Storm-0978 Angriffe Erkennung: Russlandbezogene Hacker nutzen CVE-2023-36884 aus, um eine Hintertür zu verbreiten und Verteidigungs- und öffentliche Sektororganisationen anzugreifen
Inhaltsverzeichnis:
Cybersecurity-Forscher haben eine neue offensive Operation aufgedeckt, die von der russland-unterstützten Gruppe Storm-0978 alias DEV-0978 gestartet wurde, die auch als RomCom verfolgt wird, basierend auf dem Namen des verruchten Backdoors, mit dem sie in Verbindung gebracht werden.. In dieser Kampagne zielen Hacker auf Verteidigungsorganisationen und öffentliche Behörden in Europa und Nordamerika ab, indem sie den Phishing-Angriffsvektor nutzen, indem sie eine RCE-Schwachstelle CVE-2023-36884 und die mit dem ukrainischen Weltkongress verbundenen Köder ausnutzen.
Erkennung von Storm-0978-Angriffen
Mit dem wachsenden Volumen an bösartigen Operationen, die der von Russland unterstützten Hackergruppe Storm-0978 zugeschrieben werden, die für eine Reihe von Angriffen auf die Ukraine und ihre Verbündeten bekannt ist, suchen Verteidiger nach Möglichkeiten, ihre Cyber-Resilienz zu stärken. Um Organisationen dabei zu helfen, die neueste Phishing-Kampagne im Zusammenhang mit dem Missbrauch der Schwachstelle CVE-2023-36884 zu erkennen, kuratiert das SOC Prime-Team eine relevante Sigma-Regel, die über einen Link unten verfügbar ist:
Verdächtiger MSOffice Child Process (via cmdline)
Diese Sigma-Regel ist auf über 20 SIEM-, EDR-, XDR- und Data-Lake-Lösungen zugeschnitten und auf MITRE ATT&CK abgebildet, um die Taktiken Initial Access und Execution sowie relevante Phishing- (T1566) und Exploitation for Client Execution- (T1203) Techniken zu adressieren.
Um die umfassende Liste der Sigma-Regeln zur Erkennung von Storm-0978-Angriffen zu erhalten, klicken Sie auf die Erkennung erkunden Schaltfläche unten. Für die vereinfachte Suche nach Erkennungsinhalten sind alle relevanten Sigma-Regeln nach den benutzerdefinierten Tags „Storm-0978“ oder „DEV-0978“ gefiltert. Erhalten Sie Einblicke in den tiefgreifenden Cyber-Bedrohungskontext hinter den Angriffen der Gruppe, prüfen Sie unsere CTI- und ATT&CK-Referenzen, erkunden Sie Abhilfemaßnahmen und tauchen Sie in mehr umsetzbare Metadaten ein, um Ihre Bedrohungsrecherche zu beschleunigen.
Cyber-Verteidiger können auch den gesamten Sigma-Regelstapel zur RomCom-Erkennung erreichen, um proaktiv gegen bestehende und aufkommende Bedrohungen zu verteidigen, die mit dieser Malware in Verbindung stehen und den Verantwortlichen für deren Verbreitung zugeschrieben werden.
Analyse der Storm-0978-Angriffe: Cyber-Spionage und Ransomware-Aktivität
Das Microsoft-Forschungsteam hat eine neue Phishing-Kampagne der Storm-0978-Gruppe alias DEV-0978 aufgedeckt, die auf Verteidigungsorganisationen und öffentliche Sektor-Einrichtungen abzielt. Bedrohungsakteure missbrauchen den CVE-2023-36884 Zero-Day, der in freier Wildbahn ausgenutzt wird, die RCE-Schwachstelle in Microsoft Windows und Office mit einem CVSS-Score von 8,3, die in Microsofts Patch vom Juli 2023 hinzugefügt wurde. In der neuesten Kampagne des Gegners nutzen Angreifer Köder, die mit dem ukrainischen Weltkongress verbunden sind.
