Välkomna till vårt fjortonde Tech Talk, där vi fortsätter att utforska det senaste inom cybersäkerhet och de hot som påverkar organisationer världen över. Den här veckan täcker vi en mängd nya attacker och sårbarheter, från utvecklingen av Quad7-botnettet till den pågående expansionen av Mustang Pandas malware-arsenal. Vi kommer också att dyka djupare in i aktuella ransomware-kampanjer och infostealers som YASS, samt granska nationella säkerhetshot från grupper som TIDRONE och Gamaredon. Detta Tech Talk ger en omfattande översikt av aktuella trender och tekniker som används av hotaktörer, och vi ger också vägledning om hur man kan skydda sig mot dessa ständigt utvecklande cyberhot.
TIDRONE riktar in sig på den taiwanesiska militären:
Trend Micro rapporterar att den kinesisktalande hotgruppen TIDRONE har riktat in sig på taiwanesiska militära organisationer, särskilt drönartillverkare, sedan början av 2024. Genom att använda avancerad skadlig kod (CXCLNT och CLNTEND) infiltrerar gruppen system via ERP-programvara eller fjärrskrivbord och bedriver spionage.
Angriparna använder avancerade verktyg, inklusive CXCLNT och CLNTEND, för att ladda upp och ladda ner filer, radera spår, samla in systeminformation och köra ytterligare skadliga nyttolaster. CLNTEND, ett nyligen upptäckt fjärrstyrningsverktyg (RAT), stöder en rad olika kommunikationsprotokoll. Under efterexploatering har tekniker som kringgående av User Account Control (UAC), stöld av autentiseringsuppgifter och inaktivering av antivirusprogram observerats.
Hotaktörerna använder anti-analysetekniker, som att kontrollera föräldraprocessens ingångspunkter och API-hooking, för att undvika upptäckt. Bevis tyder på att den skadliga koden kan distribueras genom en försörjningskedjeattack som involverar komprometterade ERP-system. Kampanjens samstämmighet med andra kinesiska spionageaktiviteter tyder på ett spionagemotiv med fokus på känslig militärdata.
Ytterligare analys:
Programvaruattacker mot leveranskedjor har blivit en föredragen metod för hotaktörer på grund av deras potential för smygande, uthållighet och bred påverkan. Vid en sådan attack infiltrerar cyberkriminella en mjukvaruleverantörs nätverk och injicerar skadlig kod i legitima uppdateringar, som sedan distribueras till kunder. Detta gör det möjligt för angriparen att kompromettera flera organisationer samtidigt.
Tekniker som att kapa uppdateringar, underminera signering av kod och kompromettera öppen källkod används ofta. Genom att rikta in sig på leveranskedjor får angripare tillgång till säkrade system, vilket gör att de kan genomföra både mycket riktade attacker och bredare, mer urskillningslösa operationer över sammanlänkade nätverk. Den smygande naturen hos dessa attacker fördröjer ofta upptäckt, vilket gör det möjligt för hotaktörer att bibehålla långvarig tillgång och maximera skadan eller insamlingen av information.
Misstänkta kinesiska hotaktörer, som TIDRONE, har observerats använda leveranskedjeattacker för att utföra spionage. I mars 2024 rapporterade ESET-forskare att den kinesisktalande hotgruppen Evasive Panda komprometterade leveranskedjan för ett tibetanskt mjukvaruföretag som en del av en cyberespionagekampanj riktad mot tibetaner. I augusti 2023 publicerade Symantec en rapport som beskriver aktiviteter från Carderbee, en annan misstänkt kinesisk hotaktör, som utnyttjade legitima program för att distribuera Korplug bakdörren till cirka 100 offer i Hongkong.
Predator-spyware återuppstår med ny infrastruktur
Insikt Group rapporterar att Predator-spyware, ofta använt av statliga enheter, har återuppstått i länder som Kongo-Kinshasa och Angola. Med uppgraderad infrastruktur för att undvika upptäckt riktar sig Predator mot högprofilerade individer, såsom politiker och aktivister, genom en-klick och noll-klick attackvektorer.
Predator-spyware, som ofta används av statliga aktörer, gör det möjligt för operatörer att få tillgång till känslig information på enheter, inklusive meddelanden och kontakter, och kan aktivera kameror och mikrofoner utan användarens medgivande. Predator-operatörer har lagt till komplexitet i sin infrastruktur, inklusive en extra nivå i leveranssystemet, vilket gör det svårare att spåra vilka länder som använder spionprogrammet.
Spywaret fortsätter sannolikt att använda både en-klick och noll-klick attackvektorer för att infiltrera enheter. En-klick attacker utnyttjar sociala ingenjörsmeddelanden med skadliga länkar som, när de klickas, utnyttjar sårbarheter i webbläsare för att installera spyware. Noll-klick attacker kräver ingen användarinteraktion alls, utan utnyttjar istället sårbarheter genom nätverksinjektion, ofta riktat mot enheter med privilegierad åtkomst eller i närheten av angriparen.
Ytterligare analys:
Kommersiella övervakningsleverantörer, som Intellexa, har varit föremål för stor kritik och granskning. Google’s Threat Analysis Group (TAG) avslöjade i juli 2024 troliga ryska regeringssponsrade attacker som använde en sårbarhet som liknade en utnyttjad av Intellexa.
Ransomware-aktörer utnyttjar SonicWall
Akira ransomware affiliates utnyttjade en kritisk sårbarhet i SonicWall SonicOS (CVE-2024-40766) för att få nätverksåtkomst. Genom att rikta sig mot brandväggar kunde de kringgå säkerhetsåtgärder via lokala konton, vilket ledde till intrång i organisationer med inaktiverad multifaktorautentisering.
Arctic Wolf-forskare kopplade dessa attacker till Akira ransomware affiliates, som riktade in sig på SonicWall-enheter för att få initial åtkomst till sina mål. Rapid7 upptäckte också att ransomware-grupper riktade in sig på SonicWall SSLVPN-konton men konstaterade att “bevisen som kopplar CVE-2024-40766 till dessa incidenter fortfarande är omständliga.”
YASS Infostealer riktar sig mot känsliga data
Intezer upptäckte “Yet Another Silly Stealer” (YASS), en variant av CryptBot, som distribuerades genom en flerfasnedladdare kallad “MustardSandwich.” YASS riktar sig mot kryptoplånböcker, webbläsartillägg och autentiseringsappar, och använder tekniker för att undvika upptäckt.
Till skillnad från tidigare versioner av CryptBot visar YASS betydande skillnader i kodstruktur, tillräckligt för att betraktas som en distinkt variant. Det levereras genom en komplex nedladdningskedja med PowerShell-skript som utnyttjar känslig information.
WhatsUp Gold RCE-attacker
Angripare utnyttjade sårbarheter i WhatsUp Gold (CVE-2024-6670, CVE-2024-6671) för att köra PowerShell-skript via NmPoller.exe och distribuera fjärrstyrningsverktyg som Atera Agent och Splashtop.
Trots att patchar fanns tillgängliga den 16 augusti började attacker kort efter att ett proof-of-concept publicerades den 30 augusti, vilket understryker behovet av snabb patchhantering.
Repellent Scorpius expanderar RaaS-verksamhet
Unit 42 rapporterar om den framväxande ransomware-gruppen Repellent Scorpius, som använder Cicada3301 ransomware i dubbla utpressningsattacker. Gruppen rekryterar affiliates via ryska cyberbrottsforum och använder stulna autentiseringsuppgifter för att utföra attacker globalt.
Repellent Scorpius har snabbt expanderat genom att rekrytera affiliates och initiala åtkomstmäklare (IABs) via ryska språkliga forum. De använder dubbla utpressningstekniker: kryptera offerets system och hota att offentliggöra stulna data om lösen inte betalas.
DragonRank-kampanj
Cisco Talos avslöjade en kampanj av DragonRank, en grupp kopplad till kinesisktalande aktörer, som riktade in sig på Windows IIS-servrar för att manipulera SEO och omdirigera trafik till bluffwebbplatser. Gruppen använder black hat SEO-taktik och installerar skadlig kod som BadIIS och webbskal för att hålla sig kvar i systemen.
NoName ransomware-kampanj
NoName-gruppen, associerad med CosmicBeetle, använder ScRansom för att rikta in sig på små och medelstora företag globalt. De utnyttjar äldre sårbarheter som EternalBlue och ZeroLogon och imiterar andra ransomware-grupper som LockBit med hjälp av anpassade verktyg från Spacecolon-malwarefamiljen.
Quad7 botnet-utveckling
Quad7 botnätet riktar sig mot SOHO-enheter med ny anpassad skadlig kod och övergår till mer sofistikerade kommunikationsprotokoll som KERN samt experimenterar med darknet-protokoll för framtida attacker. Enheter som Zyxel VPN-apparater och Ruckus-routrar komprometteras via HTTP-reverse shells för fjärrkontroll.
Sekoia-forskare har sammanställt en ny rapport som varnar för utvecklingen av Quad7, som inkluderar att sätta upp nya staging-servrar, lansera nya botnet-kluster, använda nya bakdörrar och reverse shells, och överge öppna Socket Secure (SOCKS)-proxyn. Botnätet består av flera underkluster identifierade som varianter av *login, där varje kluster riktar sig mot specifika enheter och visar ett unikt välkomstmeddelande när de ansluter till Telnet-porten. Sekoia upptäckte nya bakdörrar, kallade ‘UPDTAE,’ som etablerar HTTP-reverse shells för fjärrstyrning av de infekterade enheterna. Quad7 verkar överge SOCKS för kommunikation och övergå till KERN Communications Protocol (KCP). KCP är ett kommunikationsprotokoll som används för att vidarebefordra attacker via ett nytt verktyg som kallas ‘FsyNet,’ som kommunicerar via User Datagram Protocol (UDP). Dessutom upptäcktes en ny ‘netd’-binär som använder darknet-liknande protokollet CJD route2, vilket potentiellt är ett experiment för framtida attacker.