Аналитики по разведке угроз в Sysdig недавно написали о группе угроз под названием UNC5174, спонсируемой государством операцией Китая, которая проводит шпионские кампании против правительств, технологических компаний, исследовательских учреждений и аналитических центров в Соединенных Штатах, Канаде и Великобритании, а также неправительственных учреждениях в Азиатско-Тихоокеанском регионе.
До недавнего времени он также был известен тем, что использовал настраиваемые инструменты в своих атаках, таких как его запатентованный загрузчик Snowlight Linux, для получения первоначального доступа к системам целей и выполнения его сложных кибер-операций.
Тем не менее, UNC5174 недавно начал добавлять инструменты с открытым исходным кодом в свой пакет уловок, такие как использование SuperShell в качестве обратной оболочки в прошлом году. В своем отчете исследователи Sysdig отметили, что актер угрозы использует еще один инструмент с открытым исходным кодом, Vshell в продолжающейся кампании, которая началась в конце января. Они использовали его в сочетании со Snowlight и Websockets и скрывали его, обернув его в другие вредоносные программы, чтобы затруднить обнаружение, написали они.
UNC5174 является примером более крупной тенденции спонсируемой государством и других передовых киберпреступных бандов, обращающихся к решениям с открытым исходным кодом в своих арсеналах, часто вооружающих законные предложения наступления кибербезопасности, чтобы снизить стоимость их операций и лучшего смешения с «сценариями»-менее обеспеченных участников-что дает им больше шансов, чтобы они не располагали угрозами.
И это сработало, по словам Алессандры Риццо, инженера по обнаружению угроз для Sysdig.
«Похоже, что это особенно верно для этого конкретного актера угроз, который находится под радаром в течение прошлого года после того, как он был связан с китайским правительством», — написал Риццо в отчете.
Принятие открытого исходного кода
Sysdig назвал эту тенденцию в своей глобальной угрозе в 2024 году, отмечая «вооружение множественных инструментов с открытым исходным кодом в этом году, в частности, SSH-SSNAKE, что облегчило кражу полномочий и расширенные атаки в сша, Китай и за его пределами. реквизиты для входа.»
«В течение последних двух с лишним лет… мы видели, как актеры угроз используют инструменты с открытым исходным кодом, потому что они легко доступны, они бесплатны, их легко получить доступ и легко загрузить»,-сказал Кристал Морин, стратег кибербезопасности в Sysdig, новая стека.
Риццо добавил, что хакеры «все чаще используют инструменты с открытым исходным кодом в своих арсеналах для экономической эффективности и запутывания, чтобы сэкономить деньги и, в данном случае, правдоподобно смешиваться с пулом не государственных и часто менее технических противников… тем самым усложняет атрибуцию».
От эксплуатации до оружия
Плохие актеры в течение нескольких лет обратились к программному обеспечению с открытым исходным кодом в качестве атаки Avenue to Software Support Chaine, ища уязвимости для использования, например, с Log4J и XZ UTILS, и способы внедрить вредоносной код в цепочку поставок через популярные хранилища кода.
Это часть того, что Ибрагим Хаддад называет «обоюдованным мечом», который является прозрачностью программного обеспечения с открытым исходным кодом.
«С одной стороны, открытый характер развития и общественная доступность исходного кода означает, что уязвимости видны для всех, включая потенциальных злонамеренных субъектов», — пишет Хаддад, который до января был вице -президентом по стратегическим программам в Фонде Linux, прежде чем стать руководителем информационно -разьяны в Volvo Cars. «И наоборот, эта прозрачность и доступность позволяют использовать разнообразные эксперты из разных организаций, опыта и областей опыта для выявления и совместной решения проблем быстрее, чем любой отдельный человек или организация мог бы достичь в одиночку».
Перепрофилирование инструментов
Этот интерес к программному обеспечению с открытым исходным кодом теперь также сосредоточен на использовании законных инструментов в качестве оружия. Французское национальное агентство по информационным системам безопасности (ANSSI) отметило его в своем отчете об обзоре киберугрог во французском языке, опубликованном в марте.
«Поиск недорогих скрытности и эффективности побуждает злонамеренных участников благоприятствовать коммерческим инструментам с открытым исходным кодом или« жить за пределами земли »(LOTL)»,-пишет организация. «Например, по общему мнению китайские наборы вторжения, в частности, используются законные прокси -инструменты Socks5 и мягкий VPN».
Морин и Риццо из Sysdig указали на тенденцию плохих участников перепрофилировать инструменты, которые предназначены для того, чтобы помочь защите интеллекта угроз от нападений против организаций. Cobalt Strike — это коммерческий инструмент, используемый для моделирования атак, чтобы разоблачить пробелы в области безопасности организаций и закрыть их. Это стал любимым инструментом актеров угроз, который использует его сами, чтобы вывести такие дыры в области безопасности в целях.
