Olyan adathalász akciót azonosított az amerikai Securonix IT-biztonsági cég, amelyben a Tencent felhőjén keresztül támadták kínai nyelvű felhasználók windowsos rendszereit. A hekkerek célja az volt, hogy tartós és teljes hálózati hozzáférést (emiatt nevezték el SLOW#TEMPEST-nek) szerezzenek bizonyos kínai szervezeteknél. A biztonsági cég elemzése szerint ezt úgy érték el, hogy a Cobalt Strike fontos kódjait juttatták a megcélzott rendszerekbe. (A Cobalt Strike keretrendszert eredetileg behatolástesztelőknek és red teameknek fejlesztették támadások szimulálásához, de az utóbbi években a kiberbűnözők, köztük az államilag támogatott csoportok is felfedezték maguknak.)

A támadások sikeresek voltak, a kutatók találtak olyan rendszert, amelyben az elkövetők több mint két hétig szabadon garázdálkodhattak. De a kutatók szerint a legfontosabb, hogy itt egy részben új típusú támadási formáról van szó.

Szokványos kezdet és borítékolható végjáték között

Az akció első lépése szokványos: a megcélzott rendszer felhasználója kap egy adathalász levelet egy tömörített állománnyal, amely elnevezése alapján személyzeti listákról tartalmaz információt. A Zip tömörítvényben egy ".docx.lnk" kiterjesztésű link van, amely a "távvezérlő szoftverekre vonatkozó szabályokat megsértő" személyeket tartalmazó listára mutat. A kutatók ebből következtettek arra, hogy itt kifejezetten kínai szereplőket céloztak, mert kínai szervezeteknél vannak olyan beosztású személyek, akikre vonatkoznak ilyen jogszabályok.

Ha a felhasználó lekattintja a linket, akkor lefut egy kód egy sokszorosan egymásba ágyazott könyvtárstruktúrából, köztük, sokadik lépcsőben egy dui70.dll és UI.exe nevű fájlpáros. Utóbbi a Windows legális LicensingUI.exe nevű állományának az átnevezett változata (tájékoztatja a felhasználókat a szoftverlicencelésről és a licenc aktiválásáról), és több hivatalos DLL-t is importál, köztük a dui70.dll nevűt. Csakhogy – és valójában ez a támadás fontos újdonsága – van egy olyan sebezhetőség (DLL path traversal), ami miatt az UI.exe végrehajtását követően bármely azonos nevű DLL letölthető a tartalmától függetlenül.

Utána az UI.exe sorra töltheti le azokat az összetevőket, melyek valójában a Cobalt Strike támadási eszközkészletének részei. Letölt például egy olyan DLL-t, amely beépül a Windows egyik bináris állományába, a runonce.exe-be, és ezáltal teljes ellenőrzést biztosít a támadóknak a gazdarendszer fölött.

Innentől a támadó szinte bármilyen rosszindulatú szoftvert telepíthet: porttovábbítási és proxykapcsolatok beállítására szolgáló eszközt; a red teamek által is használt szkennert élő hostok és nyitott portok azonosítására; hálózati felderítő eszközt (forgalom megfigyelése, hálózati sebezhetőségek keresése) és így tovább.

Ha minden lehetőséget kiaknáznak, a támadók előtt semmi sem marad rejtve a kompromittált hálózatban. Bármilyen információt képesek kiszivárogtatni, köztük olyanokat, melyekkel további támadások hajthatók végre. A Securonix megfigyelései szerint az eddigi akcióik során az elkövetők mindig erre törekedtek, ezért igyekeztek tartósan a fertőzött rendszerben maradni, és ott oldalirányba mozogni a Remote Destop Protocol (RDP) segítségével. Fontos céljuk lehetett az Active Directory-konfigurációra és a nyilvános IP-címekre vonatkozó információk megszerzése.

A kutatók szerint a támadásokhoz csak Tencentnél hosztolt IP-címeket használtak. Az incidenst nem tudták összekapcsolni ismert APT csoportokkal.

A technikai elemzés a Securonix oldalán »