AliGater cilja korisnike zastarjelih Windows sistema
Nedavno pojavljivanje novog zlonamjernog softvera poznatog kao AliGater, otkrivenog od strane sigurnosne kompanije Gen Digital, izazvalo je značajnu zabrinutost unutar sajber bezbjednosne zajednice, posebno u Evropi. Ovaj zlonamjerni softver iskorištava zastarele sisteme putem sumnjivih reklamnih usluga, što predstavlja značajan bezbjednosni rizik za ranjive korisnike. Raširenost internet oglašavanja i rasprostranjenost starih, nepodržanih verzija Windows i Chrome internet pregledača stvaraju idealnu situaciju za zlonamjerne aktere koji traže sredstva za obavljanje zlonamjernih aktivnosti.
ALIGATER
Pojavljivanje zlonamjernog softvera AliGater izazvalo je značajnu zabrinutost, pošto on iskorištava zastarele operativne sisteme i aplikacije putem sumnjivih reklamnih usluga, što predstavlja značajan bezbjednosni rizik za ranjive korisnike. Ovaj zlonamjerni softver prvenstveno cilja na zastarele verzije Windows operativnog sistema (7 SP1, 8.1) i Chrome internet pregledača pretežno u Evropi, što predstavlja značajnu prijetnju digitalnoj bezbjednosti širom kontinenta.
Distribucija
Čini se da su evropske države glavni fokus ove kampanje zbog veće koncentracije pogođenih zemalja u ovim regionima. Francuska i Poljska su najzastupljenije lokacije, a slede Italija, Španija i Turska. Ova geografska distribucija sugeriše da je AliGater strateški dizajniran da cilja sisteme u Evropi, kapitalizujući oslanjanje regiona na zastareli softver i infrastrukturu za oglašavanje.
Oslanjanje regiona na zastareli softver i reklamnu infrastrukturu čini ga dobrom metom za zlonamjerne aktere koji traže sredstva za isporuku svog zlonamjernog softvera i obavljanje zlonamjernih aktivnosti. Ovo naglašava potrebu da evropske vlade, preduzeća i pojedinci daju prioritet mjerama sajber bezbjednosti kako bi se zaštitili od ovih prijetnji koje se razvijaju.
Funkcionisanje
Lanac napada počinje sa zlonamjernim oglasima koji preusmjeravaju korisnike na aligate.homes domen, gdje im prikazuje obmanjujući CAPTCHA zahtjev koji uzima digitalni otisak preko “User-Agent” stringova. Ova skripta analizira okruženje žrtve (arhitektura, platforma, WebGL, Chrome verzija) i isporučuje prilagođene eksploatacije za V8 JavaScript mehanizam (CVE-2023-2033) i analizu Windows TrueType fontova (CVE-2011-3402).
Višestepeno AliGater korisno opterećenje koristi nekoliko naprednih tehnika, uključujući WebAssembly, XOR šifrovanje, shellcode ubrizgavanje i ubacivanje zlonamjernog kôda u legitimne procese (eng. process hollowing). Takođe kreira povišene procese koji se maskiraju kao legitimne Windows izvršne datoteke (dllhost.exe, SearchIndexer.exe, spoolsv.exe, svchost.exe, taskhost.exe) da bi se primijenio Lumma kradljivca podataka.
Napad koristi sistemske zahteve i cilja određene korisničke agente, a najčešće ciljani su Mozilla/5.0 (Windows NT 10.0, Win64, x64), AppleWebKit/537.36 (KHTML, like Gecko), Chrome/109.0.0.0, Safari/537.36. Ovo naglašava specifične verzije koje su ranjive na ovaj napad.
U prvoj fazi napada, izvorni shellcode koji je skriven u drugom nizu, izvršava se unutar Chrome procesa koristeći Wasm modul. Ova faza se sastoji od jednostavnog kôda koji u Chrome memoriji procesa traži ključ na početku prve međumemorije (eng. buffer) u konačnoj JavaScript skripti. Kada se međumemorija pronađe i dešifruje, izvršenje kôda prelazi na sljedeću fazu koja zatim pokušava da iskoristi Windows operativni sistem.
U narednoj fazi se vrši analiza Win32 TrueType fonta, koja je stara poznata ranjivost (CVE-2011-3402) koju zlonamjerni akteri zloupotrebljavaju da bi podigli neophodne privilegije za naredne operacije. Ako je ova faza uspješna, ona evidentira procese u sistemu i pokušava da otvori svaki od njih. Zatim ubacuje treću fazu u otvoreni proces.