SSH-SNAKE и VSHELL
Это продолжает распространяться в мир с открытым исходным кодом с таким программным обеспечением, как SSH-SS-Nake-инструмент безопасности и картирования сети, выпущенный на GitHub в январе 2024 года, который использовался в атаках Crystalray-и теперь Vshell, который писал Риццо, имеет репутацию на подземных форумах, поскольку «еще лучше», чем широко известная рамка кобальтового удара ».
«Эти инструменты создаются не злыми, злыми людьми», — сказал Сисдиг Морин. «Они разрабатывают разработчики, люди, которые работают с нами в отрасли… это те типы людей, которые разрабатывают эти инструменты, такие как Vshell, и делают это, чтобы поделиться ими с сообществом для Red Teaming Operation [and] неправильные конфигурации, чтобы вы могли улучшить защиту своей организации ».
В конце прошлого года фирма кибербезопасности отметила, что SSH-SSNAKE начинался как законное инструмент для тестировщиков проникновения и системных администраторов, но «теперь предпочтительнее субъекта угроз, которые уже используют известные уязвимости, особенно в слиянии и Apache Active MQ Systems, чтобы получить доступ и развернуть вредоносность».
Выключите, но все еще циркулируют
Риццо отметила, как быстро плохие актеры перепрофилировали такие инструменты для своих собственных гнусных целей, сказав, что «для SSH Snake потребовалось всего месяц, чтобы злоумышленники начали использовать его злонамеренно, и это явно не намерение разработчиков. Это то же самое с Vshell. Первый выпущен в качестве тестирования проникновения, и из -за того, что он начался вскоре после того, как его выпустили. [from] Интернет.»
Он все еще распространяется в подземных каналах, особенно среди китайских групп угроз, в потрескавшейся версии, сказала она, добавив, что «это больше не доступно, но если есть намерение использовать его, люди найдут его и перераспределит его».
Морин сказал, что это часть ситуации с кошкой и мыши, которая является кибербезопасностью. Плохие участники разрабатывают новые инструменты или методы, защищают, а затем хакеры адаптируются к ответу. Это, вероятно, будет продолжаться таким образом. Тем не менее, она предположила, что разработчики и эксперты по безопасности могут тесно сотрудничать в надежде остаться впереди киберпреступников.
«Одна из вещей, которые мы могли бы сделать: спросить разработчиков инструментов, чтобы помочь нам защитить от этого», — сказала она. «Они знают эти инструменты, которые они развиваются лучше, чем кто-либо еще.… Они могут быть теми, кто поможет написать аналитику обнаружения, чтобы обнаружить эту деятельность или защищать от нее, а не быть кем-то вроде исследовательской группы угроз Sysdig, который находит эти атаки посмертным и приходится поделиться этим и делиться с сообществом».
Посмотрите на исходный код
Риццо сказал, что наличие большей документации всегда полезно, но напомнило, что если инструмент с открытым исходным кодом свободно доступен, можно рассмотреть исходный код.
«В большинстве случаев этого достаточно, чтобы посмотреть на то, что он делает, глядя на код, запустив его, — сказала она. — Вы можете увидеть поведенчески, что он делает. В большинстве случаев этого достаточно ».
С Vshell исследователи Sysdig видели подозрительные манипуляции с большими объемами памяти, что также является необычным поведением для безливых программ. Для Риццо было достаточно, чтобы просмотреть и запустить исходный код, учитывая ее опыт.
Тем не менее, «я не уверен, как это переводится… для менее технической аудитории для этих инструментов, поэтому было бы более полезно иметь больше документации. Например, для vshell их не было.
Игра продолжается
Морин сказал, что игра с кошкой и мыши не остановится. Программное обеспечение с открытым исходным кодом становится все более важным для организаций и частных лиц и жестко укоренилось в ИТ и потребительских технологиях. Это никуда не денется.
«Лучший способ оставаться на вершине этих вещей — потому что я бы никогда не сказал, чтобы прекратить использование программного обеспечения с открытым исходным кодом или для разработчиков, чтобы перестать создавать эти инструменты, потому что они настолько ценны для остальных из нас — просто обратить внимание на интеллект угроз, к таким отчетам, как это, [and] Поймите, что используют актеры угроз, — сказала она. — Если вы в операциях по безопасности хорошо знаете свою среду, и вы видите используемый инструмент, который обычно не в вашей среде, то это то, на что вы должны пойти и взглянуть ».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джеффри Берт был журналистом более трех десятилетий, последние 20 с лишним лет охватывали технологии. В течение более 16 лет в Eweek и за годы, как в качестве независимого технического журналиста, он рассмотрел все из данных … Подробнее от Джеффри Берта
