Cozy (Nobelium)

Cozy با سواستفاده از نرم افزار های قانونی عملیات های مخرب خود را در اروپا انجام می دهد
Cozy با نام مستعار APT29 ,Nobelium ,The Dukes یک گروه جاسوسی سازماندهی شده می باشد که طبق شواهد از سال 2008 فعالیت خود را در راستای سیاست های دولت روسیه انجام می دهد که عموما حمله به بخش های دیپلماتیک و سیاسی دولت های غربی می باشد. ردپای این گروه جاسوسی اخیرا در چندین حمله Spear-Phishing که از یک Dll جانبی از طریق نرم افزار های Signed شده مانند Adobe و سرویس های وب مانند Dropbox مشاهده شده است. وظیفه اصلی این Dll باز کردن کتابخانه های ویندوز بارگذاری شده در حافظه پردازش برای فرار از EDR می باشد.
Cozy با دو رویکرد زیر این حملات را انجام می دهد:
Cozy در اولین رویکرد یک Img را توزیع می کند، این فایل در زمان نصب حاوی یک فایل lnk، نرم افزار Singned شده با سایر Dll ها و یک فایلPDF فریب دهنده که به عنوان فایل های مخفی می باشند.در این شکل از حمله، آیکون فایل lnk به شکل یه پوشه تبدیل شده تا کاربر را به کلیک کردن روی آن ترغیب کند و پس از اجرا شدن، Cmd فایل Signed شده را Run می کند و Dll مخرب فراخوانده می شود
در رویکرد دوم Cozy، استفاده از Envyscout است که در واقع یک فایل HTML با یک جاوا اسکریپت جاسازی شده می باشد.زمانی که فایل HTML اجرا می شود، کد جاوا اسکریپت یک آرایه بایت را رمزگشایی می کند و نتیجه را یک آرشیو در فهرست دانلود ذخیره می کند که در این حالت کاربر فایل بایگانی شده را از حالت فشرده خارج می کند و به صورت دستی فایل اجرایی را برای شروع فرایندها اجرا می کند.
Nobelium با هدف قرار دادن سازمان های دولتی و خصوصی در اروپا فعالیت های خود را ادامه داده و این احتمال وجود دارد با توجه به مسائل ژئوپولوتیک به سایر نقاط دنیا نیز حملات خود را انجام دهد.با مطالعه دقیق تر حملات این گروه، متوجه این موضوع می شویم که Nobelium سعی دارد با پیچیده کردن و به روز رسانی شکل حملات خود، از تشخیص حملات خود توسط متخصصان امنیتی جلوگیری نماید که در همین راستا به استفاده از سروریس های قانونی از قیبل Trello و Dropbox فعالیت های خود را ادامه داده است که این نکته بیانگر این موضوع است که اراده این گروه اجرای عملیات های طولانی مدت در محیط هایی است که از قبل شناسایی نشده است و می توان این گونه پیش بینی کرد که Nobelium در آینده نزدیک سعی دارد تا TTP ها را تغییر داده تا اقدامات دفاعی با حملات این گروه را دشوارتر کند.
راه هایی برای کاهش این خطرپذیری
- نظارت بیشتر بر روی نرم افزارهای Adobe و Dropbox
- نظارت بر روی نرم افزارهای Signed شده
- جلوگیری از دانلود خودکار و اجرای فایل های مشکوک در سیستم ها
- نصب آخرین نسخه سیستم عامل و برنامه های کاربردی
روش های تشخیص این حمله
با استفاده از آنتی ویروس، اجزای تهدید به عنوان بدافزار شناخته می شوند.
با استفاده از آنتی ویروس هایی که قابلیت آنتی ویروس نسل بعدی از جمله یادگیری ماشینی و تشخیص رفتار را در خود جای داده اند.
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده acrosup.dll مشکوک
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
Initial Access |
Execution |
Defense Evasion |
Discovery |
Command and Control |
|
Drive-by Compromise |
Command and Scripting Interpreter |
Abuse Elevation Control Mechanism |
Account Discovery |
Application Layer Protocol |
|
Exploit Public-Facing Application |
Container Administration Command |
Access Token Manipulation |
Application Window Discovery |
Communication Through Removable Media |
|
External Remote Services |
Deploy Container |
BITS Jobs |
Browser Bookmark Discovery |
Data Encoding |
|
Hardware Additions |
Exploitation for Client Execution |
Build Image on Host |
Cloud Infrastructure Discovery |
Data Obfuscation |
|
Phishing |
Inter-Process Communication |
Debugger Evasion |
Cloud Service Dashboard |
Dynamic Resolution |
|
Replication Through Removable Media |
Native API |
Deobfuscate/Decode Files or Information |
Cloud Service Discovery |
Encrypted Channel |
|
Supply Chain Compromise |
Scheduled Task/Job |
Deploy Container |
Cloud Storage Object Discovery |
Fallback Channels |
|
Trusted Relationship |
Shared Modules |
Direct Volume Access |
Container and Resource Discovery |
Ingress Tool Transfer |
|
Valid Accounts |
Software Deployment Tools |
Domain Policy Modification |
Debugger Evasion |
Multi-Stage Channels |
|
System Services |
Execution Guardrails |
Domain Trust Discovery |
Non-Application Layer Protocol |
||
User Execution |
Exploitation for Defense Evasion |
File and Directory Discovery |
Non-Standard Port |
||
Windows Management Instrumentation |
File and Directory Permissions Modification |
Group Policy Discovery |
Protocol Tunneling |
||
Hide Artifacts |
Network Service Discovery |
Proxy |
|||
Hijack Execution Flow |
Network Share Discovery |
Remote Access Software |
|||
Impair Defenses |
Network Sniffing |
Traffic Signaling |
|||
Indicator Removal on Host |
Password Policy Discovery |
Web Service |
|||
Indirect Command Execution |
Peripheral Device Discovery |
||||
Masquerading |
Permission Groups Discovery |
||||
Modify Authentication Process |
Process Discovery |
||||
Modify Cloud Compute Infrastructure |
Query Registry |
||||
Modify Registry |
Remote System Discovery |
||||
Modify System Image |
Software Discovery |
||||
Network Boundary Bridging |
System Information Discovery |
||||
Obfuscated Files or Information |
System Location Discovery |
||||
Plist File Modification |
System Network Configuration Discovery |
||||
Pre-OS Boot |
System Network Connections Discovery |
||||
Process Injection |
System Owner/User Discovery |
||||
Reflective Code Loading |
System Service Discovery |
||||
Rogue Domain Controller |
System Time Discovery |
||||
Rootkit |
Virtualization/Sandbox Evasion |
||||
Subvert Trust Controls |
|||||
System Binary Proxy Execution |
|||||
System Script Proxy Execution |
|||||
Template Injection |
|||||
Traffic Signaling |
|||||
Trusted Developer Utilities Proxy Execution |
|||||
Unused/Unsupported Cloud Regions |
|||||
Use Alternate Authentication Material |
|||||
Valid Accounts |
|||||
Virtualization/Sandbox Evasion |
|||||
Weaken Encryption |
|||||
XSL Script Processing |
|||||