Aktor z Rosji wykorzystał niezałatane pakiety Office dnia zerowego
Firma Microsoft ujawniła, że luka dnia zerowego w produktach Office i Windows jest aktywnie wykorzystywana przez motywowaną finansowo i politycznie grupę cyberprzestępczą z siedzibą w Rosji.
We wtorkowym poście na blogu Microsoft przypisał trwającą kampanię phishingową wykrytą w czerwcu grupie, którą śledzi jako Storm-0978. Ataki wykorzystują niezałataną lukę umożliwiającą zdalne wykonanie kodu HTML pakietu Office i systemu Windows, śledzoną jako CVE-2023-36884, do atakowania jednostek obronnych i rządowych zlokalizowanych w Europie i Ameryce Północnej.
Microsoft powiedział, że kampania wykorzystuje przynęty związane ze Światowym Kongresem Ukrainy i NATO, aby nakłonić organizacje do otwierania złośliwych załączników w dokumentach Word, zwykle dostarczanych za pośrednictwem wiadomości phishingowych. Oprócz kampanii phishingowej zaobserwowano również, że Storm-0978 angażował się w oprogramowanie ransomware, które według Microsoftu było „całkowicie niezależne od celów szpiegowskich”.
„Storm-0978 (DEV-0978; określany również przez innych dostawców jako RomCom, nazwa ich backdoora) to grupa cyberprzestępcza z siedzibą w Rosji, znana z przeprowadzania oportunistycznych operacji ransomware i wymuszeń, a także ataków na dane uwierzytelniające -zbieranie kampanii prawdopodobnie wspierających operacje wywiadowcze” – napisał Microsoft w poście na blogu.
Wpis na blogu zawierał taktykę; techniki i procedury; oraz oś czasu potwierdzonej aktywności Storm-0978, którą Microsoft po raz pierwszy zidentyfikował w grudniu ubiegłego roku. Podczas czerwcowej kampanii phishingowej Microsoft zaobserwował użycie fałszywego modułu ładującego OneDrive do dostarczenia backdoora. We wpisie na blogu podkreślono, w jaki sposób Storm-0978 wykorzystuje trojanizowane wersje legalnego oprogramowania, takiego jak produkty Adobe, Solarwinds Orion i KeePass, przed zainstalowaniem złośliwego oprogramowania typu backdoor znanego jako RomCom.
„Dodatkowo, w oparciu o przypisaną aktywność phishingową, Storm-0978 nabył exploity atakujące luki dnia zerowego” – czytamy na blogu.
Jednym z nietypowych aspektów kampanii była aktywność związana z oprogramowaniem ransomware. Microsoft powiedział, że wykrył „jednoczesną, oddzielną aktywność oprogramowania ransomware Storm-0978 przeciwko niepowiązanemu celowi przy użyciu tych samych początkowych ładunków”.
Na blogu podkreślono, że Storm-0978 wykazuje wyraźne motywacje szpiegowskie i finansowe. Na przykład cele szpiegowskie obejmowały organizacje z siedzibą w Europie i Ameryce Północnej, które są potencjalnie zaangażowane w sprawy Ukrainy, podczas gdy cele oprogramowania ransomware dotyczyły sektorów telekomunikacyjnego i finansowego.
Podczas ataków ransomware cyberprzestępcy używali wariantu oprogramowania ransomware o nazwie Underground, który Microsoft powiązał z oprogramowaniem ransomware Industrial Spy, które po raz pierwszy zaobserwowano w środowisku naturalnym w maju 2022 r. Aby uzyskać dostęp do danych uwierzytelniających, Storm-0978 zrzucał skróty haseł z Security Account Manager przy użyciu Windows rejestr.
Microsoft powiedział, że jego produkt Defender dla Office 365 wykrył początkowe użycie exploita atakującego CVE-2023-36884. W celu obrony przed aktywnością Storm 0978 firma Microsoft zaleciła włączenie ochrony dostarczanej w chmurze w programie Microsoft Defender Antivirus, uruchamianie EDR w trybie blokowym oraz włączenie badania i środków zaradczych w trybie w pełni zautomatyzowanym.
W oddzielnym przewodniku dotyczącym luk w zabezpieczeniach dla luki CVE-2023-36884 Microsoft powiedział, że po zakończeniu dochodzenia w sprawie raportów o aktywnych exploitach może udostępnić aktualizację zabezpieczeń. Redakcja TechTarget skontaktowała się z firmą Microsoft w celu uzyskania dodatkowych informacji, ale została skierowana do poradnika i wpisu na blogu firmy.
Adam Barnett, główny inżynier oprogramowania w Rapid7, odniósł się do luki dnia zerowego we wtorek na blogu, podkreślając 130 wszystkich luk, które Microsoft ogłosił we wtorek w tym tygodniu. Spośród 130, pięć było wadami dnia zerowego.
„Co zaskakujące, nie ma jeszcze łaty dla jednej z pięciu luk dnia zerowego. Obrońcy, którzy są, co zrozumiałe, zaniepokojeni brakiem natychmiastowych łat dla CVE-2023-36884, powinni zapoznać się z wieloma opcjami łagodzenia w poradniku. Microsoft twierdzi, że zasoby z Obrońcy Office 365 są już chronieni” – napisał Barnett na blogu.
Barnett ostrzegł administratorów, aby przygotowali się na „poza cykliczną aktualizację zabezpieczeń dla CVE-2023-26884”.
Potencjalna rebranding RomCom
Przed raportem Microsoftu, BlackBerry Threat Research and Intelligence Team zaobserwował również, że cyberprzestępca powiązany z RomCom podszywa się pod Ukraiński Kongres Światowy, aby atakować gości szczytu NATO, którzy mogą wspierać Ukrainę. Ataki phishingowe zaobserwowane 4 lipca, które BlackBerry szczegółowo opisał w poście na blogu w zeszłym tygodniu, również wykorzystywały dokumenty Microsoft Word. Jednak badacze uważają, że ćwiczenia z udziałem cyberprzestępców rozpoczęły się 22 czerwca.
W oparciu o kontekst geopolityczny, rejestrację domen i informacje o infrastrukturze sieciowej, BlackBerry oceniło ze średnią lub dużą pewnością, że działanie to było albo operacją przemianowaną na RomCom, albo że za nową kampanią mającą na celu wspieranie nowa grupa zagrożeń.
BlackBerry powiedział TechTarget Editorial, że nie zaobserwował, aby RomCom był zaangażowany w działalność ransomware i powiedział, że kraj pochodzenia cyberprzestępcy jest niejasny. „Jednak biorąc pod uwagę charakter języka, który zaobserwowaliśmy w jego socjotechnice, a także związany z nim kontekst (wojna na Ukrainie i wydarzenia wokół krajów zachodnich wspierających Ukrainę), uważamy, że ugrupowanie cyberprzestępcze jest prawdopodobnie zwolennikiem rosyjskiej inwazji na Ukrainie” – powiedział BlackBerry.
Arielle Waldman jest reporterką z Bostonu zajmującą się bezpieczeństwem przedsiębiorstw.
