Οι κυβερνοεγκληματίες έχουν αλλάξει την προσέγγισή τους στη διείσδυση. Αντί να εξαπολύουν γρήγορες επιθέσεις, τώρα εργάζονται σιωπηλά μέσα στα δίκτυα, κλέβοντας σημαντικές πληροφορίες και περιμένουν εβδομάδες ή μήνες πριν χτυπήσουν.
Αυτό ακριβώς συνέβη σε μια πρόσφατη επίθεση που ανακαλύφθηκε από την Morphisec Threat Labs με στόχο μια μεγάλη εταιρεία ακινήτων των ΗΠΑ.
Αυτή δεν ήταν μια κοινή καμπάνια phishing που στόχευε σε πολλά άτομα ταυτόχρονα. Αντίθετα, ήταν μια προσεκτικά σχεδιασμένη επίθεση χρησιμοποιώντας το πλαίσιο κακόβουλου λογισμικού εντολών και ελέγχου Tuoni, σχεδιασμένο να κρύβει και να αποτρέπει τον εντοπισμό χρησιμοποιώντας προηγμένες τεχνικές όπως κώδικας που δημιουργείται από AI, κρυφές εικόνες και εκτέλεση μόνο με μνήμη.
Η επίθεση σηματοδότησε μια σημαντική αλλαγή στον τρόπο λειτουργίας του σύγχρονου κακόβουλου λογισμικού. Οι παραδοσιακές επιθέσεις καταθέτουν αρχεία στον σκληρό δίσκο ενός υπολογιστή, αφήνοντας ίχνη για εύρεση εργαλείων ασφαλείας.
Το κακόβουλο λογισμικό Tuoni δεν άγγιξε ποτέ το δίσκο. Απέφυγε τον εντοπισμό υπογραφών, την παρακολούθηση συμπεριφοράς και τα εργαλεία ανίχνευσης τελικού σημείου.
Χωρίς την κατάλληλη προστασία εστιασμένη στην πρόληψη, αυτό το κακόβουλο λογισμικό θα είχε παραμείνει κρυμμένο στο εσωτερικό του δικτύου επ’ αόριστον, κλέβοντας διαπιστευτήρια και προετοιμάζοντας το έδαφος για την ανάπτυξη ransomware.
Η πολυπλοκότητα αυτής της επίθεσης δείχνει πώς οι φορείς απειλών κατασκευάζουν τώρα κακόβουλο λογισμικό ειδικά για να αποφύγουν όλα τα παραδοσιακά επίπεδα ασφάλειας.
Αναλυτές Morphisec αναγνωρισθείς το κακόβουλο λογισμικό μέσω της προσεκτικής παρακολούθησης προηγμένων τεχνικών φοροδιαφυγής γίνεται όλο και πιο συνηθισμένο σε περίπλοκες επιθέσεις.
Το κακόβουλο λογισμικό χρησιμοποιούσε steganography για να κρύψει επιβλαβή κώδικα μέσα σε αρχεία εικόνας που φαινόταν αθώα για τους σαρωτές ασφαλείας. Χρησιμοποίησε επίσης φορτωτές ενισχυμένες με AI που παρήγαγαν κώδικα δυναμικά για να κρύψουν τον τρόπο λειτουργίας του κακόβουλου λογισμικού και τον εντοπισμό διαφυγής.
Το αρθρωτό πλαίσιο Tuoni C2 δημιουργήθηκε για να κλέβει τα διαπιστευτήρια σύνδεσης, να διατηρεί μακροπρόθεσμη πρόσβαση και να προετοιμάζει συστήματα για επιθέσεις ransomware σε μεγάλη κλίμακα.
Κατανόηση του φορέα επίθεσης Steganography
Ο μηχανισμός μόλυνσης αποκαλύπτει πώς το Tuoni χρησιμοποιεί κρυφές εικόνες ως οχήματα παράδοσης για το ωφέλιμο φορτίο του. Το Steganography κρύβει κακόβουλα δεδομένα μέσα σε αρχεία εικόνας BMP με κανονική εμφάνιση, καθιστώντας τα αόρατα στα παραδοσιακά εργαλεία σάρωσης που αναζητούν γνωστές υπογραφές κακόβουλου λογισμικού.
Όταν ένας στόχος ανοίγει κάτι που φαίνεται να είναι μια αβλαβής εικόνα, το κακόβουλο λογισμικό χρησιμοποιεί ανακλαστική φόρτωση μνήμης για να τοποθετηθεί απευθείας στη μνήμη του υπολογιστή χωρίς να δημιουργεί αρχεία στο δίσκο.
Αυτό σημαίνει ότι δεν εμφανίζονται αρχεία στους καταλόγους, δεν γράφονται υπογραφές για σάρωση και δεν ενεργοποιούνται ειδοποιήσεις συμπεριφοράς. Τα εργαλεία ασφαλείας που σαρώνουν για αρχεία στο δίσκο δεν βλέπουν τίποτα ασυνήθιστο.
Το κακόβουλο λογισμικό λειτουργεί εξ ολοκλήρου σε προσωρινή μνήμη, εκτελώντας το πρόγραμμα φόρτωσης και δημιουργώντας επικοινωνία με την υποδομή Tuoni χωρίς να αφήνει κανένα ίχνος.
Αυτή η εκτέλεση μόνο με μνήμη νικάει το λογισμικό προστασίας από ιούς, τα συστήματα EDR, ακόμη και το προηγμένο sandboxing, επειδή αυτά τα εργαλεία βασίζονται στον εντοπισμό αρχείων ή ασυνήθιστων συμπεριφορών στο δίσκο.
Το πλαίσιο Tuoni χρησιμοποιεί στη συνέχεια αυτή τη σιωπηλή θέση για να κλέψει τα διαπιστευτήρια χρήστη, να διατηρήσει την επιμονή μέσω πολλαπλών περιόδων σύνδεσης και να προετοιμάσει συστήματα για ανάπτυξη ransomware.
Χωρίς εργαλεία που εστιάζουν στον εντοπισμό να ανιχνεύουν αυτήν τη δραστηριότητα, η επίθεση παραμένει απαρατήρητη, δίνοντας στους εισβολείς μήνες για να συλλέξουν ευαίσθητα δεδομένα και να επεκτείνουν την εμβέλειά τους στο δίκτυο.
