Το Ars Technica χρησιμοποιήθηκε πρόσφατα για την αποστολή κακόβουλου λογισμικού δεύτερου σταδίου σε μια εκστρατεία που χρησιμοποίησε μια πρωτόγνωρη αλυσίδα επιθέσεων για να καλύψει έξυπνα τα ίχνη της, ανέφεραν την Τρίτη ερευνητές της εταιρείας ασφάλειας Mandiant.

Μια καλοήθης εικόνα μιας πίτσας μεταφορτώθηκε σε έναν ιστότοπο τρίτου μέρους και στη συνέχεια συνδέθηκε με μια διεύθυνση URL που επικολλήθηκε στη σελίδα "about" ενός εγγεγραμμένου χρήστη του Ars. Σε αυτή τη διεύθυνση URL ήταν θαμμένη μια σειρά χαρακτήρων που φαινόταν να είναι τυχαίοι - αλλά στην πραγματικότητα ήταν ένα ωφέλιμο φορτίο. Η εκστρατεία στόχευσε επίσης τον ιστότοπο ανταλλαγής βίντεο Vimeo, όπου μεταφορτώθηκε ένα καλοήθες βίντεο και μια κακόβουλη συμβολοσειρά συμπεριλήφθηκε στην περιγραφή του βίντεο. Η συμβολοσειρά δημιουργήθηκε χρησιμοποιώντας μια τεχνική γνωστή ως κωδικοποίηση Base 64. Η Base 64 μετατρέπει το κείμενο σε εκτυπώσιμη μορφή συμβολοσειράς ASCII για την αναπαράσταση δυαδικών δεδομένων. Οι συσκευές που είχαν ήδη μολυνθεί με το κακόβουλο λογισμικό πρώτου σταδίου που χρησιμοποιήθηκε στην εκστρατεία ανέκτησαν αυτόματα αυτές τις συμβολοσειρές και εγκατέστησαν το δεύτερο στάδιο.

Συνήθως δεν παρατηρείται
"Αυτός είναι ένας διαφορετικός και καινοτόμος τρόπος που βλέπουμε κατάχρηση που μπορεί να είναι αρκετά δύσκολο να εντοπιστεί", δήλωσε ο ερευνητής της Mandiant Yash Gupta σε συνέντευξή του. "Αυτό είναι κάτι σε κακόβουλο λογισμικό που συνήθως δεν έχουμε δει. Είναι αρκετά ενδιαφέρον για εμάς και κάτι που θέλαμε να επισημάνουμε".

Η εικόνα που δημοσιεύτηκε στο Ars εμφανίστηκε στο προφίλ about ενός χρήστη που δημιούργησε λογαριασμό στις 23 Νοεμβρίου. Εκπρόσωπος του Ars δήλωσε ότι η φωτογραφία, που δείχνει μια πίτσα και έχει λεζάντα "I love pizza", αφαιρέθηκε από το προσωπικό του Ars στις 16 Δεκεμβρίου μετά από ειδοποίηση μέσω ηλεκτρονικού ταχυδρομείου από άγνωστο άτομο. Το προφίλ του Ars χρησιμοποιούσε μια ενσωματωμένη διεύθυνση URL που παρέπεμπε στην εικόνα, η οποία συμπληρωνόταν αυτόματα στη σελίδα about. Η κακόβουλη κωδικοποίηση base 64 εμφανίστηκε αμέσως μετά το νόμιμο μέρος της διεύθυνσης URL. Η συμβολοσειρά δεν δημιούργησε σφάλματα ούτε εμπόδισε τη φόρτωση της σελίδας.

Οι ερευνητές της Mandiant δήλωσαν ότι δεν υπήρχαν συνέπειες για τους ανθρώπους που μπορεί να είδαν την εικόνα, είτε όπως εμφανιζόταν στη σελίδα Ars είτε στον ιστότοπο που την φιλοξενούσε. Δεν είναι επίσης σαφές ότι κάποιοι χρήστες του Ars επισκέφθηκαν τη σελίδα about.

