8 sierpnia 2022, Kaspersky ICS CERT, opublikował wyniki badań dot. fali ukierunkowanych ataków na instytucje publiczne, wojskowe i zakłady przemysłowe. Udało się ustalić, że ofiarami, jak do tej pory, były kraje z Europy Wschodniej (Rosja, Ukraina, Białoruś) oraz Afganistan. Atakujący byli w stanie spenetrować środowiska przedsiębiorstw, a w niektórych przypadkach nawet całkowicie przejąć kontrolę nad infrastrukturą IT.
Wektorem ataku jakim posługują się sprawcy jest wiadomość e-mail z załączonym plikiem Microsoft Word… Czyli klasyczny phishing. W związku z tym, że ataki są ukierunkowane specjalnie pod ofiary, wiadomości są przygotowane w taki sposób, by nie budziły podejrzeń – zdobywano wcześniej wrażliwe dane konkretnej ofiary i na tej podstawie tworzono wiadomość i załączony dokument.
Plik zawierał złośliwy kod, który wykorzystuje podatność CVE-2017-11882. Podatność ta występuje w przedawnionych wersjach Microsoft Equation Editor (komponent pakietu Microsoft Office) i pozwala atakującemu na użycie przygotowanej sekwencji bajtów zamaskowanej w równaniu. Skutkuje to wykonaniem przygotowanego kodu przez użytkownika podczas otwarcia dokumentu. Następnie malware przejmuje w zasadzie kontrolę nad systemem bez dodatkowych i wymaganych akcji użytkownika (nie trzeba np. włączać obsługi macro).
We wspomnianej serii ataków, użyty malware wykorzystywał 6 różnych typów backdoorów, aby zapewnić redundancję komunikacji do systemów C2. Kolejno, następował lateral movement, przejęcie kontroli nad kluczowymi systemami, a następnie wszystkimi hostami. Na koniec następowała kradzież wrażliwych danych. Skradzione pliki szyfrowano i zabezpieczano hasłem w archiwach ZIP.
Nie jest znany motyw sprawców, ani tym bardziej ich tożsamość. Ustalono jednak pewne fakty, które wskazują na grupę chińskojęzyczną. Grupa ICS Kaspersky dotarła do informacji które sugerują, że serwery 2C i ten sam malware był już użyty wcześniej w atakach przez TA428, chińską grupę hackerów APT. Przypuszcza się, że jest to przedłużenie kampanii opisanej przez Cybereason Nocturnus (kampania dotyczyła ataku na rosyjski sektor obrony), za którą również podejrzewa się tę samą grupę.
Źródła:
Targeted attack on industrial enterprises and public institutions
PortDoor: New Chinese APT Backdoor Attack Targets Russian Defense Sector
