网络安全研究人员周二揭开了一个多阶段间谍活动的面纱,目标是监督国家安全政策的高级政府官员和西亚国防工业的个人。
Trellix——McAfee Enterprise和FireEye合并后成立的新安全公司——在一份报告中说,这次攻击是独特的,因为它利用微软OneDrive作为指挥和控制(C2)服务器,并分成多达六个阶段,以尽可能地保持隐蔽。
Trellix解释说:“这种类型的通信使恶意软件在受害者的系统中不被注意,因为它只会连接到合法的微软域并且不会显示任何可疑的网络流量。”
据称,与该秘密行动有关的第一批活动迹象早在2021年6月18日就开始了,9月21日和29日报告了两名受害者,随后在10月6日至8日的短短三天时间内又有17名受害者。
Trellix基于源代码以及攻击指标和地缘政治目标的相似性,将这些复杂的攻击归咎于俄罗斯的APT28组织,该组织也以Sofacy、Strontium、Fancy Bear和Sednit等名称被追踪。
Trellix安全研究员Marc Elias说:“根据基础设施、恶意软件编码和操作的设置方式,我们极其确信我们正在与一个非常熟练的行为者打交道。”
感染链从执行一个包含MSHTML远程代码执行漏洞(CVE-2021-40444)的微软Excel文件开始,该文件被用来运行一个恶意二进制文件,作为第三阶段恶意软件的下载器,被称为石墨。
DLL可执行文件通过Microsoft Graph API使用OneDrive作为C2服务器来检索额外的stager恶意软件,这些恶意软件最终会下载并执行Empire,这是一个基于PowerShell的开源后利用框架,被威胁行为者广泛滥用以进行后续活动。
微软和SafeBreach实验室披露了多个利用该漏洞植入恶意软件和分发定制的Cobalt Strike Beacon加载器的活动,如果确实存在,这一发展标志着对MSTHML渲染引擎缺陷的持续利用。