أطلق التهديد الروسي المستمر المتقدم (APT) حملة هجوم PowerShell المستهدفة ضد الجيش الأوكراني.
من المرجح أن يكون الهجوم من نفذه الجهات الفاعلة التهديد الخبيثة المتعلقة بـ Shuckwormوهي مجموعة لها تاريخ من الحملات ضد أوكرانيا، بدافع من المصالح الجيوسياسية والتجسس والتعطيل.
تستخدم الحملة الخبيثة، التي تتبعها Securonix تحت اسم STEADY#URSA، بابًا خلفيًا قائمًا على SUBTLE-PAWS PowerShell تم اكتشافه حديثًا للتسلل إلى الأنظمة المستهدفة واختراقها.
يسمح هذا النوع من الأبواب الخلفية للجهات الفاعلة في مجال التهديد بالحصول على وصول غير مصرح به وتنفيذ الأوامر والحفاظ على الثبات داخل الأنظمة المخترقة.
تتضمن منهجية الهجوم توزيع حمولة ضارة من خلال ملفات مضغوطة يتم تسليمها عبر رسائل البريد الإلكتروني التصيدية.
ويتم التوزيع والحركة الجانبية للبرامج الضارة من خلال محركات أقراص USB، وبالتالي إزالة الحاجة إلى الوصول إلى الشبكة مباشرة.
وأشار التقرير إلى أن هذا النوع من النهج سيكون صعبًا بسبب الاتصالات الجوية في أوكرانيا مثل ستارلينك.
تُظهر الحملة أوجه تشابه مع البرنامج الضار Shuckworm، وتتضمن تكتيكات وتقنيات وإجراءات مميزة (TTPs). لوحظ في الحملات السيبرانية السابقة ضد الجيش الأوكراني.
يوضح أوليغ كوليسنيكوف، نائب رئيس أبحاث التهديدات وعلوم البيانات/الذكاء الاصطناعي في Securonix، أن SUBTLE-PAWS تميز نفسها من خلال اعتمادها "الحصري إلى حد ما" على أجهزة تشغيل خارج القرص/PowerShell للتنفيذ، وتجنب الحمولات الثنائية التقليدية. كما أنها تستخدم طبقات إضافية من تقنيات التشويش والتهرب.
ويقول: "بما في ذلك التشفير، وتقسيم الأوامر، والاستمرارية المستندة إلى التسجيل لتجنب الكشف من بين أشياء أخرى".
فهو ينشئ القيادة والتحكم (C2) من خلال التواصل عبر Telegram مع خادم بعيد، باستخدام أساليب تكيفية مثل استعلامات DNS وطلبات HTTP مع عناوين IP المخزنة ديناميكيًا.
تستخدم البرامج الضارة أيضًا إجراءات خفية مثل تشفير Base64 وXOR، وتقنيات التوزيع العشوائي، وحساسية البيئة لتعزيز طبيعتها المراوغة.
ينفذ الكيان المستهدف ملف اختصار ضار (.lnk)، ويبدأ تحميل وتنفيذ رمز حمولة PowerShell الخلفي الجديد.
تم تضمين الباب الخلفي SUBTLE-PAWS في ملف آخر موجود في نفس الأرشيف المضغوط.
يقول كوليسنيكوف إن الإجراءات الاستباقية المحتملة يمكن أن تشمل تنفيذ برامج تثقيف المستخدم للتعرف على الاستغلال المحتمل عبر البريد الإلكتروني، وزيادة الوعي حول استخدام حمولات .lnk الضارة على محركات الأقراص الخارجية للانتشار في البيئات المقسمة والمتباعدة، وفرض سياسات صارمة وإلغاء ضغط ملفات المستخدم للتخفيف من المخاطر.
ويقول: "لتعزيز أمان محرك أقراص USB، يجب على المؤسسات تنفيذ سياسات التحكم في الجهاز لتقييد الاستخدام غير المصرح به لـ USB وفحص الوسائط القابلة للإزالة بانتظام بحثًا عن البرامج الضارة باستخدام حلول أمان نقطة النهاية المتقدمة".
لتعزيز تغطية اكتشاف السجل، نصحت Securonix بنشر تسجيل إضافي على مستوى العملية، مثل تسجيل Sysmon وPowerShell.
يقول كوليسنيكوف: "يجب على المؤسسات أيضًا فرض سياسات صارمة بشأن القائمة البيضاء للتطبيقات [و] تنفيذ تصفية محسنة للبريد الإلكتروني، ومراقبة النظام المناسبة، وحلول الكشف عن نقاط النهاية والاستجابة لها لمراقبة الأنشطة المشبوهة وحظرها".
التهديدات السيبرانية والجهات الفاعلة الحكومية
لقد تم شن الحرب البرية المستمرة في أوكرانيا في المجال الرقمي أيضًا، مع شركة Kyivstar، أكبر مشغل للاتصالات المتنقلة في أوكرانيا، تعرض لهجوم إلكتروني في ديسمبر التي قضت على خدمة الهاتف المحمول لأكثر من نصف سكان أوكرانيا.
وفي يونيو 2023، أصدرت مايكروسوفت تفاصيل عن التهديدات المستمرة المتقدمة الروسية كاديت بليزارديُعتقد أنه مسؤول عن البرامج الضارة التي تم نشرها خلال الأسابيع التي سبقت الغزو الروسي لأوكرانيا.
