De sjove folk, der angreb Solar Winds ved hjælp af et forgiftet CV og værktøjer fra den skumle verden af kommercielt hackware er blevet set med nye teknikker. Palo Alto Networks ‘Unit 42 trusselsefterretningsteam har hævdet, at et stykke malware, som 56 antivirusprodukter ikke var i stand til at opdage, er tegn på, at statsstøttede angribere har fundet nye måder at undgå at blive opdaget.
UNIT 42’s analytikere hævder, at malwaren blev opdaget i maj 2022 og indeholder en ondsindet nyttelast, der tyder på, at den blev oprettet ved hjælp af et værktøj kaldet Brute Ratel (BRC4). På sin ret skamløse hjemmeside beskrives BRC4 som “A Customized Command and Control Center for Red Team and Adversary Simulation”. Værktøjets forfattere hævder endda, at det er et omvendt konstruerede antivirussoftware for at gøre BRC4 sværere at opdage.
Den malware Unit 42 observeret starter livet som en fil, der foregiver at være curriculum vitae af en person ved navn Roshan Bandara. Usædvanligt tilbydes Bandaras CV som en ISO-fil – et diskbilledfilformat. Hvis brugerne klikker på ISO, monteres den som et Windows-drev og viser et File Manager-vindue med en eneste fil: “Roshan-Bandara_CV_Dialog”.
Filen ligner en Microsoft Word-fil, men er – chokerende – ikke rigtig et CV. Når der dobbeltklikkes, åbnes CMD.EXE og kører OneDrive Updater, som henter og installerer BRC4.
Palo Alto Networks opdager nye teknikker
Men Unit 42 beskæftiger sig ikke med disse dårlige ting. Teknikken, der blev brugt til at få BRC4 til at køre, er det, der fangede holdets øje, fordi det er så snedigt, at det tyder på, at nationalstatslige aktører stod bag dets udvikling.
Måske endda APT29 – den Moskva-forbundne bande også kendt som Cozy Bear og menes at være involveret i angrebet på Solvind og mange andre razziaer. APT29 har tidligere brugt forgiftede ISO’er.
Unit 42 bemærker også, at ISO, der blev brugt i dette angreb, blev oprettet samme dag, som en ny version af BRC4 dukkede op, hvilket tyder på, at statsstøttede aktører kunne se den skumle verden af kommerciel malware og hurtigt sætte den i arbejde, mens verden forsøger at indhente.
“Analysen af de to prøver, der er beskrevet i denne blog, samt det avancerede håndværk, der bruges til at pakke disse nyttelaster, gør det klart, at ondsindede cyberaktører er begyndt at vedtage denne kapacitet,” hedder det i Unit 42’s indlæg.
Siger Unit 42 hos Palo Alto Networks
“Vi mener, at det er bydende nødvendigt, at alle sikkerhedsleverandører opretter beskyttelse for at opdage BRC4, og at alle organisationer træffer proaktive foranstaltninger for at forsvare sig mod dette værktøj.”
Kilde: