Οι συνεργάτες του DarkSide έπληξαν πωλητή καμερών CCTV με supply chain επίθεση
Ερευνητές
ασφαλείας
της
FireEye/Mandiant
ανακάλυψαν ότι μία θυγατρική της συμμορίας του
DarkSide ransomware
, που είναι γνωστή με την ονομασία
«UNC2465»
, πραγματοποίησε
supply chain
επίθεση
εναντίον ενός
πωλητή καμερών CCTV
. Η UNC2465 λέγεται ότι είναι
από τους βασικούς
συνεργάτες
της συμμορίας του
DarkSide
, μαζί με άλλες συμμορίες που έχουν λάβει από τη Mandiant τις ονομασίες
«UNC2628
»
και
«UNC2659»
.
Οι επιτιθέμενοι παραβίασαν το site του προμηθευτή και εμφύτευσαν κακόβουλο κώδικα σε μια
εφαρμογή
των Windows, μια προσαρμοσμένη έκδοση της εφαρμογής
Dahua SmartPSS Windows
, την οποία η
εταιρεία
παρέχει στους πελάτες της για τον έλεγχο των security feeds τους.
Διαβάστε επίσης:
Colonial Pipeline
:
Ανακτήθηκε το μεγαλύτερο μέρος των λύτρων που καταβλήθηκαν στο DarkSide
συνεργάτες
του DarkSide έπληξαν πωλητή καμερών CCTV με
supply chain
επίθεση
Ειδικότερα, η Mandiant ανέφερε τα ακόλουθα:
«Η εισβολή που περιγράφεται λεπτομερώς σε αυτήν την ανάρτηση ξεκίνησε στις 18 Μαΐου 2021, πραγματοποιήθηκε λίγες μέρες μετά το κλείσιμο της επιχείρησης του DarkSide. Ενώ δεν παρατηρήθηκε κανένα ransomware, η Mandiant πιστεύει ότι οι συμμορίες που έχουν πραγματοποιήσει εισβολές με το DarkSide ενδέχεται να χρησιμοποιούν πολλαπλά προγράμματα θυγατρικών ransomware και μπορούν να εναλλάσσονται μεταξύ τους κατά βούληση. Κάποια στιγμή τον Μάιο του 2021 ή νωρίτερα, η UNC2465 πιθανότατα μόλυνε με trojan δύο πακέτα εγκατάστασης software στο site ενός παρόχου καμερών
ασφαλείας
CCTV».
Το site παραβιάστηκε για πρώτη φορά στις
18 Μαΐου
και οι
χάκερς
παρέμειναν εντός της εταιρείας μέχρι τις αρχές Ιουνίου, οπότε οι ερευνητές της Mandiant ανακάλυψαν την
supply chain
επίθεση
.
Η μολυσμένη
εφαρμογή
χρησιμοποιήθηκε από τους εισβολείς για τη διανομή μιας έκδοσης του
.NET SMOKEDHAM backdoor
, που υποστηρίζει keylogging, λήψη screenshots κι εκτέλεση αυθαίρετων εντολών στα μολυσμένα
συστήματα
.
Η Mandiant παρατήρησε το trojanized installer που έγινε download σε Windows workstation, αφού ο χρήστης επισκέφθηκε ένα νόμιμο site που είχε χρησιμοποιήσει στο παρελθόν ο οργανισμός-θύμα. Η
εταιρεία
επιβεβαίωσε ότι ο χρήστης σκόπευε να πραγματοποιήσει λήψη, εγκατάσταση και χρήση του SmartPSS software. Το παρακάτω σχήμα δείχνει μια εικόνα του download page που χρησιμοποιήθηκε για το SmartPSS software.
συνεργάτες
του DarkSide έπληξαν πωλητή καμερών CCTV με
supply chain
επίθεση
Δείτε ακόμη:
Η
επιχείρηση
του
DarkSide ransomware
έκλεισε – οι
συνεργάτες
διαμαρτύρονται ότι δεν έχουν πληρωθεί
Oι ερευνητές της FireEye συνέδεσαν το SMOKEDHAM backdoor με την ομάδα UNC2465, που αναπτύσσει δραστηριότητα
τουλάχιστον από τον Απρίλιο του 2019
και θεωρείται συνεργάτης της επιχείρησης RaaS του DarkSide.
Στην εν λόγω
επίθεση
, μόλις αναπτύχθηκε το backdoor, η UNC2465 δημιούργησε ένα
NGROK tunnel
και κινήθηκε πλευρικά σε
λιγότερο από 24 ώρες
. Μετά από πέντε ημέρες, οι
χάκερς
της UNC2465 επέστρεψαν και χρησιμοποίησαν πρόσθετα εργαλεία – όπως ένα keylogger και το
Cobalt Strike
BEACON – κι έκλεψαν credentials με dumping της
μνήμης LSASS
.
Οι ερευνητές παρατήρησαν ακόμη ότι σε αυτή την
supply chain
επίθεση
, η UNC2465
δεν διένειμε το
DarkSide ransomware
ως το τελικό payload
, χωρίς ωστόσο να αποκλείουν το ενδεχόμενο η ομάδα των κυβερνοεγκληματιών να έχει ενσωματωθεί σε νέα
επιχείρηση
RaaS.
συνεργάτες
του DarkSide έπληξαν πωλητή καμερών CCTV με
supply chain
επίθεση
Πρόταση:
Το
Μάντσεστερ
υφίσταται «συντονισμένη παγκόσμια
επίθεση
» από
χάκερς
Οι
ειδικοί
συνιστούν τη
σάρωση εσωτερικών δικτύων
για την
εφαρμογή
SmartPSS και την αναζήτηση για
δείκτες συμβιβασμού
που σχετίζονται με το SMOKEDHAM backdoor. Τέλος, η έκθεση των ερευνητών επισημαίνει τα εξής:
«Η μετατόπιση της UNC2465 από drive-by
επιθέσεις
σε επισκέπτες ιστότοπων ή
phishing emails
, σε αυτήν την software
supply chain
επίθεση
, δείχνει μια ανησυχητική αλλαγή που φέρνει νέες προκλήσεις. Ενώ πολλοί
οργανισμοί
εστιάζουν περισσότερο στην περιμετρική άμυνα και στον έλεγχο ταυτότητας δύο παραγόντων (2FA) μετά από πρόσφατα δημόσια παραδείγματα επαναχρησιμοποίησης password ή εκμετάλλευσης VPN συσκευών, η
παρακολούθηση
σε endpoints συχνά
παραβλέπεται
ή περιορίζεται στο τυπικό antivirus. Ένα ολοκληρωμένο
πρόγραμμα
ασφαλείας
είναι απαραίτητο για τον μετριασμό του κινδύνου από εξελιγμένες
ομάδες
, όπως η UNC2465, καθώς αυτές συνεχίζουν να προσαρμόζονται σε ένα μεταβαλλόμενο τοπίο ασφάλειας».
Πηγή πληροφοριών: securityaffairs.co
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.