Otkrivanje skrivenog Nexe backdoor zlonamjernog softvera
Nexe backdoor, nova varijanta zlonamjernog softvera koju koristi Patchwork APT grupa u svojoj najnovijoj sajber kampanji, predstavlja evoluciju u njihovoj taktici za izvođenje sofisticiranih napada. Ovaj backdoor je dizajniran da izbjegne mehanizme otkrivanja i sprovede ciljane operacije protiv kineskih entiteta, prvenstveno visokoprofiliranih organizacija kao što su vladina i diplomatska tijela.
PATCHWORK APT
Napredna trajna prijetnja (eng. Advanced persistent threat – APT) Patchwork je grupa zlonamjernih aktera, takođe poznata po svom aliasu Dropping Elephant, koja je veoma prisutna u digitalnom okruženju sajber bezbjednosti od svog nastanka 2009. godine. Ovaj neuhvatljivi entitet je prvenstveno poznat po ciljanju na sektore visokog profila kao što su vazduhoplovstvo, odbrana, energetika, finansije, vlada, IT, mediji, nevladine organizacije, farmacija i istraživački centri. Ova zlonamjerna grupa pokazuje strateški interes za prikupljanje obavještajnih podataka o međunarodnim diplomatskim i ekonomskim politikama i strategijama, posebno fokusirajući se na spoljne odnose sa Kinom.
Vjeruje se da poreklo grupe seže do Indije; međutim, konkretni dokazi koji podržavaju ovu tvrdnju i dalje su rijetki. Patchwork APT je pokazao strateški obrazac napada na regione od geopolitičkog interesa, obuhvataju različite zemlje uključujući Pakistan, Šri Lanku, Urugvaj, Bangladeš, Tajvan, Australiju i SAD. Jedna značajna kampanja iz 2018. godine bila je usmjerena na grupe istraživačkih centara u Sjedinjenim Američkim Državama, otkrivajući namjeru ove zlonamjerne grupe da manipuliše informacijama u vezi sa politikom i međunarodnim poslovima.
Patchwork APT koristi dva primarna vektora za infiltraciju: ciljano pecanje (eng. spear phishing) i napade vodenih rupa (eng. watering hole attack). Kampanje ciljanog pecanja su dizajnirane sa preciznošću da ciljaju određene pojedince u interesnim organizacijama, često koristeći tehnike društvenog inženjeringa kako bi primaoce naveli da otvore zlonamjerne priloge ili kliknu na kompromitovane veze. S druge strane, napadi vodenih rupa podrazumijevaju kompromitovanje legitimnih internet lokacija koje posjećuju mete ove grupe, sa ciljem da se iskoriste ranjivosti u njihovim internet pregledačima ili drugom softveru kako bi se isporučio zlonamjerni softver. Ovaj ciljani pristup sugeriše da aktivnosti grupe nisu nasumične, već pažljivo planirane kako bi se postigli konkretni ciljevi.
Poznato je da grupa ostaje neotkrivena tokom dužeg perioda, pokazujući visok nivo sofisticiranosti i upornosti, pa zbog toga Patchwork APT grupa predstavlja značajan rizik za ciljane organizacije, kao i zbog svoje sposobnosti da prikupi vrijedne obavještajne podatke i manipuliše informacijama.
NEXE BACKDOOR
Istraživanje sigurnosne kompanije Cyble Research and Intelligence Labs (CRIL) pokazuje da je u najnovijoj kampanji Patchwork APT grupa pokrenula Nexe backdoor, ciljajući ključne kineske organizacije. Sofisticiranost ovog napada leži u njegovoj sposobnosti da izbjegne mehanizme otkrivanja upotrebom naprednih tehnika izbjegavanja koje prolaze mimo standardnih bezbjednosnih sistema.
Funkcionisanje
Nexe backdoor korist phishing elektronsku poštu dizajniranu da prevare žrtve da preuzmu zlonamjernu LNK datoteku maskiranu kao zvanični dokument iz Kineske korporacije za komercijalne avione. Jednom izvršen, ovaj zlonamjerni softver koristi DLL bočno učitavanje da izvrši zlonamjerni kôd unutar sistema bez izazivanja sumnje.
