Recent, cercetătorii au semnalat exploatarea rapidă a unei vulnerabilități critice din Microsoft Office de către hackerii asociați statului rus. Aceștia au reușit să compromită dispozitive în cadrul organizațiilor diplomatice, maritime și de transport din peste șase țări, utilizând acest defect de securitate.
Grupul de amenințări, cunoscut sub diverse nume precum APT28, Fancy Bear, Sednit, Forest Blizzard sau Sofacy, a exploatat vulnerabilitatea, identificată ca CVE-2026-21509, la mai puțin de 48 de ore după ce Microsoft a emis o actualizare de securitate urgentă și neplanificată la sfârșitul lunii trecute. După dezasamblarea patch-ului, membrii grupului au creat un exploit avansat ce instala una dintre cele două tipuri de backdoor-uri necunoscute până acum.
Campania a fost concepută astfel încât să evite detectarea de către soluțiile de protecție la nivel de endpoint. Exploatările și payload-urile, pe lângă faptul că erau noi, erau criptate și executate în memorie, ceea ce le făcea dificil de identificat. Vectorul inițial de infecție provenea din conturi guvernamentale compromise anterior din mai multe țări și erau probabil cunoscute destinatarilor țintiți. Canalele de comandă și control erau găzduite în servicii cloud legitime, adesea incluse în liste albe în rețelele sensibile.
„Utilizarea CVE-2026-21509 demonstrează cât de repede pot actorii aliniați statului să armeze noi vulnerabilități, reducând timpul disponibil apărătorilor pentru a patch-ui sistemele critice”, au scris cercetătorii de la firma de securitate Trellix. „Lanțul modular de infecție al campaniei, de la phishing inițial la backdoor în memorie și până la implanturi secundare, a fost meticulos conceput pentru a folosi canale de încredere (HTTPS către servicii cloud, fluxuri legitime de email) și tehnici fără fișiere pentru a se ascunde la vedere.”
Campania de spear phishing, care a durat 72 de ore, a început pe 28 ianuarie și a vizat cel puțin 29 de tipuri diferite de momeală prin email către organizații din nouă țări, predominant din Europa de Est. Trellix a numit opt dintre acestea: Polonia, Slovenia, Turcia, Grecia, Emiratele Arabe Unite, Ucraina, România și Bolivia. Organizațiile vizate au inclus ministerele apărării (40%), operatorii de transport/logistică (35%) și entități diplomatice (25%).
Lanțul de infecție a dus la instalarea BeardShell sau NotDoor, numele de urmărire pe care Trellix le-a dat noilor backdoor-uri. BeardShell a oferit grupului recunoaștere completă a sistemului, persistență prin injectarea de procese în Windows svchost.exe și posibilitatea de mișcare laterală către alte sisteme într-o rețea infectată. Implantul a fost executat prin asamblări .NET încărcate dinamic, fără a lăsa artefacte forensice pe bază de disc, în afară de codul rezident din memorie.
NotDoor, sub forma unui macro VBA, a fost instalat doar după ce lanțul de exploit a dezactivat controalele de securitate macro ale Outlook. Odată instalat, implantul monitoriza folderele de email, inclusiv Inbox, Drafts, Junk Mail și RSS Feeds. Mesajele erau grupate într-un fișier .msg Windows, care era apoi trimis la conturi controlate de atacatori stabilite pe cloud.
Sursa: Ars Tehnica Technology
Poll: Care organizație vi se pare că ar fi cel mai vulnerabilă în fața unor atacuri de tip spear phishing precum cel descris în articol?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply