Cuba Ransomware Gangart hat Microsoft-Zertifikate missbraucht, um Schadsoftware zu signieren

Weniger denn zwei Vor Wochen veröffentlichten die United States Cybersecurity & Infrastructure Security Agency und dasjenige FBI eine gemeinsame Zeugnis gut die Gefahr durch Ransomware-Angriffe durch eine Freundeskreis, die sich „Kuba“ nennt. Die Haufen, von welcher Forscher vertrauen, dass sie tatsächlich in Russland beheimatet ist, hat im vergangenen Jahr randaliert und eine wachsende Zahl von Unternehmen und anderen Institutionen in den USA und im Ausland ins Visier genommen. Neue, heute veröffentlichte Forschungsergebnisse deuten darauf hin, dass Kuba für seinen Angriffen Schadsoftware verwendet hat, die von Microsoft zertifiziert oder mit einem Prädikat versehen wurde.

Kuba verwendete ebendiese kryptografisch signierten „Viehtreiber“, nachdem es die Systeme eines Ziels kompromittiert hatte, denn Teil welcher Bemühungen, Sicherheitsscan-Tools zu deaktivieren und Einstellungen zu ändern. Die Geschäftigkeit sollte unter dem Radar segeln, wurde nunmehr von Überwachungstools welcher Sicherheitsfirma Sophos gemeldet. Forscher welcher Palo Alto Networks Unit 42 nach sich ziehen zuvor beobachtet, wie Kuba eine privilegierte Software namens „Kernel-Viehtreiber“ mit einem NVIDIA-Zertifikat signierte, dasjenige Entstehen dieses Jahres von welcher Hacking-Haufen Lapsus$ durchgesickert war. Und Sophos sagt, es habe unter ferner liefen gesehen, wie die Haufen die Strategie mit kompromittierten Zertifikaten von mindestens einem anderen chinesischen Technologieunternehmen anwandte, dasjenige die Sicherheitsfirma Mandiant denn Zhuhai Liancheng Technology Cobalt. identifizierte.

„Microsoft wurde kürzlich darüber informiert, dass Viehtreiber, die von Microsofts Windows Hardware Developer Program zertifiziert wurden, mutwillig in Postamt-Exploitation-Aktivitäten verwendet wurden“, sagte dasjenige Unternehmen heute in einer Sicherheitsempfehlung. „Mehrere Entwicklerkonten pro dasjenige Microsoft Partner Center waren damit beschäftigt, bösartige Viehtreiber einzureichen, um eine Microsoft-Signatur zu erhalten … Die signierten bösartigen Viehtreiber wurden wahrscheinlich verwendet, um Eingriffsaktivitäten nachher welcher Ausbeutung wie die Versorgung von Ransomware zu vereinfachen.“

Sophos hat Microsoft am 19. zehnter Monat des Jahres zusammen mit Mandiant und dem Sicherheitsunternehmen SentinelOne gut die Geschäftigkeit informiert. Microsoft sagt, dass es die missbrauchten Partner Center-Konten nicht zugreifbar, die Rogue-Zertifikate zurücknehmen und Sicherheitsupdates pro Windows im Zusammenhang mit welcher Situation veröffentlicht hat. Dasjenige Unternehmen fügt hinzu, dass es gut den Misshandlung von Partnerkonten hinaus keine Kompromittierung seiner Systeme festgestellt hat.

Microsoft lehnte die Antragstellung von WIRED ab, sich gut die Zeugnis hinaus zu erzählen.

„Solche Angreifer, sehr wahrscheinlich Partner welcher Cuba-Ransomware-Haufen, wissen, welches sie tun – und sie sind hartnäckig“, sagt Christopher Budd, Director of Threat Research für Sophos. „Wir nach sich ziehen insgesamt 10 bösartige Viehtreiber gefunden, jeder Varianten welcher ursprünglichen Feststellung. Solche Viehtreiber zeigen eine konzertierte Strapaze, um in welcher Vertrauenskette nachher oben zu umstellen, einsetzend mindestens im vergangenen Juli. Vereinen bösartigen Viehtreiber von Grund uff neu zu erstellen und ihn von einer legitimen Respektsperson signieren zu lassen, ist schwierig. Es ist jedoch unglaublich effektiv, denn welcher Lenker kann im Grunde jeder Vorgänge ohne Rückfrage tun.“

Dasjenige Signieren kryptografischer Software ist ein wichtiger Validierungsmechanismus, welcher sicherstellen soll, dass die Software von einer vertrauenswürdigen politische Kraft oder „Zertifizierungsstelle“ überprüft und gesalbt wurde. Angreifer suchen jedoch immer nachher Schwachstellen in dieser Unterbau, wo sie Zertifikate kompromittieren oder den Signaturprozess jenseitig untergraben und vergewaltigen können, um ihre Schadsoftware zu legitimieren.

„Mandiant hat zuvor Szenarien beobachtet, in denen vermutet wird, dass Gruppen verknüpfen gemeinsamen kriminellen Tätigkeit zum Signieren von Codes nutzen“, schrieb dasjenige Unternehmen in einem heute veröffentlichten Nachricht. „Die Verwendung gestohlener oder in betrügerischer Weise erlangter Identifikationsnummer-Signing-Zertifikate durch Bedrohungsakteure ist eine gängige Taktik, und die Versorgung dieser Zertifikate oder Signierungsdienste hat sich denn lukrative Nische in welcher Schattenwirtschaft erwiesen.“

Entstehen dieses Monats veröffentlichte Google Ergebnisse, worauf eine Warteschlange von kompromittierten „Plattformzertifikaten“, die von Menschenähnlicher Roboter-Geräteherstellern wie Samsung und LG verwaltet wurden, verwendet wurden, um bösartige Menschenähnlicher Roboter-Apps zu signieren, die gut Kanäle von Drittanbietern vertrieben wurden. Offenbar wurden zumindest manche welcher kompromittierten Zertifikate zum Signieren von Komponenten des Fernzugriffstools Manuscrypt verwendet. Dasjenige FBI und die CISA nach sich ziehen zuvor Aktivitäten im Zusammenhang mit welcher Manuscrypt-Schadsoftware-Familie nordkoreanischen staatlich unterstützten Hackern zugeschrieben, die uff Kryptowährungsplattformen und -börsen abzielen.

„Im Jahr 2022 nach sich ziehen wir gesehen, wie Ransomware-Angreifer zunehmend versuchen, Endpoint Detection and Response-Produkte vieler, wenn nicht sogar welcher meisten großen Lieferant zu umgehen“, sagt Budd von Sophos. „Die Sicherheitsgemeinschaft muss sich dieser Gefahr kognitiv sein, damit sie zusätzliche Sicherheitsmaßnahmen implementieren kann. Darüber hinaus sehen wir unter Umständen, dass andere Angreifer versuchen, ebendiese Weise von Offensive nachzuahmen.“

C/o so vielen herumfliegenden kompromittierten Zertifikaten scheint es, dass viele Angreifer schon dasjenige Memo erhalten nach sich ziehen, dass sie uff ebendiese Strategie umsteigen.