Ataki na łańcuch dostaw oprogramowania i grupa zagrożeń RomCom

Ataki na łańcuch dostaw oprogramowania wpisują się na mapę cyber zagrożeń, a ich liczba w ostatnich latach drastycznie wzrasta. Po wielu głośnych cyberatakach m.in. na firmę SolarWinds i Kaseya, państwa, organizacje wspólnie pracowały nad podnoszeniem świadomości, dzieliły się zdobytymi doświadczeniami, wiedzą w tematach ataków w łańcuchu dostaw oprogramowania. W tym tygodniu NSA, CISA i Biuro Dyrektora Wywiadu Narodowego USA (ODNI) opublikowali nowy zestaw wytycznych dotyczących zabezpieczania operacji łańcucha dostaw oprogramowania. Opracowanie powstało aby zapewnić dostawcom najlepsze praktyki w zakresie procesów planowania, zapobiegania i reagowania. Chociaż dokument zawiera kompleksowe instrukcje, które mają pomóc dostawcom w zdefiniowaniu kryteriów kontroli bezpieczeństwa i reagowaniu na luki w zabezpieczeniach, ważniejsze jest sformułowanie koncepcji ustanowienia wspólnej odpowiedzialności. „Zapobieganie jest często postrzegane jako odpowiedzialność programisty, ponieważ jest on zobowiązany do bezpiecznego tworzenia i dostarczania kodu, weryfikowania komponentów stron trzecich i wzmacniania środowiska kompilacji. Ale dostawca ponosi również kluczową odpowiedzialność za zapewnienie bezpieczeństwa i integralności oprogramowania” – wskazuje NSA w komunikacie prasowym.

Popularna usługa hostingu plików Dropbox, ujawniła w tym tygodniu, że doznała naruszenia po kampanii phishingowej wymierzonej w pracowników. W poście na swoim blogu kalifornijska firma wyjaśniła, że ​​atakujący uzyskali dostęp do 130 repozytoriów ich kodu w serwisie GitHub, ale naruszenie nie obejmowało nieautoryzowanego dostępu do kont użytkowników, treści, haseł ani informacji o płatnościach. Kod dla podstawowych aplikacji i infrastruktury również nie był zawarty w skompromitowanych repozytoriach. Kampania phishingowa w Dropbox ma swoje powiązanie z kampanią skierowaną na GitHub sprzed zaledwie kilku miesięcy. W obu przypadkach cyberprzestępca podszywał się pod CircleCI, oprogramowanie do ciągłej integracji, chcąc przechwycić dane uwierzytelniające użytkowników i kody MFA. Atakujący zdołali przełamać zabezpieczenia Dropbox, używając legalnie wyglądających wiadomości phishing’owych, które nakazywały pracownikom wprowadzenie swoich danych uwierzytelniających, danych z klucza uwierzytelniania sprzętowego w celu przekazania hasła jednorazowego (OTP) do fałszywej witryny CircleCI.

Dropbox ujawnił, że kod, do którego cyberprzestępca uzyskał dostęp, zawierał pewne dane uwierzytelniające, głównie klucze API wykorzystywane przez programistów firmy, a także „kilka tysięcy nazwisk i adresów e-mail” należących do pracowników, lead’ów sprzedażowych, danych dostawców zewnętrznych, a także obecnych i byłych klientów. Chociaż firma podkreśliła, że ​​żadne dane klientów nie zostały skradzione, firmy muszą wzmocnić swoje protokoły uwierzytelniania. W tym przypadku ponad 700 milionów zarejestrowanych użytkowników korzysta z Dropbox w zakresie udostępniania folderów, przechowywania w chmurze, tworzenia kopii zapasowych plików, zarządzania zadaniami i usług podpisywania dokumentów.

RomCom RAT pojawił się ponownie i tym razem używa fałszywych wersji SolarWinds Network Performance Monitor (NPM), menedżera haseł KeePass i PDF Reader Pro. RomCom jest znany z wcześniejszych kapanii, w których używał strojanizowanych wariantów Advanced IP Scanner i pdfFiller.

