В качестве инструмента вторжения и создания контрольного сервера злоумышленники использовали Havoc, открытый фреймворк для удаленного управления.
Открытое ПО как инструмент для кибератак
Как сообщает Cnews, сотрудниками компании Checkmarx была обнаружена серия атак на банки с использованием открытого программного обеспечения (ПО). Это первый случай, когда хакеры использовали open source для атак на цепочку поставок ПО.
На заметку: под цепочкой поставок программного обеспечения понимается совокупность компонентов, библиотек и техпроцессов, используемых в разработке, сборке и выпуске программных продуктов.
Как сообщают эксперты, злоумышленники использовали довольно продвинутые подходы и инструменты. Они целенаправленно работали с компонентами веб-активов и добавляли в них вредоносную функциональность. Для этого они использовали специальные пакеты NPM (Node Package Manager). Злоумышленники создавали специализированные командные серверы для каждой атаки и использовали легитимные сервисы для совершения незаконных действий.
Вредоносные компоненты NPM уже удалены, и их названия не сообщаются.
Как происходили атаки
В ходе первой атаки злоумышленник загрузил в реестр NPM два вредоносных компонента, представляясь сотрудником банка-жертвы. Эти модули содержали скрипт предустановки, запускающий последовательность инфицирования. Чтобы усилить маскировку атаки, оператор создал убедительный профиль в социальной сети LinkedIn.
После запуска скрипт определял операционную систему жертвы и загружал соответствующий вредоносный компонент второй стадии с удаленного сервера. Тот был обозначен субдоменом в облачной платформе Azure, имевшим название атакованного банка.
Компания Checkmarx отметила, что тактика использования Azure является довольно интересной техникой, так как позволяет обойти традиционные способы блокировки доступа к подозрительным доменам: в большинстве случаев Azure считается доверенным ресурсом.
Вредоносный компонент второй стадии — Havoc — представляет собой опенсорсный фреймворк для удаленного управления. Он используется в качестве инструмента вторжения и создания контрольного сервера. Это позволяет обойти традиционные методы обнаружения угроз, которые реагируют на использование более распространенных средств, таких как Cobalt Strike, Sliver и Brute Ratel.
В феврале 2023 года зафиксирована еще одна атака со стороны других злоумышленников. Они загрузили в репозиторий NPM пакет, который был «тщательно подготовлен для скрытного внедрения на веб-сайт целевого банка; он должен был оставаться в состоянии покоя до получения сигнала от атакующих», — сообщили в Checkmarx.
Этот компонент перехватывал логины и передавал информацию в инфраструктуру злоумышленников.
«Безопасность цепочек поставок связана с защитой всего процесса разработки ПО, начиная с его создания и заканчивая интеграцией в системы конечных пользователей», — указывается в материале Checkmarx. — «Как только вредоносный опенсорсный пакет интегрируется в цепочку процессов, это уже состоявшийся взлом, и последующие контрмеры оказываются неэффективными. Другими словами, вред уже нанесен».
Атак на цепочки становится больше
Атаки на цепочки поставок программного обеспечения набирают популярность и уже не зависят от того, используется ли открытое ПО или нет. Подобным промышляет хакерская группировка RedCurl, которая уже давно под наблюдением компании F.A.C.C.T. Так, например, в ноябре 2022 года эта группировка атаковала неизвестный российский банк, а в мае 2023 года — австралийский банк.
Согласно данным F.A.C.C.T., за последние четыре с половиной года злоумышленники совершили как минимум 34 атаки на организации в России, Великобритании, Германии, Канаде, Норвегии, Украине и Австралии. Отмечается, что 20 из них были направлены именно на российские организации.
Жертвами стали не только банки, но и строительные, консалтинговые, страховые, юридические и финансовые организации.
Понравилась статья? Ставьте лайк и подписывайтесь на канал ISPsystem в Дзене!
