Η εκστρατεία κατασκοπείας, που ονομάστηκε WilySupply από τη Microsoft, είναι πιθανό να έχει οικονομικά κίνητρα και στοχεύει τα updaters για να προσεγγίσει κυρίως εταιρείες χρηματοδότησης και πληρωμών.

Σε αυτή την περίπτωση, χρησιμοποίησαν το updater για να εγκαταστήσουν ένα “μη υπογεγραμμένο εκτελέσιμο αρχείο χαμηλού επιπολασμού” για να σαρώνουν το δίκτυο του θύματος εγκαθιστώντας απομακρυσμένη πρόσβαση.

Μια τέτοια επίθεση στη διαδικασία ενημέρωσης ενός αξιόπιστου λογισμικού είναι μια έξυπνη πλευρική θύρα για τους εισβολείς, καθώς οι χρήστες χρησιμοποιούν τον μηχανισμό για να λαμβάνουν έγκυρες ενημερώσεις.

Η Microsoft σημειώνει ότι η ίδια τεχνική έχει χρησιμοποιηθεί σε διάφορες επιθέσεις, όπως τις παραβιάσεις που έγιναν σε εταιρείες της Νότιας Κορέας το 2013 μέσω μιας κακόβουλης έκδοσης ενός εγκαταστάτη της SimDisk.

Οι επιτιθέμενοι φέρεται να χρησιμοποιούν δωρεάν εργαλεία ανοιχτού κώδικα, όπως το Evil Grade, το οποίο βοηθά στο exploiting ελαττωματικών εφαρμογών ενημέρωσης για την εισαγωγή ψεύτικων ενημερώσεων. Όπως σημειώνει η Microsoft, το WilySupply έκανε ακριβώς αυτό, προστατεύοντας την ταυτότητα των επιτιθέμενων.

Το άλλο εργαλείο που χρησιμοποίησαν οι επιτιθέμενοι ήταν το Meterpreter, το συστατικό της μνήμης του Metaplsoit framework.



Το εκτελέσιμο αρχείο κατέληξε να είναι ένα κακόβουλο δυαδικό αρχείο που τρέχει PowerShell scripts με το Meterpreter reverse shell, το οποίο χορήγησε σιωπηλά απομακρυσμένο έλεγχο στον εισβολέα. Το δυαδικό (binary) εντοπίστηκε από τη Microsoft σαν “Rivit.”

“Χρησιμοποιώντας τις προβολές χρονικής γραμμής και των δέντρων επεξεργασίας στην κονσόλα ATP του Windows Defender, κατορθώσαμε να εντοπίσουμε τη διαδικασία που ήταν υπεύθυνη για τις κακόβουλες δραστηριότητες και να επισημάνουμε με ακρίβεια την εμφάνισή τους. Εντοπίσαμε αυτές τις δραστηριότητες σε έναν updater ενός λογισμικού επεξεργασίας”, αναφέρει η Microsoft.

“Η forensic εξέταση του φακέλου Temp στο μολυσμένο μηχάνημα, μας έδειξε έναν νόμιμο updater τρίτων να τρέχει ως υπηρεσία.”

Το updater κατέβασε ένα ανυπόγραφο εκτελέσιμο αρχείο χαμηλού επιπολασμού (low-prevalence) πριν παρατηρηθεί η κακόβουλη δραστηριότητα.

secnews.gr
 
Top