Hét éves sérülékenység kihasználása
A Deep Instinct Threat Lab egy célzott műveletet fedezett fel Ukrajna ellen, ami a CVE-2017-8570 sérülékenységet használja kezdeti vektorként. A CVE-2017-8570 Microsoft Office biztonsági rést, amelyet 2017-ben azonosítottak, egy rosszindulatú PPSX (PowerPoint Slideshow) fájlban használták, az amerikai hadsereg régi aknamentesítési eljárás használati utasításának álcázva került kiküldésre, megkerülve a hagyományos biztonsági intézkedéseket. A fájl egy script: előtagot használt a HTTPS URL-címe előtt, hogy elrejtse a hasznos terhelést és megnehezítse az elemzést. A Cobalt Strike loader, egy rosszindulatú, sokoldalú eszközkészlet, amelyet általában célzott támadásokhoz használnak, a támadók kifinomult megközelítésére utal. A Deep Instinct kutatása szerint a támadók aktívan kihasználják a nulladik napi exploitokat, amelyek a biztonsági szoftvergyártók számára ismeretlen sebezhetőségek. Ez különösen veszélyessé teszi őket, mivel a hagyományos védelem nem biztos, hogy képes észlelni és blokkolni őket.
A kutatók nem tudták a támadásokat egyetlen ismert fenyegetés szereplőjének tulajdonítani, és nem zárták ki a vörös csapat gyakorlatának lehetőségét. A bizonyítékok azt mutatják, hogy a mintát Ukrajnából töltötték fel, a második szakaszt egy orosz VPS-szolgáltató szolgáltatta, a Cobalt C&C jeladót pedig Varsóban, Lengyelországban regisztrálták.
A Deep Instinct Threat Lab részletesen elemezte a támadást, megosztotta a MITER alapú viselkedésmutatókat és az azonosításhoz szükséges mutatókat is.