Een recent ontdekte hackgroep, genaamd UNC1945, blijkt gebruik te maken van een voorheen onbekende zero-day-kwetsbaarheid tegen Solaris OS-computers.
Het besturingssysteem van Oracle wordt voornamelijk gebruikt door grote bedrijven in complexe bedrijfsopstellingen. Echter, Door deze zero-day bug konden de criminelen binnendringen in interne netwerken. Alle beschikbare informatie wordt bijgehouden in het CVE-2020-14871-advies en gecontroleerd door de beveiligingsgemeenschap.
UNC1945 Hacking Group gaat tegen Solaris-systemen met zero-day bug bijgehouden in CVE-2020-14871
Het Solaris-besturingssysteem is een bedrijfsservice die meestal wordt ingezet in complexe bedrijfsnetwerken. Het is gebaseerd op een traditionele UNIX-achtige structuur en kan als zodanig voor verschillende doeleinden worden gebruikt: complexe berekeningen uitvoeren, netwerkinstellingen beheren, of het verstrekken van gegevens.
De hackgroep die bekend staat als UNC1945 blijkt verschillende soorten aanvallen te gebruiken tegen Solaris-servers die zich achter bedrijfsnetwerken bevinden. Op dit moment is er niet veel bekend over de hackers, behalve het feit dat ze erin geslaagd zijn gebruik te maken van een voorheen onbekende kwetsbaarheid, aangeduid als een zero-day bug. Het beveiligingsrapport dat deze gevaarlijke inbreuk aangeeft, is afkomstig van het onderzoeksteam van Mandiant. Aanvallen tegen vergelijkbare omgevingen nemen toe. Dat hebben we onlangs gemeld hackgroepen hebben zich gericht op Synology-apparaten. Hun besturingssysteem is een afgeleide van een Linux-distributie.
Het inbraakpunt is het omzeilen van de authenticatieprocedure die door het besturingssysteem wordt gebruikt, de fout werd ontdekt door de criminelen en heeft hen in staat gesteld een achterdeurmodule te installeren met de naam SLAPSTICK in de systemen. Het wordt automatisch geactiveerd nadat de infectie is begonnen, en het zal zijn eigen acties uitvoeren. De beoogde computers waren computers die zijn blootgesteld aan het bredere internet.
Echter, in plaats van door te gaan met het binnendringen zoals de meeste andere bedreigingen van deze categorie, de hackers hebben de malware opgedragen op een andere en veel schadelijkere manier verder te gaan.
UNC1945 Hackers gebruiken gecompliceerde infectietechnieken tegen de Solaris-hosts
In plaats van door te gaan met de infecties door gebruik te maken van de SLAPSTICK-achterdeur bij het creëren van een permanente verbinding met de door hackers gecontroleerde server, de hackers hebben ervoor gekozen om een andere weg in te slaan. De hackersgroepen lijken zich te richten op spraakmakende doelen, omdat ze een zeer complex hebben gecreëerd security bypass procedure dat is ontworpen om de beschermende maatregelen van het systeem en door de gebruiker geïnstalleerde programma's te overwinnen: anti-malware scans, firewalls, en inbraakdetectiesystemen. Om detectie te vermijden, de kwaadaardige reeks zal een QEMU virtuele machinehost downloaden en installeren. In het, er wordt een door een hacker gemaakt image van een Linux-distributie uitgevoerd.
Deze virtuele machine zal toegankelijk zijn voor de criminelen en aangezien deze vooraf door hen is geconfigureerd, het zal ze toelaten om alles in hulpprogramma's uit te voeren. De analyse ontdekte dat ze vol zitten met netwerkscanners, programma's voor het kraken van wachtwoorden, en andere exploits. De virtuele machine wordt blootgesteld aan het hostsysteem en stelt de hackers in staat om er commando's tegen uit te voeren, evenals andere computers die beschikbaar zijn op het interne netwerk. De gevaarlijke factor is dat de aanvallen tegen allerlei besturingssystemen kunnen zijn, inclusief Microsoft Windows en andere UNIX-systemen.
Mogelijke gevolgen van de inbraak zijn onder meer de volgende kwaadaardige acties:
- Logboeken verwijderd — Er wordt een speciaal malwareprogramma gebruikt om de logboeken van de virusacties te verwijderen.
- Laterale brute kracht — Vanaf de geïnstalleerde virtuele machine kunnen de hackers verder gaan “kraken” andere computers op het interne netwerk met behulp van de geïmplementeerde tools.
- Access-bestanden — Alle door de malware toegankelijke gegevens kunnen door de hackers worden gestolen.
- Controle — De hackers kunnen de controle over de hosts overnemen en de gebruikers direct bespioneren.
Op dit moment wordt aangenomen dat UNC1945-hackers de exploit hebben gekocht van een hacker op een ondergrondse marktplaats. De tool die de hackers gebruikten (EVILSUN) is waarschijnlijk afkomstig van deze plaatsen, het stelde de criminelen in staat de exploitatie uit te voeren en de achterdeur te planten.
Natuurlijk, na nieuws over deze malwareactiviteit, Oracle heeft het probleem in oktober hersteld 2020 beveiligingsupdates bulletin. Op dit moment is er geen informatie over het aantal geïnfecteerde hosts. Alle Solaris-beheerders worden aangespoord om de nieuwste updates toe te passen om te voorkomen dat hackers de exploits op hun systemen proberen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: