Tundmatu hiina keelt kõnelev ohutegija on võtnud sihikule Taiwani, Hongkongi ja Filipiinide hasartmängufirmad, kasutades ära WPS Office'i haavatavust, et rajada sihitud süsteemidesse tagauks.
Vastane näib olevat keerukas ja selle tööriistakomplektil on koodisarnasusi APT grupi tagaustega, mida analüüsiti vastavalt Palo Alto ja BlackBerry kahes 2015. ja 2017. aasta aruandes.
Viimase kampaania avastasid Avast teadlased, kes testisid erinevaid ohus osalejate pahavara tööriistu ja koostasid täieliku modulaarse tööriistakomplekti.
Osutab WPS Office'i tõrkele
Esimene selles kampaanias kasutatav nakatumise vektor on meil lingitud installiprogrammiga, mis väidetavalt on WPS Office'i kriitiline värskendus, kuid enamiku rünnakute puhul kasutavad ründajad teist meetodit.
Teine nakkusvektor, mida selles kampaanias valdavalt kasutatakse, kasutab ära WPS Office'i värskendusutiliidi haavatavust CVE-2022-24934.
WPS Office (endine Kingsoft Office) on platvormideülene kontorikomplekt, millel on üle 1,2 miljardi installi. Seda kasutatakse Hongkongis ja Hiinas, kuna see on ajalooliselt esimene hiina keelt toetav tekstitöötlusprogramm.
CVE-2022-24934 kasutamine viib sidekanali loomiseni C2-ga, lisakoormuse hankimiseni ja koodi käivitamiseni ohustatud masinas.
Kuidas WPS-i ärakasutamine viib pahavara juurutamiseni (avast)
'Haavatavuse ärakasutamiseks tuleb HKEY_CURRENT_USER all olevat registrivõtit muuta ja seda tehes saavutab ründaja süsteemi püsivuse ja kontrolli värskendusprotsessi üle,' selgitab Avast oma valges raamatus.
Avast teavitas tarkvaramüüjat haavatavusest, mis lubab tegutsejatel suvaliselt koodi käivitada ning kuigi plaaster on välja antud, pole kõik veel turvavärskendust rakendanud.
Rikkalik ja keerukas tööriistakomplekt
Ohustatud süsteemile paigutatud esimese etapi kasulikud koormused hõlmavad DLL-i tagaust C2-suhtluseks ja tilgutit, mis suurendab süsteemi õigusi. Viimane saab kaheksa kasulikku koormust, mis täidavad erinevaid funktsionaalseid rolle.
Teises etapis laaditakse kahjustatud süsteemi põhimoodul Proto8 ja töötatakse välja neljaastmeline kaskaadi struktuur.
- Teostab esmaseid kontrolle ja loob kõrvalehoidmise mehhanismid.
- Moodul uuendab ennast automaatselt, laadib konfiguratsioonifailid ja seadistab oma töökataloogi.
- See kogub teavet, nagu kasutajanimi, DNS, NetBios arvuti nimi, operatsioonisüsteem, arhitektuur ja eellaaditud helistamisfunktsioonid.
- Kontrollige kodeeritud C2-aadresse ja proovige jõuda serverisse, mida kontrollib näitleja.
Proto8 teostab isevärskendust ja konfiguratsiooni (avast)
Kui ülaltoodud on tehtud, ootab keskmoodul kaugkäskude saabumist, mis võib olla üks järgmistest:
- Saada kogutud andmed serverisse C2
- Otsige üles kõigi kaugtöölaua seansside kasutajanimi, domeeninimi ja arvuti nimi
- Loetlege juurkettad
- Failide loend ning juurdepääsu- ja loomise üksikasjade leidmine
- Looge protsess varastatud ja dubleeritud märgiga
- failid ümber nimetada
- failid kustutada
- luua kataloog
- Saada veakood API funktsiooni kaudu
- Loetlege failid kindlas kaustas
- Laadige fail üles C2 serverisse
- Looge C2-st allalaaditud failide majutamiseks kataloog
Proto8-l on ka pistikprogrammide laadimise süsteem ja iga pistikprogramm pakub erinevaid funktsioone, mis on seotud püsivusega, UAC-st mööda hiilimisega, tagaukse võimaluste pakkumisega, kõrvalehoidmisega jne.
Üks neist pistikprogrammidest manipuleerib registriga, et luua uus kasutajakonto, mida seejärel kuritarvitatakse RDP-ühenduste loomiseks masinaga ilma administraatori paroolita.
See pistikprogramm võimaldab anonüümsel SID-l olla osa Windowsi grupist Kõik, võimaldab nullseansi kasutajatel juurdepääsu jagatud võrgukaustadele ja keelab administraatori kinnitusnõuded kõikide rakenduste jaoks, mis töötavad täielike õigustega.
Varjatud kampaania eesmärgid
Kuigi Avast ei omistanud seda kampaaniat ühelegi teadaolevale näitlejale, usuvad nad, et see on Hiina APT töö, mis otsib teabe kogumist või rahalist kasu.
Arvestades sihtmärkide, kelleks on kihlveofirmad, olemust, võis ohus osalejate eesmärk olla varastada finantsandmeid või võtta kontosid üle ja võtta välja tingdeponeerimiskontod.
Kampaanias kasutatud taktika ja võimas tööriistade komplekt peegeldab osavat vastast, mistõttu ei eeldata, et ta suudaks omistusi eriti enesekindlalt teha.
Mida sa arvad?
