά την επίθεση, οι κακόβουλοι χρήστες χρησιμοποιούσαν διακομιστές εντολών και ελέγχου (Command and Control) που γεωγραφικά βρίσκονταν στην Αυστραλία. Κατά κύριο λόγο, η εντολή και ο έλεγχος πραγματοποιήθηκαν χρησιμοποιώντας web shells και κίνηση HTTP / HTTPS. Αυτή η τεχνική κατέστησε το γεωγραφικό αποκλεισμό αναποτελεσματικό και πρόσθεσε εγκυρότητα στην κακόβουλη κίνηση δικτύου κατά τη διάρκεια της επίθεσης, με αποτέλεσμα να ξεγελάσει αρχικά τους ερευνητές.

Κατά τη διάρκεια των ερευνών, η ACSC δεν εντόπισε καμία πρόθεση για πραγματοποίηση οποιεσδήποτε διαταραχής ή καταστροφικής δραστηριότητας.

 

1.2      Προτάσεις Μετριασμού

  • Αλλαγή όλων των κωδικών πρόσβασης
  • Ενημέρωση των λογισμικών σε όλα τα συστήματα του οργανισμού
  • Χρησιμοποίηση ταυτοποίησης πολλαπλών μέσων (MFA)

 

The information contained in this website is for general information purposes only. The information is gathered from Cyber GOV AU, while we endeavour to keep the information up to date and correct, we make no representations or warranties of any kind, express or implied, about the completeness, accuracy, reliability, suitability or availability with respect to the website or the information, products, services, or related graphics contained on the website for any purpose. Any reliance you place on such information is therefore strictly at your own risk.  Through this website, you are able to link to other websites which are not under the control of CSIRT-CY. We have no control over the nature, content and availability of those sites. The inclusion of any links does not necessarily imply a recommendation or endorse the views expressed within them. Every effort is made to keep the website up and running smoothly. However, CSIRT-CY takes no responsibility for, and will not be liable for, the website being temporarily unavailable due to technical issues beyond our control.