Zlonamjerni softver koristi legitimnu sistemsku datoteku “WerFaultSecure.exe” kao masku. Kada se učita, ona dešifruje i izvršava skriveni shellcode koji modifikuje ključne API priključke kao što su AMSIscanBuffer i ETWEventWrite da bi zaobišao sisteme za detekciju. Ovo omogućava zlonamjernom softveru da tajno radi u kompromitovanim sistemima, izbjegavajući antivirusna i bezbjednosna rješenja. Ovo pokazuje da je najopasnija karakteristika Nexe backdoor zlonamjernog softvera njegova sposobnost da se neprimjetno uklopi u sistem žrtve, čineći otkrivanje i uklanjanje izazovnim.
Nexe backdoor je dizajniran da prikuplja kritične sistemske detalje, uključujući MAC adresu, korisničko ime, IP adresu, ID procesa, lokalnu IP adresu, verziju operativnog sistema Windows i čvrsto kôdirani niz korisničkih agenta. Nakon što prikupi ove ključne informacije, zlonamjerni softver izračunava svoj SHA256 heš, nakon čega ga šifruje u Base64 formatu prije daljeg šifrovanja pomoću algoritma Salsa20. Prikupljeni podaci se eksfiltriraju na server za komandu i kontrolu radi dalje eksploatacije.
Paralelno sa phishing elektronskom poštom koja cilja žrtve u Kini, otkriven je i phishing koji je ciljao i Butan, prikazujući prijedlog Odbora Fonda za adaptaciju. Ovo pokazuje prilagodljivost grupe u korišćenju mamaca specifičnih za region kako bi se povećala vjerovatnoća uspješnih pokušaja krađe identiteta.
ZAKLJUČAK
Upotreba Nexe backdoor zlonamjernog softvera od strane Patchwork APT grupe predstavlja značajnu eskalaciju u njihovoj taktici i predstavlja ozbiljnu prijetnju globalnoj sajber bezbjednosti. Sposobnost grupe da izbjegne čak i sofisticiranu odbranu je alarmantna i označava značajnu eskalaciju u njihovoj taktici.
Čini se da je ovaj backdoor posebno skrojen da zaobiđe tradicionalne sigurnosne mehanizme, što ga čini jednom od najnaprednijih kampanja koje su primijećene kada je u pitanju djelovanje Patchwork APT grupe. Nexe backdoor zlonamjerni softver je projektovan da prikuplja kritične informacije kao što su detalji o uređaju, IP adrese i korisnički akreditivi, koji se zatim eksfiltriraju na server za komandu i kontrolu. Potencijal za ekstenzivnu špijunažu ne može se precijeniti.
Implikacije ove kampanje su dalekosežne, jer može predstavljati značajnu prijetnju nacionalnoj bezbjednosti, ekonomskoj stabilnosti i privatnosti pojedinca. Ovo naglašava potrebu za kontinuiranom budnošću i snažnim mjerama sajber bezbjednosti. Organizacije moraju da daju prioritet nadgledanju mreže na nivou uređaja kako bi blokirale eksfiltraciju podataka od strane zlonamjernog softvera ili zlonamjernih aktera.
Organizacije moraju dati prioritet nadgledanju mreže, ažuriranjima softvera i korišćenju renomiranih antivirusnih i softverskih paketa za internet bezbjednost na svim povezanim uređajima da bi se zaštitili od ovakvih prijetnji. Posebno je važno biti informisan o najnovijim dešavanjima u sajber bezbjednosti, jer je to ključno za održavanje digitalne bezbjednosti u današnjem međusobno povezanom svetu.