Svrha ove faze je da se prikriveno rasporedi naredna faza. Ova faza kreira nove instance legitimnih Windows izvršnih datoteka (dllhost.exe, SearchIndexer.exe, spoolsv.exe, svchost.exe, taskhost.exe) i učitava Lumma kradljivca podataka u njihov memorijski prostor, što otežava otkrivanje pomoću tradicionalnih mjera bezbjednosti.
U završnoj fazi, AliGater je posvećen eksfiltraciji podataka pomoću Lumma kradljivca podataka. Ovaj zlonamjerni softver prikuplja osjetljive informacije kao što su akreditivi za prijavu, detalji o novčaniku za kriptovalute i druge vrijedne podatke iz kompromitovanog sistema. Ukradeni podaci se zatim šalju nazad na servere za komandu i kontrolu (C2) napadača radi dalje eksploatacije.
Serveri za komandu i kontrolu (C2)
C2 infrastruktura je ključna komponenta AliGater operacija. Sastoji se od tri ključna elementa: mrežnog prolaza (eng. gateway), zlonamjernih domena i kôdnog komandnog okruženja. Mrežni prolaz olakšava početni kontakt sa potencijalnim žrtvama, filtrirajući sumnjive ili neopažene posjetioce pre nego što preusmjeri mete koje se mogu iskoristiti na zlonamjerni domen. Ovaj domen zatim uzima digitalne otiske preko “User-Agent” stringova i bira odgovarajuće korisno opterećenje kao što je već opisano iznad.
SLIČNOSTI SA MAGNIBER RANSOMWARE KAMPANJOM
Sličnosti između AliGater operacije i druge poznate prijetnje, Magniber ransomware, su upadljive. Oba koriste neobične metode za syscalls pozivanje, ciljaju istu grupu žrtava i koriste veoma sličan pristup šifrovanju nizova. Ova jaka korelacija stvara uvjerenje da postoji veza između njihovih kôdnih baza, što sugeriše da su Magniber ransomware autori možda počeli da nude svoju infrastrukturu kao uslugu.
Međutim, razumijevanje Magniber lanca infekcije ostaje ograničeno za sigurnosne istraživače, što ih sprečava da sa sigurnošću daju procjenu ove pretpostavke. Ipak, ovo otvara mogućnost da AliGater može distribuirati drugi zlonamjerni softver i da bi Magniber ransomware autori potencijalno mogli da prošire svoje operacije kako bi uključili druge zlonamjerne aktere. Međutim, bez konkretnih dokaza koji povezuju AliGater sa određenim entitetima, ovo ostaje u najboljem slučaju potencijalna mogućnost.
ZAKLJUČAK
AliGater je složena i sofisticirana kampanja za zlonamjerno oglašavanje koja koristi potencijalne ranjivosti zastarelih Windows sistema i Chrome pregledača prvenstveno u Evropi. Ciljajući zastarele sisteme putem reklamnih usluga, AliGater naglašava važnost održavanja ažuriranog softvera i budnosti protiv potencijalnih prijetnji, jer kako oslanjanje na digitalne platforme nastavlja da raste, raste i potreba za snažnim mjerama sajber bezbjednosti.
Zbog toga je ova kampanja dobar podsjetnik na rizike povezane sa oslanjanjem na zastarele verzije softvera. Raširenost industrije oglašavanja na internetu čini je privlačnom metom za zlonamjerne aktere koji traže sredstva za primjenu svojih zlonamjernih aktivnosti. U ovom slučaju, eksploataciju su olakšale stare, nepodržane verzije Windows operativnih sistema i Chrome internet pregledača, koji više ne dobijaju bezbjednosna ažuriranja i na taj način ostavljaju sisteme ranjivim na otkrivene ranjivosti.
Sama kampanja koristi višestepeni pristup koristi različite tehnike kao što su WebAssembly, XOR šifrovanje, shellcode ubrizgavanje, ubacivanje zlonamjernog kôda u legitimne procese i syscall pozivi da bi se izbjeglo otkrivanje dok se Lumma kradljivac primjenjuje na ciljanim sistemima. Ovaj kradljivac podataka je poznat po svojoj sposobnosti da ukrade osjetljive podatke, uključujući akreditive za prijavu i finansijske informacije.
