Operation FrostBeacon που επιτίθεται στα οικονομικά και νομικά τμήματα με κακόβουλο λογισμικό Cobalt Strike

Μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού έχει εμφανιστεί με στόχο χρηματοοικονομικούς και νομικούς τομείς στη Ρωσική Ομοσπονδία, παρέχοντας το διαβόητο εργαλείο απομακρυσμένης πρόσβασης Cobalt Strike σε οργανισμούς που χειρίζονται ευαίσθητες επιχειρηματικές συναλλαγές.

Οι ερευνητές ασφαλείας έχουν εντοπίσει πάνω από είκοσι αρχικά αρχεία μόλυνσης που εμπλέκονται σε αυτήν την αλυσίδα επίθεσης πολλαπλών σταδίων, αποκαλύπτοντας μια καλά ενορχηστρωμένη λειτουργία που έχει σχεδιαστεί για να παραμένει κρυφή από τα παραδοσιακά συστήματα ασφαλείας.

Η καμπάνια, η οποία παρακολουθείται ως Operation FrostBeacon, χρησιμοποιεί παραπλανητικά μηνύματα ηλεκτρονικού ψαρέματος και οπλισμένα συνημμένα για να παραβιάσει στόχους.

Οι ηθοποιοί των απειλών δημιουργούν μηνύματα που περιστρέφονται γύρω από πληρωμές συμβολαίων, νομικές διαφορές και είσπραξη χρεών για να παρασύρουν τους χρήστες να ανοίξουν κακόβουλα αρχεία.

Αυτά τα δολώματα εκμεταλλεύονται κοινές επιχειρηματικές ανησυχίες στους τομείς της εφοδιαστικής, της χρηματοδότησης και της εφοδιαστικής αλυσίδας, όπου οι οργανισμοί βασίζονται σε μεγάλο βαθμό στις συμβάσεις και τη διεκπεραίωση πληρωμών.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου εμφανίζονται νόμιμα, συχνά γραμμένα στα ρωσικά και παραπέμπουν σε τυπική επιχειρηματική ορολογία που οικοδομεί εμπιστοσύνη με τα θύματα.

Αναλυτές ασφαλείας Seqrite αναγνωρισθείς δύο διακριτά συμπλέγματα μόλυνσης που λειτουργούν παράλληλα, το καθένα ακολουθώντας ξεχωριστή διαδρομή για την παράδοση του ίδιου κακόβουλου λογισμικού.

Και οι δύο συγκλίνουν τελικά στην ανάπτυξη του Cobalt Strike, ενός ισχυρού πλαισίου που χρησιμοποιείται από τους φορείς απειλών για τον απομακρυσμένο έλεγχο και την εκτέλεση εντολών σε παραβιασμένα συστήματα.

Μηχανισμός μόλυνσης πολλαπλών σταδίων και αποφυγή ανίχνευσης

Το πρώτο σύμπλεγμα λειτουργεί μέσω παράδοσης αρχειοθέτησης, που περιέχει ένα κακόβουλο αρχείο συντόμευσης μεταμφιεσμένο σε PDF.

Όταν οι χρήστες ανοίγουν αυτό το αρχείο, ενεργοποιεί κρυφές εντολές PowerShell που δημιουργούν μια σύνδεση με έναν απομακρυσμένο διακομιστή.

Το δεύτερο σύμπλεγμα χρησιμοποιεί έγγραφα του Word που εκμεταλλεύονται τρωτά σημεία παλαιού τύπου, συγκεκριμένα το CVE-2017-0199 για παράδοση και το CVE-2017-11882 στον Επεξεργαστή εξισώσεων για εκτέλεση.

Είναι αξιοσημείωτο ότι και τα δύο συμπλέγματα ανακατευθύνονται σε ένα αρχείο εφαρμογής HTML (HTA) που χρησιμεύει ως το βασικό στοιχείο εκτέλεσης.

Η πραγματική πολυπλοκότητα βρίσκεται στην παράδοση ωφέλιμου φορτίου. Μόλις εκτελεστεί το αρχείο HTA, αναδομεί πολλαπλά μπλοκ με κωδικοποίηση Base64 σε ένα σενάριο PowerShell συμπιεσμένο με gzip.

Αυτό το σενάριο υλοποιεί τρία επίπεδα συσκότισης που έχουν σχεδιαστεί για να αποτρέπουν τον εντοπισμό. Το πρώτο επίπεδο χρησιμοποιεί συμπίεση Gzip και κωδικοποίηση Base64.

Το δεύτερο στάδιο περιέχει προσαρμοσμένες λειτουργίες που επιλύουν δυναμικά τις διεπαφές προγραμματισμού εφαρμογών των Windows χωρίς εγγραφή αρχείων στο δίσκο.

Το τελικό επίπεδο χρησιμοποιεί ένα blob με κωδικοποίηση Base64 XOR κρυπτογραφημένο με το κλειδί 35, το οποίο αποκωδικοποιείται σε ακατέργαστο κέλυφος που εκτελείται στη μνήμη.

Ο αποκρυπτογραφημένος κώδικας κελύφους λειτουργεί ως φορτωτής Cobalt Strike Beacon, δημιουργώντας επικοινωνία με διακομιστές εντολών και ελέγχου που μεταμφιέζονται ως κανονικές λήψεις αρχείων jQuery.

Το κακόβουλο λογισμικό χρησιμοποιεί εξελιγμένες τεχνικές, συμπεριλαμβανομένου του NtMapViewOfSection για ένεση διεργασιών και προσαρμοσμένων προφίλ Cobalt Strike που κρύβουν περαιτέρω την παρουσία του.

Η ανάλυση υποδομής αποκαλύπτει τομείς ελεγχόμενους από τη Ρωσία που έχουν καταχωριστεί μέσω τοπικών παρόχων, με κίνηση εντολών και ελέγχου κρυμμένη μέσα σε νόμιμα εμφανιζόμενα αιτήματα ιστού.

Αυτός ο συνδυασμός τεχνικών καταδεικνύει μια ομάδα απειλών με οικονομικά κίνητρα με βαθιά τεχνική γνώση των μεθόδων φοροδιαφυγής.