ZAŠTITA
Da biste zaštitili svoju digitalnu imovinu i smanjili rizik da postanu žrtve Nexe backdoor zlonamjernog softvera koji koristi Patchwork APT grupa, ključno je usvojiti višeslojni pristup bezbjednosti. Evo nekoliko preporuka koje mogu pomoći da se ojača odbrana:
- Koristiti i redovno ažurirati pouzdan antivirusni softver i softverski paket za internet bezbjednost na svim povezanim uređajima kao što su računari, prenosni uređaji i mobilni uređaji. Ovo će obezbijediti osnovnu prvu liniju odbrane od poznatih prijetnji zlonamjernog softvera kao što je Nexe backdoor,
- Uvjeriti se da su operativni sistem i aplikacije uvijek ažurirani sa najnovijim ispravkama. Ove ispravke često uključuju kritične bezbjednosne ispravke koje mogu zaštititi od eksploatacije koje ciljaju ranjivosti u softveru,
- Obučiti korisnike da identifikuju phishing elektronsku poštu, sumnjive veze ili priloge koji mogu da sadrže zlonamjerne sadržaje kao što je Nexe backdoor. Ohrabriti korisnike da odmah prijave sve takve slučajeve radi dalje istrage i sanacije,
- Implementirati rješenja za praćenje mreže na različitim nivoima, da bi se otkrilo anomalno ponašanje i potencijalna eksfiltracija podataka od strane zlonamjernog softvera ili zlonamjernih aktera. Ovo može pomoći da se brzo identifikuju prijetnje kao što je Nexe backdoor i da se odgovori na njih pre nego što izazovu značajnu štetu,
- Implementirati princip najmanjih privilegija, što znači da se korisnicima dodjeljuju samo dozvole neophodne za obavljanje njihovih radnih funkcija. Ograničavanjem pristupa osjetljivim podacima i resursima na minimum, mogu se ograničiti potencijalni zlonamjerni uticaji ako je nalog korisnika kompromitovan zlonamjernim softverom kao što je Nexe backdoor,
- Omogućiti (eng. Multi-Factor Authentication – MFA) na svim nalozima gdje je to moguće. Ovo dodaje dodatni nivo bezbjednosti zahvaljujući od korisnika da obezbijede dva ili više faktora verifikacije pre pristupa osjetljivim resursima, što otežava napadačima da dobiju neovlašteni pristup čak i ako su dobili akreditive korisnika,
- Praviti redovne rezervne kopije kritičnih podataka i uvjeriti se da je skladište rezervnih kopija bezbjedno i izolovano od glavne mreže. U slučaju da su sistemi ugroženi zlonamjernim softverom kao što je Nexe backdoor, nedavne rezervne kopije mogu pomoći da se brzo vrate ugroženi resursi bez značajnog gubitka podataka,
- Razvijati Plan odgovora na sajber prijetnju koji će voditi odgovor organizacije u slučaju incidenta u vezi sa sajber bezbjednošću, kao što je infiltracija Nexe backdoor zlonamjernog softvera. Efikasan Plan odgovora na sajber prijetnju treba da sadrži jasne uloge i odgovornosti, komunikacione protokole i korake za obuzdavanje, iskorjenjivanje, oporavak i naučene lekcije,
- Redovno sprovoditi penetracijsko testiranje i procjene ranjivosti da bi se identifikovali potencijalne slabosti u sistemima koje bi mogao da iskoristi zlonamjerni softver kao što je Nexe backdoor. Odmah rješavati sve identifikovane probleme kako bi se smanjio rizik od uspješnog napada zlonamjernih aktera,
- Poželjno je priključiti se drugim organizacijama, industrijskim grupama i platformama za obavještajne podatke o prijetnjama da bi se dobile i dijelile informacije o novim prijetnjama kao što je upotreba Nexe backdoor zlonamjernog softvera od strane Patchwork APT Saradnjom na obavještajnim podacima o prijetnjama, organizacije mogu biti informisane o novim taktikama, tehnikama i procedurama koje koriste zlonamjerni akteri, što im omogućava da u skladu sa tim prilagode svoju odbranu.
Primjenom ovih preporuka, može se stvoriti robustan bezbjednosni položaj koji pomaže u zaštiti od Nexe backdoor zlonamjernog softvera i drugih naprednih prijetnji poput njega. Potrebno je biti oprezan, biti u toku sa obavještajnim podacima o novim prijetnjama i uvijek biti spreman da se po potrebi izvrši prilagođavanje strategije odbrane kako bi se ostalo korak ispred zlonamjernih aktera.