Badacze BlackBerry Threat Research and Intelligence odkryli, że grupa RomCom wykorzystuje zaufanie klientów do znanych marek oprogramowania, tworzą podejrzane, podobne witryny pobierania, zawierające literówkę w nazwie domeny, skutecznie ukrywają swoje złośliwe oprogramowanie jako legalne produkty. Odbywa się to poprzez skopiowanie kodu HTML z legalnej witryny firmy, zarejestrowanie nowej, podobnej domeny i wdrożenie ukierunkowanych wiadomości phishingowych lub postów w mediach społecznościowych, w celu zwabienia określonych użytkowników. Sfałszowane strony internetowe hostują i wdrażają RomCom RAT (trojan zdalnego dostępu), który potrafi robić zrzuty ekranu i zbierać poufne informacje, zanim wyeksportuje je z powrotem na serwer cyberprzestępcy. Poniższe rysunki pokazują wersję prawdziwej strony SolarWinds NPM i sfałszowanej strony.

Rysunek 1 Legalna witryna SolarWinds Źródło Blackberry

Rysunek 2 Fałszywa strona internetowa SolarWinds Źródło Blackberry

 

Hashes (md5, sha-256) 7c003b4f8b3c0ab0c3f8cb933e93d301

246dfe16a9248d7fb90993f6f28b0ebe87964ffd2dcdb13105096cde025ca614

File Name Solarwinds-Orion-NPM-Eval.zip
File Size 124,671,897 bytes

Rysunek 3 Wyodrębniona zawartość pliku „SolarWinds-Orion-NPM-Eval.zip” Źródło Blackberry

Kampania KeePass RomCom. 1 listopada zespół BlackBerry Threat Research and Intelligence dokonał kolejnego odkrycia. Grupa RomCom stworzyła nową kampanię ataków wykorzystującą popularnego managera haseł KeePass. Gdy ofiara pobierze aplikację z fałszywej, ale legalnie wyglądającej witryny KeePass, osoba atakująca umieszcza na komputerze ofiary złośliwy pakiet o nazwie „KeePass-2.52”.

Rysunek 4 – Legalna witryna KeePass Źródło Blackberry

Rysunek 5 – Fałszywa witryna KeePass Źródło Blackberry

Fałszywa witryna KeePass.org udostępnia trojanizowany pakiet o nazwie „KeePass-2.52.zip”. Po rozpakowaniu zawiera następujące pliki:

Rysunek 6 – Zawartość szkodliwego archiwum Źródło Blackberry

Jak pokazano na powyższym zrzucie ekranu, w pliku KeePass-2.52.zip znajdują się dwa szkodliwe pliki :

  • Setup.exe — uruchamia dropper RomCom RAT: PDB C:\Users\123\source\repos\ins_asi\Win32\Release\setup.pdb
  • hlpr.dat to dropper RomCom RAT.

Zespół BlackBerry Threat Research and Intelligence śledził RomCom Netflows i odkrył zarówno sfałszowane witryny KeePass, jak i PDF Reader Pro w języku ukraińskim. Obie sfałszowane witryny udostępniają swoje strony z warunkami korzystania z usług pod tym samym adresem URL i sugerują, że dostawcy oprogramowania są hostowani przez firmy z Wielkiej Brytanii. Głównymi celami ostatniej kampanii były Ukraińskie instytucje wojskowe oraz niektóre kraje anglojęzyczne. Na razie istnieją spekulacje, że grupa RomCom jest potencjalnie powiązana z Cuba Ransomware i Industrial Spy, ale nie znaleziono jeszcze konkretnych dowodów. FBI nadal zachęca organizacje do wzmacniania ochrony przed podszywaniem się, oszustwami socjotechnicznymi i kompromitacją firmowej poczty e-mail oraz zgłaszania wszelkich podejrzanych prób do Internet Crime Complaint Center.Wydaje się, że RomCom rozwija swoją taktykę, gdy zidentyfikowano również fałszywe instalatory Veeam Backup Recovery.