Weniger als zwei Vor Wochen veröffentlichten die United States Cybersecurity & Infrastructure Security Agency und das FBI a gemeinsame Beratung über die Bedrohung durch Ransomware-Angriffe einer Bande, die sich „Kuba“ nennt. Die Gruppe, von der Forscher glauben, dass sie tatsächlich in Russland ansässig ist, war am Rande im Laufe des letzten Jahres richtet sich an eine wachsende Zahl von Unternehmen und anderen Institutionen in den USA und im Ausland. Neue Forschung Das heute veröffentlichte Dokument weist darauf hin, dass Kuba bei seinen Angriffen Malware verwendet hat, die von Microsoft zertifiziert oder mit einem Gütesiegel versehen wurde.
Kuba verwendete diese kryptografisch signierten „Treiber“, nachdem es die Systeme eines Ziels kompromittiert hatte, als Teil der Bemühungen, Sicherheitsscan-Tools zu deaktivieren und Einstellungen zu ändern. Die Aktivität sollte unter dem Radar fliegen, wurde aber von Überwachungstools der Sicherheitsfirma Sophos gemeldet. Forscher der Palo Alto Networks Unit 42 haben zuvor beobachtet, wie Kuba eine privilegierte Software namens „Kernel-Treiber“ mit einem NVIDIA-Zertifikat signierte, das Anfang dieses Jahres von der Hacking-Gruppe Lapsus$ durchgesickert war. Und Sophos sagt, es habe auch gesehen, wie die Gruppe die Strategie mit kompromittierten Zertifikaten von mindestens einem anderen chinesischen Technologieunternehmen anwandte, das die Sicherheitsfirma Mandiant als Zhuhai Liancheng Technology Co. identifizierte.
„Microsoft wurde kürzlich darüber informiert, dass Treiber, die von Microsofts Windows Hardware Developer Program zertifiziert wurden, böswillig in Post-Exploitation-Aktivitäten verwendet wurden“, sagte das Unternehmen in a Sicherheitsberatung heute. „Mehrere Entwicklerkonten für das Microsoft Partner Center waren damit beschäftigt, bösartige Treiber einzureichen, um eine Microsoft-Signatur zu erhalten … Die signierten bösartigen Treiber wurden wahrscheinlich verwendet, um Eingriffsaktivitäten nach der Ausbeutung wie die Bereitstellung von Ransomware zu erleichtern.“
Sophos hat Microsoft am 19. Oktober zusammen mit Microsoft über die Aktivität informiert Mandiant und Sicherheitsfirma SentinelOne. Microsoft sagt, dass es die missbrauchten Partner Center-Konten gesperrt, die Rogue-Zertifikate widerrufen und Sicherheitsupdates für Windows im Zusammenhang mit der Situation veröffentlicht hat. Das Unternehmen fügt hinzu, dass es über den Missbrauch von Partnerkonten hinaus keine Kompromittierung seiner Systeme festgestellt hat.
Microsoft lehnte die Anfrage von WIRED ab, sich über die Empfehlung hinaus zu äußern.
„Diese Angreifer, höchstwahrscheinlich Partner der Cuba-Ransomware-Gruppe, wissen, was sie tun – und sie sind hartnäckig“, sagt Christopher Budd, Director of Threat Research bei Sophos. „Wir haben insgesamt 10 bösartige Treiber gefunden, alle Varianten der ursprünglichen Entdeckung. Diese Treiber zeigen eine konzertierte Anstrengung, um in der Vertrauenskette nach oben zu rücken, beginnend mindestens im vergangenen Juli. Einen bösartigen Treiber von Grund auf neu zu erstellen und ihn von einer legitimen Autorität signieren zu lassen, ist schwierig. Es ist jedoch unglaublich effektiv, denn der Fahrer kann im Grunde alle Vorgänge ohne Rückfrage durchführen.“
Das Signieren kryptografischer Software ist ein wichtiger Validierungsmechanismus, der sicherstellen soll, dass die Software von einer vertrauenswürdigen Partei oder „Zertifizierungsstelle“ überprüft und gesalbt wurde. Angreifer suchen jedoch immer nach Schwachstellen in dieser Infrastruktur, wo sie Zertifikate kompromittieren oder den Signaturprozess anderweitig untergraben und missbrauchen können, um ihre Malware zu legitimieren.
„Mandiant hat zuvor Szenarien beobachtet, in denen der Verdacht besteht, dass Gruppen einen gemeinsamen kriminellen Dienst zum Signieren von Codes nutzen“, so das Unternehmen schrieb in einem Bericht heute veröffentlicht. „Die Verwendung gestohlener oder in betrügerischer Weise erlangter Code-Signing-Zertifikate durch Bedrohungsakteure ist eine gängige Taktik, und die Bereitstellung dieser Zertifikate oder Signierungsdienste hat sich als lukrative Nische in der Schattenwirtschaft erwiesen.“
Anfang dieses Monats veröffentlichte Google Ergebnisse, wonach eine Reihe von kompromittierten „Plattformzertifikaten“, die von Android-Geräteherstellern wie Samsung und LG verwaltet wurden, verwendet wurden, um bösartige Android-Apps zu signieren, die über Kanäle von Drittanbietern vertrieben wurden. Es erscheint das zumindest etwas der kompromittierten Zertifikate wurden verwendet, um Komponenten des Fernzugriffstools Manuscrypt zu signieren. Das FBI und CISA haben zuvor zugeschrieben Aktivitäten im Zusammenhang mit der Manuscrypt-Malware-Familie an staatlich unterstützte nordkoreanische Hacker, die auf Kryptowährungsplattformen und -börsen abzielen.
„Im Jahr 2022 haben wir gesehen, wie Ransomware-Angreifer zunehmend versuchen, Endpoint Detection and Response-Produkte vieler, wenn nicht sogar der meisten großen Anbieter zu umgehen“, sagt Budd von Sophos. „Die Sicherheitsgemeinschaft muss sich dieser Bedrohung bewusst sein, damit sie zusätzliche Sicherheitsmaßnahmen implementieren kann. Darüber hinaus sehen wir möglicherweise, dass andere Angreifer versuchen, diese Art von Angriff nachzuahmen.“
Bei so vielen herumfliegenden kompromittierten Zertifikaten scheint es, dass viele Angreifer bereits das Memo erhalten haben, dass sie auf diese Strategie umsteigen.