Dies mit Russland verbundene Turla APT kooptiert heimlich kalter Kaffee Andromeda-USB-Infektionen
[ad_1]
Eine Hacking-Schar – vermutlich dies mit Russland verbundene Turla-Team – hat mindestens drei kalter Kaffee Domains neu registriert, die mit welcher jahrzehntealten Andromeda-Schadsoftware in Vernetzung stillstehen, welches es welcher Schar ermöglicht, ihre eigenen Aufklärungs- und Überwachungstools an ukrainische Ziele zu verteilen.
Dies erklärte die Cybersicherheitsfirma Mandiant am Wochenmitte in einem Advisory Turla Team APT, fernerhin veröffentlicht unter Mandiants Bezeichnung UNC4210, übernahm die Test jenseits drei Domains, die Teil welcher nicht mehr existierenden Command-and-Control-Unterbau (C2) von Andromeda waren, um sich wieder mit den kompromittierten Systemen zu verbinden. Dies Finalspiel bestand darin, ein Aufklärungsprogramm namens Kopiluwak und eine Hintertür namens QuietCanary zu verteilen.
Andromeda, ein handelsübliches kommerzielles Schadsoftware-Sendung, stammt mindestens aus dem Jahr 2013 und kompromittiert Systeme durch infizierte USB-Laufwerke. Nachher welcher Kompromittierung stellt es eine Vernetzung zu einer verkettete Liste von Domänen her, von denen die meisten offline genommen wurden.
Es gibt keine Kontakt zwischen dem Turla-Team und welcher Schar hinter Andromeda, welches die Kooptierung früherer infizierter Systeme ziemlich neuartig macht, sagt Tyler McLellan, Senior Principal Organisator zusammen mit Mandiant.
„Die Andromeda-Domains zu kooptieren und sie zu verwenden, um Schadsoftware an Andromeda-Todesopfer zu liefern, ist neu“, sagt er. „Wir nach sich ziehen gesehen, wie Bedrohungsakteure die Domains einer anderen Schar neu registriert nach sich ziehen, hingegen wir nach sich ziehen nie beobachtet, dass eine Schar Schadsoftware an die Todesopfer einer anderen Schar ausliefert.“
Die langsame Verbreitung von Andromeda ermöglicht es Angreifern, kostenlos die Test jenseits infizierte Systeme zu erlangen.
„Da sich ältere Andromeda-Schadsoftware weiterhin von kompromittierten USB-Geräten ausbreitet, stellen welche neu registrierten Domains ein Risiko dar, da neue Bedrohungsakteure die Test übernehmen und neue Schadsoftware an die Todesopfer liefern können“, erklärte Mandiant in welcher Empfehlungsschreiben. „Selbige neuartige Technologie, abgelaufene Domänen zu beanspruchen, die von weit verbreiteter, pekuniär motivierter Schadsoftware verwendet wird, kann Folgekompromittierungen zusammen mit einer Vielzahl von Unternehmen zuteilen.“
Während die Menschenraub welcher infizierten Vermögenswerte einer anderen Schar ungewöhnlich ist, ist dies in welcher Vergangenheit vorgekommen, qua Hacker sich um kompromittierte Computer stritten, die Systeme welcher anderen stehlen oder dieselbe Schwachstelle ausnutzten, um ein System zu infizieren und eine frühere Infektion zu betiteln. In den frühen 2000er Jahren infizierte z. B. welcher MyDoom-Wurm Systeme, ließ die kompromittierten Computer jedoch für jedes weitere Angriffe ungeschützt, welches zu einem Durcheinander zwischen Hackern führte, die versuchten, ihren Fortdauer an ausgenutzten Systemen zu vergrößern.
Heutzutage ist es wahrscheinlicher, dass Cyberkriminelle Systeme kompromittieren und welche infizierten Computer oder Zugangsdaten für jedes den Zugriff hinauf welche Systeme dann in Untergrundforen und dunklen Märkten qua Teil welcher Subökonomie von Initial Access Brokern verkaufen.
Eine sich langsam bewegende Galaxis von Andromeda-Infektionen
Jener Sturm begann im Monat der Wintersonnenwende 2021, qua ein infiziertes USB-Laufwerk in ein System einer ukrainischen Organisation eingesteckt wurde und ein Mitwirkender versehentlich hinauf den schädlichen Link klickte. Jener Cyberangriff infizierte dies System mit einer Version von Andromeda, die erstmals im März 2013 vom Antiviren-Scan-Tätigkeit VirusTotal entdeckt wurde, sagte Mandiant.
Mandiant entdeckte den Sturm erstmals im September 2022. Turla ist eine in Russland ansässige Bedrohungsgruppe, die laut welcher MITRE ATT&CK-Seite jedoch in sozusagen zwei Jahrzehnten eine Vielzahl von Organisationen in etwa 45 Ländern ins Visier genommen hat.
Obwohl es keine Kontakt zwischen Turla und Andromeda gibt, hat die Verwendung welcher Andromeda-Schadsoftware zur Infizierung anderer Systeme dazu beigetragen, die Turla-Operation unter dem Radar zu halten, sagt Tyler McLellan, Senior Principal Organisator zusammen mit Mandiant.
„Obwohl Andromeda Altbier und wahrscheinlich heute nicht mehr Gewehr bei Fuß ist, sehen wir immer noch viele Todesopfer“, sagt er. „Wenn ein Benutzer verknüpfen sauberen USB-Stick in ein schon infiziertes System einfügt, kann dieser neue USB-Stick infiziert werden und die Streuung fortsetzen.“
Sorgfältig einige Ziele: Eine sehr spezifische Risiko
Die Angreifer versuchten, so heimlich wie möglich zu bleiben, während sie Systeme profilierten, um die interessantesten Ziele zu ermitteln, und dann nur eine Handvoll dieser Systeme angriffen. Mandiant beobachtete die von Turla kontrollierten Server nur für jedes kurze Zeit munter, normalerweise manche Tage, mit wochenlangen Ausfallzeiten, so dies Unternehmen.
„Mandiant hat mehrere verschiedene Hosts mit Beaconing von Andromeda-Stager-Proben identifiziert“, erklärte dies Unternehmen in dem Advisory. „Wir nach sich ziehen jedoch nur verknüpfen Sachverhalt beobachtet, in dem Turla-bezogene Schadsoftware in zusätzlichen Phasen abgeworfen wurde, welches hinauf ein hohes Wasserpegel an Spezifität zusammen mit welcher Fundus welcher Todesopfer hindeutet, die eine Folgenutzlast erhalten.“
Jener Hinterlegung des Turla-Teams unterstreicht, wie wichtig es ist, Angriffsvektoren zu zurücksetzen und hinauf Vorfälle zu reagieren, sogar wenn sie virtuell von weniger Priorität sind, sagt McLellan.
„Unternehmen sollten darauf berücksichtigen, welches USBs in ihrer Umgebung sind, und Mitwirkender nachher Möglichkeit davon ausrichten, sie zu verwenden“, sagt er. „Dieser Zwischenfall sollte fernerhin Vorbehalte darüber aufkommen lassen, welche längerfristigen Schadsoftware-Infektionen in Ihrer Umgebung vorhanden sind, und könnte ein Bedrohungsakteur welche C2-Unterbau kooptieren, um Zugriff zu erhalten.“