Notezilla, RecentX i Copywhiz zloupotreba
Jedna od vodećih kompanija za sajber bezbjednost, Rapid7 je otkrila zloupotrebu Notezilla, RecentX i Copywhiz instalacionih paketa indijske kompanije Conceptworld. Radi se o aplikacijama koje su stekle široku popularnost zbog poboljšanja produktivnosti za korisnike Microsoft operativnog sistema, a koje su kompromitovane zlonamjernim softverom.
NOTEZILLA, RECENTX I COPYWHIZ ZLOUPOTREBA
Sigurnosni istraživači kompanije Rapid7 su otkrili da instalacijski paketi nisu potpisani kako se očekivalo i da su imali veće veličine datoteka od onih navedenih na zvaničnoj stranici za preuzimanje. Ovo neslaganje je natjeralo sigurnosne istraživače da obrate pažnju i da dalje analiziraju ove datoteke.
Nakon detaljnijeg pregleda, otkrili su da instalacijski programi sadrže zlonamjerne komponente dizajnirane da ukradu akreditive internet pregledača i informacije o novčaniku kriptovaluta, evidentiraju sadržaj međumemorije i pritiska na tastere, uspostave postojanost na zaraženim Windows uređajima postavljanjem zakazanog zadatka i preuzimaju dodatne korisne tovare koji se dalje izvršavaju skripte i povezuju sa serverom za komandu i kontrolu (C2) za dalja uputstva.
Mogućnosti
Zlonamjerne instalacije su dizajnirane kao višestepene prijetnje, koristeći različite tehnike kako bi izbjegli otkrivanje i maksimizirali svoj uticaj na zaražene sisteme. Krenimo redom:
- Faza 1 – Inicijalna infekcija: Trojanizovana instalacija bi izvršila PowerShell skriptu koja je preuzela dodatne komponente sa udaljenih servera koristeći Base64 kôdiranje za prikrivanje. Ova tehnika je otežava otkrivanje zlonamjernog saobraćaja i obezbjeđuje uspješnu isporuku korisnih podataka,
- Faza 2 – Prikupljanje podataka: Jednom instalirana, zlonamjerna datoteka bi pokrenula grupnu skriptu koja se povezala sa svojim C2 serverom koristeći protokol bezbjednog prenosa datoteka (eng. Secure File Transfer Protocol – SFTP). Zatim dolazi do preuzimanja dodatnih komponenti i njihovog izvršavanja na osnovu konfiguracije sistema,
- Faza 3 – Eksfiltracija podataka: Zlonamjerni softver je dizajniran da ukrade osjetljive podatke, uključujući akreditive internet pregledača, informacije o novčaniku za kriptovalute evidentiraju sadržaj međumemorije i pritiske na tastere,
- Faza 4 – Postojanost: Zlonamjerni softver je obezbijedio svoju postojanost postavljanjem zakazanog zadatka pomoću zlonamjerne izvršne datoteke i i Windows Planera zadataka (eng. Task Scheduler). Ovo mu je omogućilo da se automatski pokreće svaki put kada se sistem pokrene, obezbeđujući kontinuirano prikupljanje i eksfiltraciju podataka.
CONCEPTWORLD OPORAVAK
Sigurnosni istraživači su obavijestili Conceptworld o problemu u roku od nekoliko sati od njihovog otkrića. Oni su brzo reagovali, priznajući problem i preduzimajući hitne mjere da ga obuzdaju. U roku od 12 časova od obavještenja kompanija Conceptworld uklonila zlonamjerne instalacije sa conceptworld[. ]com domena i zamijenila ih odgovarajućim kopijama. Ovaj korak je spriječio dalje infekcije i omogućio korisnicima da bezbjedno preuzmu svoje preferirane softverske pakete.
Nakon toga kompanija je dala izjavu za javnost u kojoj priznaje narušavanje bezbjednosti i izražava zahvalnost kompaniji Rapid7 što im je na to skrenula pažnju. Takođe su savjetovali sve pogođene korisnike da skeniranju svoje sisteme koristeći renomirana antivirusna rješenja i promjene sve ugrožene lozinke. Nakon toga, kompanija Conceptworld je sprovela internu istragu, otkrivajući da je bila na meti sofisticiranog napadača koji je dobio neovlašteni pristup njihovom razvojnom okruženju. Kompanija je ojačala svoje bezbjednosne mjere kao odgovor, uključujući primjenu autentifikacije u više koraka za sve naloge programera i poboljšanje segmentacije mreže.
ZAKLJUČAK
Incident koji uključuje Notezilla, RecentX i Copywhiz aplikacije kompanije Conceptworld služi kao oštar podsjetnik na važnost bezbjednosti softvera u današnjem digitalnom pejzažu. Kompanije kao što je Conceptworld moraju održavati robusne bezbjednosne mjere i redovno skenirati svoje sisteme u potrazi za potencijalnim prijetnjama. Takođe bi trebalo da implementiraju jake kontrole pristupa kako bi spriječile neovlaštene modifikacije svoje baze kôda i kanala distribucije. Na taj način mogu zaštititi i svoju reputaciju i povjerenje svojih cijenjenih kupaca.
Upotreba zlonamjernog softvera u ovom napadu nije izolovan incident, to je dio šireg trenda gdje zlonamjerni akteri eksploatišu pouzdani softver u zlonamjerne svrhe. Posljednjih godina primijećeni su brojni primjeri popularnih alata kao što su CCleaner, TeamViewer i Orbit Downloader koji su kompromitovani da bi isporučili zlonamjerni softver. Ovi napadi često ostaju neotkriveni sve dok ih bezbjednosne firme ne prijave ili korisnici ne primijete neobično ponašanje na svojim sistemima.
Zbog toga je potrebno biti informisan o potencijalnim prijetnjama i preduzimati odgovarajuće radnje kako bi se zajednički radilo na stvaranju bezbjednijeg digitalnog okruženja za sve.
ZAŠTITA
Da bi se korisnici zaštitili od ovakve vrste napada, mogu preduzeti sljedeće mjere:
- Korisnici trebaju provjeriti integritet preuzete datoteke, tako što će se uvjeriti da softver preuzet od zvaničnih distributera ima odgovarajuće hešove datoteka i svojstva pre instalacije. Potrebno je biti oprezan sa nepotpisanim instalacionim datotekama ili onima sa nedosljednim veličinama datoteka,
- Provjeriti da li postoje znakovi kompromisa pregledom sistema nakon nedavnih instalacija Notezilla, RecentX i Copywhiz aplikacija. Potražiti skrivene zakazane zadatke pod nazivom “Check dllHourly32” i stalne cmd.exe instance koji uspostavljaju odlazne veze preko curl.exe.
- Potrebno je koristiti jake lozinke i omogućiti autentifikaciju u dva koraka tamo gdje je moguće, ako i ažurirati sav softver na najnovije verzije,
- Potrebno je konfigurisati zaštitne zidove ili antivirusna rješenja za blokiranje odlaznog saobraćaja iz datoteka sa određenim ekstenzijama koje su ciljane od strane zlonamjernog softvera za eksfiltraciju,
- Uvjeriti se da se redovno prave rezervne kopije i bezbjedno čuvaju, kako lokalno tako i u oblaku. U slučaju kompromisa, ovo će pomoći da se smanji potencijalna šteta i olakša brz proces oporavka.