Η Microsoft προειδοποίησε τις εταιρείες λογισμικού για να προστατεύσουν καλύτερα τις διαδικασίες του updater τους μετά την ανακάλυψη μιας πολύ “καλά προγραμματισμένης και ενορχηστρωμένης” επίθεσης που κατέστρεψε την υπηρεσία ενημερώσεων ενός λογισμικού που δεν κατονομάζει.
Όπως εξηγεί η ομάδα αντιμετώπισης απειλών της Microsoft, οι επιτιθέμενοι χρησιμοποίησαν τον μηχανισμό ενημέρωσης μιας δημοφιλής εφαρμογής για να αποκτήσουν πρόσβαση σε αρκετούς τεχνολογικούς και χρηματοοικονομικούς οργανισμούς υψηλού προφίλ. Σύμφωνα με την Microsoft και η ίδια η εταιρεία ανάπτυξης του λογισμικού ήταν υπό επίθεση.
Η εκστρατεία κατασκοπείας, που ονομάστηκε WilySupply από τη Microsoft, είναι πιθανό να έχει οικονομικά κίνητρα και στοχεύει τα updaters για να προσεγγίσει κυρίως εταιρείες χρηματοδότησης και πληρωμών.
Σε αυτή την περίπτωση, χρησιμοποίησαν το updater για να εγκαταστήσουν ένα “μη υπογεγραμμένο εκτελέσιμο αρχείο χαμηλού επιπολασμού” για να σαρώνουν το δίκτυο του θύματος εγκαθιστώντας απομακρυσμένη πρόσβαση.
Μια τέτοια επίθεση στη διαδικασία ενημέρωσης ενός αξιόπιστου λογισμικού είναι μια έξυπνη πλευρική θύρα για τους εισβολείς, καθώς οι χρήστες χρησιμοποιούν τον μηχανισμό για να λαμβάνουν έγκυρες ενημερώσεις.
Η Microsoft σημειώνει ότι η ίδια τεχνική έχει χρησιμοποιηθεί σε διάφορες επιθέσεις, όπως τις παραβιάσεις που έγιναν σε εταιρείες της Νότιας Κορέας το 2013 μέσω μιας κακόβουλης έκδοσης ενός εγκαταστάτη της SimDisk.
Οι επιτιθέμενοι φέρεται να χρησιμοποιούν δωρεάν εργαλεία ανοιχτού κώδικα, όπως το Evil Grade, το οποίο βοηθά στο exploiting ελαττωματικών εφαρμογών ενημέρωσης για την εισαγωγή ψεύτικων ενημερώσεων. Όπως σημειώνει η Microsoft, το WilySupply έκανε ακριβώς αυτό, προστατεύοντας την ταυτότητα των επιτιθέμενων.
Το άλλο εργαλείο που χρησιμοποίησαν οι επιτιθέμενοι ήταν το Meterpreter, το συστατικό της μνήμης του Metaplsoit framework.
“Το εκτελέσιμο αρχείο κατέληξε να είναι ένα κακόβουλο δυαδικό αρχείο που τρέχει PowerShell scripts με το Meterpreter reverse shell, το οποίο χορήγησε σιωπηλά απομακρυσμένο έλεγχο στον εισβολέα. Το δυαδικό (binary) εντοπίστηκε από τη Microsoft σαν “Rivit.”
“Χρησιμοποιώντας τις προβολές χρονικής γραμμής και των δέντρων επεξεργασίας στην κονσόλα ATP του Windows Defender, κατορθώσαμε να εντοπίσουμε τη διαδικασία που ήταν υπεύθυνη για τις κακόβουλες δραστηριότητες και να επισημάνουμε με ακρίβεια την εμφάνισή τους. Εντοπίσαμε αυτές τις δραστηριότητες σε έναν updater ενός λογισμικού επεξεργασίας”, αναφέρει η Microsoft.
“Η forensic εξέταση του φακέλου Temp στο μολυσμένο μηχάνημα, μας έδειξε έναν νόμιμο updater τρίτων να τρέχει ως υπηρεσία.”
Το updater κατέβασε ένα ανυπόγραφο εκτελέσιμο αρχείο χαμηλού επιπολασμού (low-prevalence) πριν παρατηρηθεί η κακόβουλη δραστηριότητα.