هجمات الأمن السيبراني التي شنتها مجموعات القرصنة الروسية - بما في ذلك مجموعة التهديد Joker DPR، التي يُعتقد أنها مرتبطة بالدولة - زعمت أيضًا أنها انتهكت نظام إدارة ساحة المعركة التابع للجيش الأوكراني DELTA. الكشف عن تحركات القوات في الوقت الحقيقي.
وبعيداً عن الصراع في أوروبا الشرقية، فإن مجموعات التهديد في إيران, سورياو لبنان إظهار التهديد الذي تشكله الهجمات السيبرانية في الصراعات في جميع أنحاء الشرق الأوسط. ويشير التعقيد المتزايد لهذه التهديدات إلى وجود جهات خبيثة مدعومة من الدولة تحديث البرمجيات الخبيثة الخاصة بهم التقنيات، ومجموعات التهديد المتعددة هي يتحدون معا لشن هجمات أكثر تعقيدا.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack
- :لديها
- :يكون
- $ UP
- 2023
- 7
- a
- الوصول
- في
- نشاط
- الجهات الفاعلة
- على التكيف
- إضافي
- عناوين
- متقدم
- نصح
- ضد
- يسمح
- أيضا
- من بين
- و
- آخر
- تطبيق
- نهج
- APT
- أرشيف
- هي
- حول
- AS
- مهاجمة
- الهجمات
- تجنب
- وعي
- الباب الخلفي
- ساحة المعركة
- BE
- كان
- أكبر
- حظر
- دعم
- by
- الحملات
- الحملات
- CAN
- نفذت
- الخلية
- ادعى
- الكود
- التواصل
- مجال الاتصالات
- مجمع
- حل وسط
- تسوية
- صراع
- الصراعات
- الواردة
- مراقبة
- تغطية
- الانترنت
- هجوم الانترنت
- هجمات الكترونية
- البيانات
- تم التوصيل
- دلتا
- شرح
- نشر
- نشر
- تفاصيل
- كشف
- جهاز
- صعبة
- رقمي
- مباشرة
- اكتشف
- تشويش
- خامد
- توزيع
- DNS
- قيادة
- محركات
- اثنان
- أثناء
- حيوي
- الشرق
- الشرقية
- أوروبا الشرقية
- التعليم
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- جزءا لا يتجزأ من
- توظف
- ترميز
- نقطة النهاية
- أمن نقطة النهاية
- فرض
- فرض
- تعزيز
- تعزيز
- كيان
- البيئة
- البيئات
- تجسس
- يؤسس
- أوروبا
- الهروب
- تملص
- حصري
- تنفيذ
- ينفذ
- المعارض
- ويوضح
- استغلال
- خارجي
- بإنصاف
- قم بتقديم
- ملفات
- تصفية
- في حالة
- ربح
- الجغرافية السياسية
- أرض
- تجمع
- مجموعات
- متزايد
- نصفي
- يملك
- he
- تاريخ
- HTTP
- HTTPS
- تنفيذ
- تحقيق
- in
- تتضمن
- بما فيه
- يدمج
- في ازدياد
- يشير
- السريرية
- غزو
- ينطوي
- IP
- عناوين الانترنت بروتوكول
- IT
- انها
- نفسها
- مهرج
- JPG
- يونيو
- إطلاق
- أطلقت
- طبقات
- قيادة
- مثل
- على الأرجح
- جار التحميل
- سجل
- تسجيل
- صنع
- المحافظة
- خبيث
- البرمجيات الخبيثة
- إدارة
- الإجراءات
- الوسائط
- آلية العمل
- طرق
- مایکروسافت
- وسط
- الشرق الأوسط
- عسكر
- تخفيف
- الجوال
- مراقبة
- مراقبة
- الأكثر من ذلك
- أكثر
- الدافع
- حركة
- متعدد
- الاسم
- الطبيعة
- حاجة
- شبكة
- جديد
- حديثا
- وأشار
- of
- on
- جارية
- عامل
- المنظمات
- أخرى
- خارج
- إصرار
- التصيد
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسات الخصوصية والبيع
- سكان
- ممكن
- محتمل
- بوويرشيل
- رئيس
- سابق
- استباقية
- الإجراءات
- البرامج
- لائق
- الاستفسارات
- في الوقت الحقيقي
- مملكة
- الاعتراف
- بانتظام
- ذات صلة
- صدر
- اعتماد
- عن بعد
- إزالة
- تقرير
- طلبات
- بحث
- استجابة
- مسؤول
- بتقييد
- المخاطر
- روسيا
- الروسية
- s
- نفسه
- يقول
- تفحص
- أمن
- حساسية
- الخادم
- الخدمة
- ينبغي
- التشابه
- الحلول
- متطور
- التكلف
- انتشار
- ستارلينك
- الولايه او المحافظه
- الشبح الأسود
- تخزين
- صارم
- هذه
- مشكوك فيه
- نظام
- أنظمة
- التكتيكات
- المستهدفة
- تقنيات
- الاتصالات
- تیلیجرام
- من
- أن
- •
- الدولة
- من مشاركة
- تشبه
- فكر
- التهديد
- الجهات التهديد
- التهديدات
- عبر
- وهكذا
- مربوط
- إلى
- تقليدي
- نوع
- أوكرانيا
- الأوكرانية
- غير مصرح
- مع
- الأستعمال
- USB
- محركات أقراص USB
- تستخدم
- مستخدم
- استخدام
- بواسطة
- رذيلة
- Vice President
- حرب
- الحرب في أوكرانيا
- أسابيع
- حسن
- مع
- في غضون
- سوف
- زفيرنت