NetBird: Sajber napad na finansijski sektor

AUTOR ·

Softver NetBird identifikovan je kao ključna komponenta sofisticirane kampanje sajber napada na finansijski sektor više regiona. Prema istraživanju kompanije Trellix, sistemski administratori i korisnici treba da obrate posebnu pažnju na njegovu ulogu u ovoj prijetnji. U nastavku se razmatraju potencijalni rizici povezani sa NetBird softverom, kao i smjernice za zaštitu od ove i sličnih sajber prijetnji.

NetBird software

NetBird: Sajber napad na finansijski sektor; Source: Bing Image Creator

NETBIRD KAMPANJA

U suštini, NetBird je legitiman alat za udaljeni pristup (eng.  remote access tool – RAT) koji zlonamjerni akteri koriste u zlonamjerne svrhe. Konkretno, to je alat za udaljeni pristup (RAT) zasnovan na WireGuard tehnologiji koji omogućava zlonamjernim akterima da uspostave trajne veze sa kompromitovanim sistemima, efikasno im dajući pristup osjetljivim mrežama i podacima preko tajnog ulaza (eng. backdoor).

Upotreba NetBird sfotvera u ovom kontekstu je vrijedna pažnje, jer predstavlja odstupanje od tradicionalnih strategija raspoređivanja zlonamjernog softvera. Korištenjem legitimnog alata kao što je NetBird, zlonamjerni akteri mogu da kombinuju svoje zlonamjerne aktivnosti sa pravim zadacima upravljanja mrežom, što otežava napore za otkrivanje i produžava trajanje njihovih mogućnosti postojanosti unutar kompromitovanih sistema.

 

Geografski domet kampanje

Sigurnosni istraživači su otkrili naprednu spear phishing kampanju koja se pojavila 15. maja. Kampanja koristi napredne tehnike društvenog inženjeringa prikrivene kao legitimne mogućnosti regrutovanja od strane prestižne finansijske firme Rothschild & Co kako bi kompromitovala ciljeve visoke vrijednosti širom Evrope, Afrike, Kanade, Bliskog istoka i Južne Azije.

Globalni domet ove kampanje obuhvata više geografskih regiona, što je izaziva značajnu zabrinutost za organizacije. Potvrđene mete uključuju finansijske institucije u Ujedinjenom Kraljevstvu, Kanadi, Južnoj Africi, Norveškoj, Južnoj Koreji, Singapuru, Švajcarskoj, Francuskoj, Egiptu, Saudijskoj Arabiji i Brazilu.

Sigurnosni istraživači su primijetili da se dijelovi infrastrukture ove kampanje preklapanju sa najmanje jednom drugom spear phishing kampanjom sponzorisanom od strane države. Iako definitivna atribucija ostaje u toku istrage, ovo ukazuje na nivo sofisticiranosti i koordinacije među zlonamjernim akterima.

Precizno ciljanje ukazuje na opsežne izviđačke mogućnosti i pristup detaljnim organizacionim šemama kompanija, što je obično dostupno samo putem insajderskog znanja ili naprednih taktika društvenog inženjeringa. Sve to ukazuje na dobro opremljenog zlonamjernog aktera sa strateškim ciljevima koji prevazilaze neposrednu finansijsku dobit.

 

Funkcionisanje

Kampanja je počela sa pažljivo izgrađenim elektronskim porukama koje su se predstavljaju u ime regrutera kompanije Rothschild & Co, nudeći primamljive “strateške mogućnosti” rukovodiocima. Ove društveno konstruisane poruke bile su osmišljene da zaobiđu tradicionalnu phishing odbranu i steknu povjerenje finansijskih rukovodilaca na visokom nivou u bankama, osiguravajućim kompanijama, energetskim firmama i investicionim institucijama širom Evrope, Afrike, Kanade, Bliskog istoka i Južne Azije.

Same elektronske poruke predstavljaju su vrhunski primjer društvenog inženjeringa. Djelovale su kao legitimne ponude za posao od ugledne kompanije, sa lažnim PDF prilozima koji su izgledali bezopasno. Međutim, klikom na njih, žrtve su bile preusmjere na internet stranicu smještenu na Firebase platformi, koja je sadržala prilagođeni matematički CAPTCHA test. Ova sofisticirana taktika omogućila je zlonamjernim akterima da zaobiđu tradicionalne phishing zaštite, uključujući one koje označavaju internet lokacije zaštićene reCAPTCHA ili Cloudflare Turnstile sistemom.

Nakon rješavanja, CAPTCHA testa pokreće se preuzimanje ZIP arhive. Ova naizgled bezopasna datoteka je zapravo bila lagana VBS skripta dizajnirana da pokrene proces preuzimanja višestepenog korisnog tereta. Zlonamjerni akteri su pažljivo izradili ovu skriptu kako bi izbjegli otkrivanje i osigurali postojanost na sistemu žrtve.

Prvobitni VBS koristi MSXML2.XMLHTTP – komponentu Microsoft XML (MSXML) biblioteke da bi preuzeo drugu VBS datoteku maskiranu kao “pull.pdf” sa udaljenog servera. Ova pametna taktika je omogućila zlonamjernim akterima da preuzmu dodatne korisne terete bez izazivanja sumnje, dodatno ugrožavajući sistem žrtve.

Skripta druge faze je nastavila višestepeni proces, preuzimajući dodatni korisni teret koji bi na kraju doveo do instalacije NetBird i OpenSSH alata na sistem žrtve. Ovi paketi su tiho instalirani bez upozorenja korisnika ili pokretanja bilo kakvih bezbjednosnih upozorenja. Zlonamjerni akteri su takođe kreirali skriveni lokalni administratorski nalog, omogućili protokol za udaljenu radnu površinu (eng. remote desktop protocol – RDP), dozvolili prolaz kroz zaštitni zid (eng. firewall) i podesili NetBird da se automatski pokrene pri pokretanju sistema.

Ovaj višestepeni proces je osmišljen da izbjegne otkrivanje od strane tradicionalnog antivirusnog softvera i rješenja za zaštitu krajnjih uređaja. Korištenjem legitimnih alata poput OpenSSH  i NetBird, zlonamjerni akteri se uklapaju u normalne aktivnosti sistema, što bezbjednosnim timovima otežava otkrivanje njihovog prisustva. Prikrivena priroda ove kampanje je dobar podsjetnik da sajber prijetnje postaju sve naprednije.

 

Uticaj

Korištenje NetBird softvera kao alata za udaljeni pristup od strane zlonamjernih aktera ima značajan uticaj na bezbjednosnu poziciju organizacija širom sveta. Činjenica da zlonamjerni akteri koriste legitimne alate, kao što je NetBird softver za udaljeni pristup zasnovan na WireGuard tehnologiji, kako bi olakšali zlonamjerne aktivnosti je posebno zabrinjavajuća. Ovaj pristup im omogućava da se uklope u normalne operacije upravljanja mrežom, čime komplikuju napore za otkrivanje i proširuju svoje mogućnosti postojanosti unutar sistema.

Pored toga, integracija ovog alata u višestepene kampanje isporuke korisnog tereta omogućava zlonamjernim akterima da održe stalno prisustvo unutar kompromitovanih mreža, što im omogućava da prikupljaju osjetljive informacije ili vremenom onemoguće kritične sisteme. Globalni domet i ciljanje različitih regiona od strane zlonamjernih aktera dodatno naglašavaju  potencijalni uticaj kampanje na organizacije širom sveta.

Sofisticiranost koju pokazuju zlonamjerni akteri koristeći legitimne alate poput NetBird softvera takođe naglašava potrebu da organizacije preispitaju svoj pristup sajber bezbjednosti. Tradicionalne metode usmjerene na uopštene phishing pokušaje možda više nisu dovoljne protiv naprednih napada koji iskorištavaju znanje o korporativnim hijerarhijama i izvršnoj psihologiji. Stoga, bezbjednosni timovi moraju razviti nijansiranije strategije koje uzimaju u obzir evoluirajuće taktike koje koriste zlonamjerni akteri.

Preklapanje između NetBird infrastrukture i drugih phishing kampanja takođe pokreće pitanja o atribuciji i koordinaciji među zlonamjernim grupama. Iako definitivna atribucija čeka dalju istragu, ovaj razvoj događaja ističe nivo sofisticiranosti i saradnje među zlonamjernim akterima koji će vjerovatno nastaviti da se razvija kao odgovor na promjenljive bezbjednosne mjere.

 

ZAKLJUČAK

Diskusija o NetBird softveru ističe sofisticirani vektor napada koji je primijećen u raznim kampanjama. U svojoj suštini, ova prijetnja uključuje taktike društvenog inženjeringa osmišljene da prevare pojedince da instaliraju alate za udaljeni pristup na svoje sisteme.

Jedna od ključnih pouka iz ovih napada je važnost tretiranja nepoželjnih “prilika” ili elektronske pošte za “hladno regrutovanje” sa skepticizmom. Ove poruke često dolaze sa ZIP datotekama ili nejasnim vezama za preuzimanje kojima treba pristupiti sa oprezom, jer mogu sadržati zlonamjerne korisne sadržaje. Štaviše, ključno je da se nikad ne zaobilaze upozorenja prilikom omogućavanja sadržaja ili skripti iz preuzimanja.

Zlonamjerni akteri koji stoje iza ovih kampanja pokazali su visok stepen sofisticiranosti koristeći tehnike izbjegavanja odbrane kako bi kreirali i održavali stalni pristup sistemima žrtava. Ovo uključuje korišćenje legitimnih metoda instalacije softvera, skriptovanje za izvršavanje, prilagođene CAPTCHA testove i korišćenje legitimnih mrežnih protokola kao što su WireGuard, SSH i protokol udaljene površine (RDP) za održavanje tajnog pristupa. Pored toga, kreiranje skrivenih lokalnih administratorskih naloga i omogućavanje protokola za udaljenu radnu površinu (RDP) bez odgovarajućeg ovlašćenja dodatno naglašava prikrivenu prirodu ovih napada.

Osnovne ideje koje treba zapamtiti iz ove diskusije vrte se oko važnosti budnosti i opreza pri radu sa neželjenom elektronskom poštom ili preuzimanjima. Ključno je i za pojedince i za organizacije da blagovremeno prijave neobične pokušaje kontakta bezbjednosnim timovima, čak i ako na prvi pogled djeluju bezopasno.

Glavni uvidi dobijeni iz ovih napada ističu potrebu za robusnom odbranom od sofisticiranih prijetnji koje mogu da izbjegnu tradicionalne metode otkrivanja. Ovo uključuje sprovođenje strogih politika u vezi sa instalacijom softvera, pažljivo praćenje aktivnosti sistema i informisanje o novim vektorima prijetnji. Osim toga, korištenje legitimnih mrežnih protokola kao što su WireGuard, SSH i protokol udaljene površine (RDP) za potrebe udaljenog pristupa zahteva pažljivo razmatranje uz odgovarajuće procedure ovlašćenja kako bi se spriječio neovlašteni pristup.

 

ZAŠTITA

Da bi se efikasno spriječili napadi koji koriste NetBird softver, neophodan je višeslojni pristup. Evo nekoliko preporuka:

  1. Koristiti napredne alate za otkrivanje prijetnji kako bi se pregledala dolazna elektronska pošta u potrazi za sumnjivim sadržajem, uključujući phishing pokušaje sa vezama ili prilozima koji mogu dovesti do zlonamjernih sadržaja;
  2. Redovno sprovoditi obuke i radionice kako bi se edukovali zaposleni o identifikovanju potencijalnih prijetnji putem tehnika društvenog inženjeringa, kao što su pažljivo osmišljeni naslov elektronske pošte i imena priloga, osmišljeni da prevare primaoce da otkriju osjetljive informacije ili preuzmu datoteke zaražene zlonamjernim softverom, uključujući početni VBS skripte koji uspostavlja uporište za NetBird softver;
  3. Uvjeriti se da svi uređaji koriste najnovije verzije svojih operativnih sistema i softvera kako bi se spriječila zloupotrebu poznatih ranjivosti koje bi mogle biti iskorištene za instalaciju NetBird softvera ili druge zlonamjerne aktivnosti;
  4. Uspostaviti detaljne dozvole unutar mreža, osiguravajući da samo ovlašćeno osoblje ima pristup osjetljivim oblastima gdje potencijalne prijetnje poput NetBird softvera mogu pokušati da se učvrste kreiranjem direktorijuma i naknadnim preuzimanjem sekundarnih korisnih podataka sa servera za komandovanje i kontrolu;
  5. Primijeniti sveobuhvatni bezbjednosni softver sposoban da otkrije i blokira zlonamjerne skripte, uključujući VBS datoteke koje se mogu koristiti u početnim fazama implementacije NetBird softvera ili druge vrste zlonamjernog softvera dizajnirane da izbjegnu tradicionalne metode otkrivanja zasnovane na potpisima;
  6. Sprovoditi periodične revizije sistema u potrazi za mogućim ranjivostima koje bi potencijalno mogle omogućiti zlonamjernim akterima poput onih koji stoje iza NetBird kampanje da iskoriste slabosti i dobiju neovlašteni pristup, čime bi uspostavili uporište odakle mogu da pokrenu dalje napade;
  7. Podijeliti mreže na izolovane segmente sa strogim kontrolama između njih kako bi se spriječilo bočno kretanje zlonamjernih aktera koji pokušavaju da prošire svoj uticaj na infrastrukturu organizacije nakon što se uspostave početni vektori poput korištenja NetBird softvera;
  8. Iskoristiti podatke u realnom vremenu iz renomiranih izvora koji pružaju uvid u nove prijetnje, uključujući one povezane sa alatima za udaljeni pristup kao što je NetBird, koji se mogu koristiti u phishing kampanjama ili drugim vrstama napada osmišljenih da zaobiđu tradicionalnu bezbjednosnu odbranu;
  9. Razvijati i redovno ažurirajte sveobuhvatne planove odgovora na sajber prijetnju koji opisuju procedure za reagovanje na potencijalne incidente koji uključuju zloupotrebu softvera poput NetBird alata za daljinski pristup, osiguravajući brzo obuzdavanje, iskorjenjivanje, oporavak od bilo kakve štete izazvane takvim prijetnjama, uz smanjenje zastoja i poremećaja u poslovanju;
  10. Izvoditi simulirane napade na sisteme u kontrolisanim uslovima kako bi se identifikovale ranjivosti koje bi potencijalno mogli da iskoriste zlonamjerni akteri koristeći alate slične NetBird softveru ili zlonamjerne softvere dizajnirane za prikriveno raspoređivanje unutar mreža;
  11. Koristite napredna rješenja za evidentiranje koja mogu da prikupe detaljne informacije o aktivnostima sistema, uključujući potencijalne bezbjednosne incidente koji uključuju zlonamjerne aktere koji pokušavaju da primjene i koriste alate za udaljeni pristup poput NetBird softvera, a da ne budu otkriveni tradicionalnim metodama detekcije zasnovanim na potpisima;
  12. Obezbijediti da se sprovode stroge kontrole oko kreiranja i brisanja korisničkih naloga kako bi se spriječio neovlašteni pristup zlonamjernih aktera koji pokušavaju da uspostave prisustvo koristeći alate slične NetBird softveru ili zlonamjerne softvere.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.