Οι συσκευές που μολύνθηκαν από το πρώτο στάδιο είχαν αυτόματα πρόσβαση στην κακόβουλη συμβολοσειρά στο τέλος της διεύθυνσης URL. Από εκεί, μολύνθηκαν με ένα δεύτερο στάδιο.

Το βίντεο στο Vimeo λειτούργησε παρόμοια, με τη διαφορά ότι η συμβολοσειρά περιλαμβανόταν στην περιγραφή του βίντεο.

Οι εκπρόσωποι της Ars δεν είχαν να προσθέσουν τίποτα περισσότερο. Οι εκπρόσωποι του Vimeo δεν απάντησαν αμέσως σε ηλεκτρονικό μήνυμα.

Η καμπάνια προήλθε από έναν απειλητικό παράγοντα που η Mandiant εντοπίζει ως UNC4990, ο οποίος είναι ενεργός τουλάχιστον από το 2020 και φέρει τα χαρακτηριστικά ότι έχει ως κίνητρο το οικονομικό όφελος. Η ομάδα έχει ήδη χρησιμοποιήσει μια ξεχωριστή νέα τεχνική για να περνάει κάτω από τα ραντάρ. Αυτή η τεχνική διέδωσε το δεύτερο στάδιο χρησιμοποιώντας ένα αρχείο κειμένου που τα προγράμματα περιήγησης και οι κανονικοί επεξεργαστές κειμένου έδειχναν ότι ήταν κενό.

Το άνοιγμα του ίδιου αρχείου σε έναν hex editor -ένα εργαλείο για την ανάλυση και την εγκληματολογική διερεύνηση δυαδικών αρχείων- έδειξε ότι ένας συνδυασμός από tabs, κενά και νέες γραμμές ήταν τοποθετημένος με τρόπο που κωδικοποιούσε εκτελέσιμο κώδικα. Όπως και η τεχνική που αφορούσε το Ars και το Vimeo, η χρήση ενός τέτοιου αρχείου είναι κάτι που οι ερευνητές της Mandiant δεν είχαν ξαναδεί. Προηγουμένως, το UNC4990 χρησιμοποιούσε το GitHub και το GitLab.

Το αρχικό στάδιο του κακόβουλου λογισμικού μεταδιδόταν από μολυσμένες μονάδες USB. Οι δίσκοι εγκατέστησαν ένα ωφέλιμο φορτίο που η Mandiant ονόμασε explorerps1. Οι μολυσμένες συσκευές έφταναν στη συνέχεια αυτόματα είτε στο κακόβουλο αρχείο κειμένου είτε αλλιώς στη διεύθυνση URL που δημοσιεύτηκε στο Ars ή στο βίντεο που αναρτήθηκε στο Vimeo. Οι συμβολοσειρές βάσης 64 στη διεύθυνση URL της εικόνας ή στην περιγραφή του βίντεο, με τη σειρά τους, προκαλούσαν το κακόβουλο λογισμικό να επικοινωνήσει με έναν ιστότοπο που φιλοξενούσε το δεύτερο στάδιο. Το δεύτερο στάδιο του κακόβουλου λογισμικού, που εντοπίζεται ως Emptyspace, πραγματοποιούσε συνεχείς επισκέψεις σε έναν διακομιστή εντολών και ελέγχου, ο οποίος, όταν του δίνονταν εντολές, κατέβαζε και εκτελούσε ένα τρίτο στάδιο.

Η Mandiant έχει παρατηρήσει την εγκατάσταση αυτού του τρίτου σταδίου μόνο σε μία περίπτωση. Αυτό το κακόβουλο λογισμικό λειτουργεί ως backdoor που οι ερευνητές εντοπίζουν ως Quietboard. Το backdoor, σε αυτή την περίπτωση, προχώρησε στην εγκατάσταση ενός cryptocurrency miner.

Πηγή : ArsTechnica