H διαβόητη ομάδα hacking (κυβερνοκατασκοπείας) Sharp Panda εφάρμοσε πρόσφατα μια νέα παραλλαγή του malware framework “Soul” για να απειλήσει και να παραβιάσει τα συστήματα ασφαλείας σημαντικών κυβερνητικών οργανισμών στο Βιετνάμ, την Ταϊλάνδη και την Ινδονησία.
Δείτε επίσης: Το Ισραήλ κατηγορεί το Ιράν για την κυβερνοεπίθεση στο πανεπιστήμιο Technion
Αυτό το στέλεχος κακόβουλου λογισμικού είχε ήδη χρησιμοποιηθεί σε διάφορες εκστρατείες κινεζικής κατασκοπείας εναντίον κρίσιμων οργανισμών που βρίσκονται στη Νοτιοανατολική Ασία.
Η Check Point εντόπισε μια νέα καμπάνια που χρησιμοποιεί το κακόβουλο λογισμικό που ξεκίνησε στα τέλη του 2022 και συνεχίζεται έως το 2023, χρησιμοποιώντας επιθέσεις spear-phishing για αρχική παραβίαση.
Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik
SecNewsTV 1 Αυγούστου, 7:56 πμ
12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις
SecNewsTV 7 Ιουλίου, 10:27 μμ
Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin
SecNewsTV 18 Μαΐου, 1:06 μμ
Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις
SecNewsTV 3 Μαρτίου, 12:57 πμ
LIVE: GoldDigger credential detection & PinataHub platform
SecNewsTV 29 Ιανουαρίου, 1:24 πμ
LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news
SecNewsTV 1 Οκτωβρίου, 12:54 πμ
Η χρήση του κιτ RoyalRoad RTF, οι διευθύνσεις διακομιστών C2 και οι ώρες εργασίας του χάκερ επέτρεψαν στην Check Point να αποδώσει την τελευταία επιχείρηση κατασκοπείας σε Κινέζους χάκερ που υποστηρίζονται από το κράτος. Τα TTP και τα εργαλεία είναι συνεπή με παλιές δραστηριότητες της Sharp Panda.
Δείτε επίσης: Ευπάθειες της TPM 2.0 βάζουν σε κίνδυνο cryptographic keys!
Αλυσίδα μόλυνσης
Η νέα καμπάνια Sharp Panda χρησιμοποιεί emails spear-phishing με κακόβουλα συνημμένα αρχείων DOCX που αναπτύσσουν το κιτ RoyalRoad RTF για να προσπαθήσει να εκμεταλλευτεί παλαιότερα τρωτά σημεία για να κάνει drop κακόβουλο λογισμικό στον host.
Σε αυτήν την περίπτωση, το exploit δημιουργεί μια προγραμματισμένη εργασία και στη συνέχεια κάνει drop και εκτελεί ένα DLL malware downloader, το οποίο με τη σειρά του ανακτά και εκτελεί ένα δεύτερο DLL από τον διακομιστή C2, τον φορτωτή SoulSearcher.
Το δεύτερο DLL δημιουργεί ένα κλειδί μητρώου με το τελικό συμπιεσμένο payload, στη συνέχεια αποκρυπτογραφεί και μεταφορτώνει το Soul modular backdoor στη μνήμη για να αποφύγει τον εντοπισμό του από τις εφαρμογές antivirus στο σύστημα που έχει διεισδύσει.
Λεπτομέρειες του Soul
Μετά την ενεργοποίηση, το κακόβουλο λογισμικό Soul επικοινωνεί αμέσως με τον C2 για να περιμένει τυχόν πρόσθετα modules που θα επεκτείνουν τις δυνατότητές του.
Η νέα έκδοση που αναλύθηκε από την Check Point διαθέτει “radio silence” mode που επιτρέπει στους απειλητικούς παράγοντες να προσδιορίζουν τις συγκεκριμένες ώρες της εβδομάδας που το backdoor δεν πρέπει να επικοινωνεί με τον διακομιστή εντολών και ελέγχου, πιθανόν να αποφύγει τον εντοπισμό κατά τις ώρες εργασίας του θύματος.
“Αυτή είναι μια προηγμένη δυνατότητα OpSec που επιτρέπει στους χάκερ να συνδυάζουν τη ροή επικοινωνίας τους στη γενική κίνηση και να μειώνουν τις πιθανότητες ανίχνευσης επικοινωνίας δικτύου” εξήγησε η Check Point.
Επιπλέον, η τελευταία παραλλαγή αξιοποιεί ένα εξατομικευμένο πρωτόκολλο επικοινωνίας C2 που χρησιμοποιεί πολλαπλές μεθόδους αίτησης HTTP, όπως GET, POST και DELETE.
Το κακόβουλο λογισμικό έχει αυξημένη ευελιξία με την υποστήριξη πολλαπλών μεθόδων HTTP, όπως η GET για την ανάκτηση δεδομένων και η POST για την υποβολή τους.
Η επικοινωνία του Soul με το C2 ξεκινά με την εγγραφή του εαυτού του και την αποστολή δεδομένων δακτυλικών αποτυπωμάτων του θύματος (λεπτομέρειες υλικού, τύπος λειτουργικού συστήματος, ζώνη ώρας, διεύθυνση IP), μετά την οποία εισέρχεται σε ένα “infinite C2 contacting loop”.
Οι εντολές που μπορεί να λάβει κατά τη διάρκεια αυτών των επικοινωνιών αφορούν τη φόρτωση πρόσθετων μονάδων, τη συλλογή και την εκ νέου αποστολή δεδομένων enumeration, την επανεκκίνηση της επικοινωνίας C2 ή την έξοδο από τη διαδικασία της.
Η Check Point απέτυχε να δοκιμάσει πρόσθετα modules με πιο συγκεκριμένους σκοπούς, όπως χειρισμός αρχείων, μεταφορά δεδομένων, καταγραφή κλειδιών και λήψη screenshot.
Το 2017 εμφανίστηκε η πρώτη εμφάνιση του Soul framework και η παρουσία του παρατηρήθηκε καθ’ όλη τη διάρκεια του 2019 σε δραστηριότητες κινεζικής κατασκοπείας υπό την καθοδήγηση άγνωστων απειλητικών φορέων που δεν είχαν σχέση με την Sharp Panda.
Παρόλο που η χρήση του Soul τέμνεται κατά κάποιο τρόπο, η Check Point διαπίστωσε πρόσφατα ότι βρίσκεται ακόμη σε ενεργό στάδιο ανάπτυξης.
Πηγή πληροφοριών: bleepingcomputer.com