-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

NASK oraz Służba Kontrwywiadu Wojskowego demaskują trwającą cały czas kampanię cyberataków przeprowadzanych przez rosyjskie służby.

13 kwietnia 2023, 15:34 | W biegu | komentarze 2

Raport omawiający całą kampanię możecie zobaczyć tutaj (nie zapomnijcie też o technicznych załącznikach na samym końcu).

Akcja zaczyna się od… (niespodzianka) phishingu kierowanego na konkretne organizacje (tzw. spear phishing) – np.:

Akurat ten mail prowadzi do złośliwego załącznika, który osadzony jest na zewnętrznym serwisie. Sam serwis należy do firmy X i został wcześniej zhackowany (dzięki temu atakujący używają infrastruktury, która nie została przygotowana „5 minut temu” i wygląda to bardziej realnie). Dodatkowo zastosowano znaną technikę HTML smuggling (ponownie, utrudnienie działania mechanizmów wykrywających próby ataku).

Zaobserwowane scenariusze wyglądają tak (jak widać „złośliwy załącznik” to zip, ewentualnie plik ISO/IMG):

Po drodze atakujący wykorzystują jeszcze parę tricków – np. dodanie dużej liczby spacji przed rozszerzeniem .exe pliku. Ktoż by nie kliknął w takiego 'worda’ ? ;-)

Na koniec uruchamiane są komercyjne narzędzia „do pentestów” Cobalt Strike lub Brute Ratel – w tym przypadku mocno niezamówionych pentestów… i tym samym atakujący uzyskują dostęp na komputer ofriary.

Jak się chronić? Sam raport wskazuje takie zalecenia:

  1. Zablokowanie możliwości montowanie w systemie plików obrazów dysków. Większość użytkowników wykonujących prace biurowe nie posiada potrzeby pobierania i używania plików ISO lub IMG.
  2. Monitorowanie montowania plików obrazów dysków przez użytkowników pełniących role administratorów.
  3. Włączenie i konfiguracja reguł Attack Surface Reduction Rules10.
  4. Konfiguracja reguł Software Restrition Policy i zablokowanie możliwości uruchamiania plików wykonywalnych z nietypowych lokalizacji (w szczególności: katalogi tymczasowe, %localappdata% i katalogi podrzędne, nośniki zewnętrzne

Od strony użytkownika warto umieć namierzyć próby phishingu – np. tutaj nadawca jest „trochę podejrzany”:

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tak tylko wspomnę

    z tym montowaniem ISO to niekoniecznie zablokowanie montowania ISO coś da, jak użytkownik ma dostęp do jednego z wielu programów archiwizujących (np. taki 7zip czy winrar rozpakuje takie ISO do folderu i problem dalej jest).

    Odpowiedz
  2. Tom

    Już niedługo to wszystko będziemy blokować a najlepiej to jest odpiąć się z internetu. Absurd, dobrze wiemy że wiele rzeczy można dość wcześniej wykryć i zablokować przez powołane do tego organizacje, tylko z tych rzeczy korzystają też niektóre organizacje rządowe 😁

    Odpowiedz

Odpowiedz