NASK oraz Służba Kontrwywiadu Wojskowego demaskują trwającą cały czas kampanię cyberataków przeprowadzanych przez rosyjskie służby.

Raport omawiający całą kampanię możecie zobaczyć tutaj (nie zapomnijcie też o technicznych załącznikach na samym końcu).

Akcja zaczyna się od… (niespodzianka) phishingu kierowanego na konkretne organizacje (tzw. spear phishing) – np.:

Akurat ten mail prowadzi do złośliwego załącznika, który osadzony jest na zewnętrznym serwisie. Sam serwis należy do firmy X i został wcześniej zhackowany (dzięki temu atakujący używają infrastruktury, która nie została przygotowana “5 minut temu” i wygląda to bardziej realnie). Dodatkowo zastosowano znaną technikę HTML smuggling (ponownie, utrudnienie działania mechanizmów wykrywających próby ataku).

Zaobserwowane scenariusze wyglądają tak (jak widać “złośliwy załącznik” to zip, ewentualnie plik ISO/IMG):

Po drodze atakujący wykorzystują jeszcze parę tricków – np. dodanie dużej liczby spacji przed rozszerzeniem .exe pliku. Ktoż by nie kliknął w takiego ‘worda’ ? ;-)

Na koniec uruchamiane są komercyjne narzędzia “do pentestów” Cobalt Strike lub Brute Ratel – w tym przypadku mocno niezamówionych pentestów… i tym samym atakujący uzyskują dostęp na komputer ofriary.

Jak się chronić? Sam raport wskazuje takie zalecenia:

1. Zablokowanie możliwości montowanie w systemie plików obrazów dysków. Większość użytkowników wykonujących prace biurowe nie posiada potrzeby pobierania i używania plików ISO lub IMG.
2. Monitorowanie montowania plików obrazów dysków przez użytkowników pełniących role administratorów.
3. Włączenie i konfiguracja reguł Attack Surface Reduction Rules¹⁰.
4. Konfiguracja reguł Software Restrition Policy i zablokowanie możliwości uruchamiania plików wykonywalnych z nietypowych lokalizacji (w szczególności: katalogi tymczasowe, %localappdata% i katalogi podrzędne, nośniki zewnętrzne

Od strony użytkownika warto umieć namierzyć próby phishingu – np. tutaj nadawca jest “trochę podejrzany”:

~ms