Zanimljivo zapažanje tokom AliGater istraživanja je sličnost između ove prijetnje i Magniber ransomware zlonamjernog softvera. Obje porodice zlonamjernog softvera djele slične stilove kôdiranja i koriste neobične obrasce koji su inherentno veoma restriktivni. Ovo dovodi do uvjerenja da su Magniber i AliGater binarne datoteke možda povezane, što otvara mogućnost da su Magniber autori počeli da nude svoju infrastrukturu kao uslugu.
Da bi se posebno borili protiv AliGater zlonamjerne prijetnje, korisnicima se savjetuje da koriste podržane operativne sisteme i da ih ažuriraju sa najnovijim ispravkama, koriste renomirani antivirusni softver, izbjegavaju klikove na sumnjive oglase ili veze i budu oprezni kada preuzimaju datoteke iz nepoznatih izvora. Organizacije takođe treba da primjenjuju robusne bezbjednosne mjere kao što su segmentacija mreže, autentifikacija u više koraka i redovne procjene ranjivosti kako bi se efikasno zaštitile od ove prijetnje.
ZAŠTITA
Kako korisnici ne bi postali žrtve ove podmukle prijetnje, evo nekoliko preporuka kako se korinici mogu zaštititi:
- Korištenje podržanog operativnog sistema uz njegovo redovno ažuriranje, kao i ažuriranje softverskih aplikacija je ključno za sprečavanje AliGater zlonamjerne prijetnje. Ažuriranja često uključuju ispravke za poznate ranjivosti koje zlonamjerni softver može da iskoristi. Uvjeriti se da su automatska ažuriranja omogućena na operativnom sistemu, internet pregledačima i drugim kritičnim aplikacijama,
- Koristiti pouzdano antivirusno rješenje koje može pomoći u otkrivanju i uklanjanju AliGater zlonamjerne prijetnje iz sistema ako uspije da se infiltrira. Redovno ažurirati antivirusni softver da bi se osiguralo da koristi najnovije definicije o zlonamjernim prijetnjama,
- Biti oprezan sa sumnjivom elektronskom poštom i internet lokacijama, jer se elektronske poruke za pecanje često koriste kao vektor za distribuciju zlonamjernog softvera. Biti oprezan kada se otvaraju otvarate prilozi elektronske pošte ili klika na veze iz nepoznatih izvora. Slično tome, izbjegavati posjete sumnjivim internet lokacijama koje mogu da skladište zlonamjerni softver,
- Korisnici bi trebalo da upotrebljavaju jake lozinke i omoguće autentifikaciju u dva koraka (eng. Two-Factor Authentication – 2FA). Jake lozinke otežavaju napadačima da dobiju neovlašteni pristup sistemu, dok omogućavanje autentifikaciju u dva koraka (2FA) dodaje još jedan nivo sigurnosti tako što zahteva drugi oblik verifikacije, kao što je kôda poslat putem tekstualne poruke, elektronske pošte ili aplikacije za autentifikaciju u dva koraka,
- Instalirati i održavajte zaštitni zid, jer on može pomoći u blokiranju neželjenog mrežnog saobraćaja, potencijalno sprečavajući AliGater da se poveže sa svojim serverom komandu i kontrolu (C2). Osigurati da je zaštitni zid pravilno konfigurisan i da se redovno ažurira,
- Redovno praviti rezervne kopije podataka, jer redovne rezervne kopije kritičnih podataka osiguravaju da se sistem može oporaviti u slučaju da bude kompromitovan od strane AliGater ili bilo koje druge zlonamjerne prijetnje. Čuvati rezervne kopije na zasebnom uređaju ili usluzi u oblaku da bi se zaštitile od toga da i one budu kompromitovane,
- Mnogi internet pregledači nude ugrađene funkcije kao što su sigurna pretraga, blokiranje sadržaja i zaštita od krađe identiteta koje mogu pomoći da se korisnici zaštite od AliGater Uvjeriti se da su ove funkcije omogućene u pregledaču,
- Potrebno je biti informisan o najnovijim sajber prijetnjama čitajući pouzdane bezbjednosne resurse i pohađajući radionice ili vebinare. Podijeliti stečena znanja sa drugima korisnicima kao bi se stvorilo bezbjednije digitalno okruženje za sve,
Iako AliGater predstavlja značajnu prijetnju, primjena ovih zaštitnih mjera može pomoći u zaštiti korisničkih sistema od njegovih zlonamjernih namjera.