آخرین حملات

Cozy (Nobelium)

Cozy Nobelium sindadsec

Cozy با سواستفاده از نرم افزار های قانونی عملیات های مخرب خود را در اروپا انجام می دهد

Cozy با نام مستعار APT29 ,Nobelium ,The Dukes یک گروه جاسوسی سازماندهی شده می باشد که طبق شواهد از سال 2008 فعالیت خود را در راستای سیاست های دولت روسیه انجام می دهد که عموما حمله به بخش های دیپلماتیک و سیاسی دولت های غربی می باشد. ردپای این گروه جاسوسی اخیرا در چندین حمله Spear-Phishing که از یک Dll جانبی از طریق نرم افزار های Signed شده مانند Adobe و سرویس های وب مانند Dropbox مشاهده شده است. وظیفه اصلی این Dll باز کردن کتابخانه های ویندوز بارگذاری شده در حافظه پردازش برای فرار از EDR می باشد.

Cozy با دو رویکرد زیر این حملات را انجام می دهد:

Cozy در اولین رویکرد یک Img را توزیع می کند، این فایل در زمان نصب حاوی یک فایل lnk، نرم افزار Singned شده با سایر Dll ها و یک فایلPDF فریب دهنده که به عنوان فایل های مخفی می باشند.در این شکل از حمله، آیکون فایل lnk به شکل یه پوشه تبدیل شده تا کاربر را به کلیک کردن روی آن ترغیب کند و پس از اجرا شدن، Cmd فایل Signed شده را Run می کند و Dll مخرب فراخوانده می شود

در رویکرد دوم Cozy، استفاده از Envyscout است که در واقع یک فایل HTML با یک جاوا اسکریپت جاسازی شده می باشد.زمانی که فایل HTML اجرا می شود، کد جاوا اسکریپت یک آرایه بایت را رمزگشایی می کند و نتیجه را یک آرشیو در فهرست دانلود ذخیره می کند که در این حالت کاربر فایل بایگانی شده را از حالت فشرده خارج می کند و به صورت دستی فایل اجرایی را برای شروع فرایندها اجرا می کند.

Nobelium با هدف قرار دادن سازمان های دولتی و خصوصی در اروپا فعالیت های خود را ادامه داده و این احتمال وجود دارد با توجه به مسائل ژئوپولوتیک به سایر نقاط دنیا نیز حملات خود را انجام دهد.با مطالعه دقیق تر حملات این گروه، متوجه این موضوع می شویم که Nobelium سعی دارد با پیچیده کردن و به روز رسانی شکل حملات خود، از تشخیص حملات خود توسط متخصصان امنیتی جلوگیری نماید که در همین راستا به استفاده از سروریس های قانونی از قیبل Trello و Dropbox فعالیت های خود را ادامه داده است که این نکته بیانگر این موضوع است که اراده این گروه اجرای عملیات های طولانی مدت در محیط هایی است که از قبل شناسایی نشده است و می توان این گونه پیش بینی کرد که Nobelium در آینده نزدیک سعی دارد تا TTP ها را تغییر داده تا اقدامات دفاعی با حملات این گروه را دشوارتر کند.

راه هایی برای کاهش این خطرپذیری

  1. نظارت بیشتر بر روی نرم افزارهای Adobe و Dropbox
  2. نظارت بر روی نرم افزارهای Signed شده
  3. جلوگیری از دانلود خودکار و اجرای فایل های مشکوک در سیستم ها
  4. نصب آخرین نسخه سیستم عامل و برنامه های کاربردی

روش های تشخیص این حمله

با استفاده از آنتی ویروس، اجزای تهدید به عنوان بدافزار شناخته می شوند.

با استفاده از آنتی ویروس هایی که قابلیت آنتی ویروس نسل بعدی از جمله یادگیری ماشینی و تشخیص رفتار را در خود جای داده اند.

در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) می‌باشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:

    • مشاهده acrosup.dll مشکوک

این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.

شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.

Initial Access

Execution

Defense Evasion

Discovery

Command and Control

 

Drive-by Compromise

Command and Scripting Interpreter

Abuse Elevation Control Mechanism

Account Discovery

Application Layer Protocol

 

Exploit Public-Facing Application

Container Administration Command

Access Token Manipulation

Application Window Discovery

Communication Through Removable Media

 

External Remote Services

Deploy Container

BITS Jobs

Browser Bookmark Discovery

Data Encoding

 

Hardware Additions

Exploitation for Client Execution

Build Image on Host

Cloud Infrastructure Discovery

Data Obfuscation

 

Phishing

Inter-Process Communication

Debugger Evasion

Cloud Service Dashboard

Dynamic Resolution

 

Replication Through Removable Media

Native API

Deobfuscate/Decode Files or Information

Cloud Service Discovery

Encrypted Channel

 

Supply Chain Compromise

Scheduled Task/Job

Deploy Container

Cloud Storage Object Discovery

Fallback Channels

 

Trusted Relationship

Shared Modules

Direct Volume Access

Container and Resource Discovery

Ingress Tool Transfer

 

Valid Accounts

Software Deployment Tools

Domain Policy Modification

Debugger Evasion

Multi-Stage Channels

 
 

System Services

Execution Guardrails

Domain Trust Discovery

Non-Application Layer Protocol

 
 

User Execution

Exploitation for Defense Evasion

File and Directory Discovery

Non-Standard Port

 
 

Windows Management Instrumentation

File and Directory Permissions Modification

Group Policy Discovery

Protocol Tunneling

 
   

Hide Artifacts

Network Service Discovery

Proxy

 
   

Hijack Execution Flow

Network Share Discovery

Remote Access Software

 
   

Impair Defenses

Network Sniffing

Traffic Signaling

 
   

Indicator Removal on Host

Password Policy Discovery

Web Service

 
   

Indirect Command Execution

Peripheral Device Discovery

   
   

Masquerading

Permission Groups Discovery

   
   

Modify Authentication Process

Process Discovery

   
   

Modify Cloud Compute Infrastructure

Query Registry

   
   

Modify Registry

Remote System Discovery

   
   

Modify System Image

Software Discovery

   
   

Network Boundary Bridging

System Information Discovery

   
   

Obfuscated Files or Information

System Location Discovery

   
   

Plist File Modification

System Network Configuration Discovery

   
   

Pre-OS Boot

System Network Connections Discovery

   
   

Process Injection

System Owner/User Discovery

   
   

Reflective Code Loading

System Service Discovery

   
   

Rogue Domain Controller

System Time Discovery

   
   

Rootkit

Virtualization/Sandbox Evasion

   
   

Subvert Trust Controls

     
   

System Binary Proxy Execution

     
   

System Script Proxy Execution

     
   

Template Injection

     
   

Traffic Signaling

     
   

Trusted Developer Utilities Proxy Execution

     
   

Unused/Unsupported Cloud Regions

     
   

Use Alternate Authentication Material

     
   

Valid Accounts

     
   

Virtualization/Sandbox Evasion

     
   

Weaken Encryption

     
   

XSL Script Processing

     
           
           

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.