Centreon-Softwareanbieter von Sandworm APT in einer langwierigen Kampagne gehackt
Inhaltsverzeichnis:
Die französische Nationale Behörde für die Sicherheit von Informationssystemen (ANSSI) enthüllte eine dreijährige Operation, die von der APT-Gruppe Sandworm gegen bedeutende IT- und Webhosting-Anbieter in Frankreich gestartet wurde. Die ANSSI-Beratung bietet Einzelheiten darüber, dass die Kampagne 2017 begann und zu einer Reihe nachfolgender Verstöße führte, einschließlich der Kompromittierung von Centreon, einem Überwachungssoftware-Unternehmen, dessen Produkte weitgehend von französischen Regierungsinstitutionen genutzt werden.
Zusammenfassung des Centreon-Angriffs
Laut ANSSI drangen Sandworm-Hacker in die mit dem Internet verbundenen Centreon-Server ein. Obwohl die anfängliche Methode des Eindringens unbekannt bleibt, merken Forscher an, dass die Angreifer möglicherweise eine Schwachstelle in den Centreon-Produkten ausgenutzt oder Anmeldedaten für administrative Konten gestohlen haben.
Der Centreon-Verstoß diente als Eintrittspunkt für Bedrohungsakteure, die es ihnen ermöglichte, in andere französische Einrichtungen einzudringen und Hintertür-Malware in ihren Netzwerken zu platzieren. Sicherheitsexperten berichten, dass alle während der Sandworm-Kampagne kompromittierten Unternehmen das CentOS-Betriebssystem auf ihren Servern betrieben.
Obwohl die Centreon-Software den Produkten von SolarWinds Orion ähnelt, und der Sandworm-Einbruch viel gemeinsam mit dem berüchtigten SolarWinds-Lieferketten-Angriffhat, behaupten Centreon-Beamte, dass keiner seiner Benutzer während der Sandworm-Kampagne betroffen war. Alle betroffenen Organisationen verwendeten eine alte Open-Source-Version (v2.5.2) der Software, die 2016 veröffentlicht wurde und vom Anbieter nicht mehr unterstützt wird. Darüber hinaus klärt die Stellungnahme von Centreon, dass der Sicherheitsvorfall kein Lieferketten-Angriff war, da die Sandworm-Hacker nie die IT-Infrastruktur des Unternehmens nutzten, um bösartige Updates an ihre Kunden zu übermitteln.
P.A.S Webshell und Exaramel Backdoor
Die von ANSSI analysierten kompromittierten Centreon-Server zeigten die Präsenz von zwei Malware-Proben, die als P.A.S Web Shell und Exaramel Backdoor identifiziert wurden. Beide schädlichen Programme wurden von Bedrohungsakteuren für verdeckte Aufklärung verwendet.
Laut den Forschern nutzten Sandworm-Hacker die P.A.S (Fobushell) Web Shell Version 3.1.4, um ihre Opfer anzugreifen. Dieser bösartige Code wurde von einem ukrainischen Studenten entwickelt und breit von verschiedenen Bedrohungsakteuren in ihren Operationen verwendet. Zum Beispiel wurde die P.A.S Web Shell bei mehreren Angriffen gegen WordPress-Seiten eingesetzt und in der schädlichen Aktivität Russland-verbundener Hacker verwendet, die darauf ausgerichtet waren, die US-Wahlen 2016 zu stören. Die beeindruckende Funktionalität der Malware ermöglicht es Hackern, Dateien aufzulisten, zu modifizieren, zu erstellen oder hochzuladen; mit SQL-Datenbanken zu interagieren; spezifische Elemente auf dem kompromittierten Host zu suchen; eine bind shell mit einem Listening-Port zu erstellen; eine Reverse-Shell mit einer entfernten Adresse als Parameter zu erstellen; offene Ports und zur Verfügung stehende Dienste auf dem Rechner zu suchen; Brute-Force-Angriffe durchzuführen; Daten über das kompromittierte System zu sammeln und mehr.
Ein weiteres von Sandworm-Hackern genutztes schädliches Muster ist Exaramel Backdoor. Es wurde erstmals 2018 von ESET gemeldet, mit zwei existierenden Varianten identifiziert. Eine Variante ist darauf ausgelegt, Windows-Benutzer zu zielen, und die andere wird ausschließlich für Linux-Systeme verwendet. In der aktuellen bösartigen Operation verließen sich die Sandworm-Bedrohungsakteure auf die Linux-Version der Backdoor, um verdeckte Überwachung bei ihren Opfern durchzuführen. Exaramel ist ein Fernverwaltungstool, das in Go geschrieben ist. Die Malware kann über HTTPS mit dem Kommando- und Kontrollserver (C&C) der Angreifer kommunizieren und verschiedene, von ihren Betreibern gestellte Aufgaben ausführen. Insbesondere kann Exaramel sich selbst löschen, sich selbst aktualisieren, Dateien hochladen und ändern, Shell-Befehle ausführen und Berichte zusammenstellen. by ESET in 2018, with two existing variants identified. One variant is designed to target Windows users, and the other is used exclusively for Linux systems. In the current malicious operation, Sandworm threat actors relied on the Linux version of the backdoor to perform covert surveillance against their victims. Exaramel is a remote administration tool written in Go. The malware can communicate with the attackers‘ command-and-control (C&C) server via HTTPS and perform various tasks set by its operators. Specifically, Exaramel is capable of self-deleting, self-updating, uploading and modifying files, running shell commands, and compiling reports.
Spuren zu Sandworm-Hackern
Die russische, staatlich geförderte Sandworm APT-Gruppe (aka BlackEnergy, Quedagh, Voodoo Bear, Iron Viking, Telebots), die als militärische Einheit des GRU angesehen wird, ist mindestens seit 2009 aktiv. Sandworm-Bedrohungsakteure waren an vielen bedeutenden Hacker-Operationen beteiligt, die im Auftrag der Moskauer Regierung durchgeführt wurden. Beispielsweise startete Sandworm 2015-2016 eine Reihe destruktiver Cyberangriffe auf das ukrainische Stromnetz. Im Jahr 2017 stand die Gruppe hinter der epochalen NotPetya-Kampagne. Gleichzeitig initiierte Sandworm 2017 eine Reihe von Spear-Phishing-Angriffen gegen lokale Regierungsstellen, politische Parteien und Kampagnen in Frankreich, einschließlich solcher, die mit dem französischen Präsidenten Emmanuel Macron verbunden waren. Auch wurde dieser Akteur 2018 dabei beobachtet, eine Reihe von Cyberangriffen zu starten, um die Olympischen Winterspiele zu stören.
As 2018 von ESET gemeldet, mit zwei existierenden Varianten identifiziert. Eine Variante ist darauf ausgelegt, Windows-Benutzer zu zielen, und die andere wird ausschließlich für Linux-Systeme verwendet. In der aktuellen bösartigen Operation verließen sich die Sandworm-Bedrohungsakteure auf die Linux-Version der Backdoor, um verdeckte Überwachung bei ihren Opfern durchzuführen. Exaramel ist ein Fernverwaltungstool, das in Go geschrieben ist. Die Malware kann über HTTPS mit dem Kommando- und Kontrollserver (C&C) der Angreifer kommunizieren und verschiedene, von ihren Betreibern gestellte Aufgaben ausführen. Insbesondere kann Exaramel sich selbst löschen, sich selbst aktualisieren, Dateien hochladen und ändern, Shell-Befehle ausführen und Berichte zusammenstellen. Laut Costin Raiu, Direktor des Global Research and Analysis Teams (GReAT) bei Kaspersky Lab, ist Sandworm die einzige Gruppe, die die Exaramel Backdoor in ihren bösartigen Operationen einsetzt, was einen direkten Hinweis darauf gibt, dass die russische APT hinter dem Centreon-Hack steht.
Angriffserkennung
Um die bösartige Aktivität im Zusammenhang mit der Exaramel-Backdoor zu identifizieren und proaktiv darauf zu reagieren, können Sie eine dedizierte Sigma-Regel vom SOC Prime Team herunterladen:
https://tdm.socprime.com/tdm/info/eOaZhPfB6DRz/5v5Sq3cBR-lx4sDxOtA2/#rule-context
Die Regel wurde in die folgenden Plattformen übersetzt:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Taktiken: Erster Zugang
Techniken: Ausnutzung öffentlich zugänglicher Anwendungen (T1190)
Akteur: Sandworm Team
Abonnieren Sie den Threat Detection Marketplace und greifen Sie auf eine kuratierte SOC-Inhaltsbibliothek mit über 90.000 Dokumenten zu, die Regeln, Parser und Suchanfragen umfasst. Sigma- und YARA-L-Regeln lassen sich leicht in verschiedene Formate umwandeln und sind mit der MITRE ATT&CK-Matrixabgestimmt. Möchten Sie Ihre eigenen Sigma-Regeln entwickeln? Treten Sie unserem Threat Bounty Program bei und werden Sie für Ihren Beitrag belohnt!