Storm-0978 ist eine russland-verbundene Gruppe, die mehrere Ransomware-Operationen und bösartige Kampagnen gestartet hat, die auf das Sammeln von Informationen und den Diebstahl sensibler Daten abzielen. Das Hacking-Kollektiv ist auch als Entwickler und Vertreiber des RomCom-Backdoors bekannt. Im Herbst 2022 waren auch ukrainische Staatsorgane das Ziel. RomCom-Malware -Infektionen aufgrund einer gezielten Phishing-Kampagne, die von CERT-UA gemeldet wurde. DEV-0978 wird auch als RomCom verfolgt, basierend auf den entsprechenden bösartigen Stämmen, die sie hinter sich haben. In der neuesten Sommer’23-Kampagne führt die Ausnutzung von CVE-2023-36884 zur Verbreitung eines Backdoors, das RomCom ähnelt.
Die Aktivitäten von Storm-0978 zeigen hauptsächlich finanzielle und cyber-spionagebezogene Motive hinter ihren offensiven Operationen, wobei verschiedene Industriezweige als primäre Ziele genutzt werden. Bei den spionagebezogenen Kampagnen werden Storm-0978-Bedrohungsakteure beobachtet, die auf staatliche Stellen und militärische Organisationen in der Ukraine sowie deren Verbündete abzielen, indem sie den Phishing-Angriffsvektor missbrauchen und politisch bezogene Themen als Köder ausnutzen. Während sich die Ransomware-Aktivität von Storm-0978 hauptsächlich auf den Telekommunikationssektor und Finanzinstitute konzentriert.
Was die von Gegnern verwendeten TTPs bei Angriffen betrifft, so nutzt die Gruppe trojanisierte Versionen legitimer Software, um RomCom-Malware bereitzustellen, und registriert bösartige Domains, die als legitime Dienstprogramme getarnt sind.
RomCom-Betreiber haben seit der zweiten Jahreshälfte 2022 eine Reihe von Cyber-Spionage-Operationen gestartet. Neben der jüngsten Juni-Kampagne zur Waffenlagerung von CVE-2023-36884 waren Storm-0978-Akteure auch für eine Welle von Phishing-Angriffen gegen ukrainische Beamte verantwortlich,die speziell auf DELTA-Systembenutzer abzielte und FateGrab/StealDeal Malware Anfang 2022 verbreitete. Eine weitere Kampagne von Gegnern fand Mitte Herbst 2022 statt, bei der die Gruppe betrügerische Installationswebsites erstellte, die auf ukrainische Militär- und öffentliche Sektororganisationen abzielten und RomCom verbreiteten, um Benutzeranmeldeinformationen zu gewinnen.
Microsoft hat eine Liste empfohlener Abhilfemaßnahmen herausgegeben, um Organisationen bei der Behebung der Bedrohung im Zusammenhang mit den Ausbeutungsversuchen der CVE-2023-36884 zu unterstützen. Unternehmen, die Microsoft Defender für Office nutzen, sind nicht betroffen, jedoch könnten andere Kunden den Risiken potenzieller Angriffe ausgesetzt sein. Die Nutzung der Regel zur Reduzierung der Angriffsfläche, die verhindert, dass alle Office-Anwendungen untergeordnete Prozesse generieren, wird die Ausnutzungsversuche von Gegnern behindern. Ein weiterer Abhilfeschritt, der angewendet werden kann, besteht darin, den FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION-Registrierungsschlüssel zu konfigurieren.
Erkunden Sie die SOC Prime Plattform zur kollektiven Cyber-Verteidigung um das weltweit größte Repository von Sigma-Regeln zu besuchen und Ihr Team mit Uncoder AI und Attack Detective auszustatten, um Ihre Erkennungs-Engineering-Verfahren schneller und einfacher zu gestalten, blinde Flecken in Ihrer Infrastruktur rechtzeitig zu identifizieren und Ihre Jagdoperationen für eine kugelsichere Cyber-Sicherheitsstrategie zu priorisieren.
