Ukraines militær målrettet med russisk APT PowerShell-angreb

En sofistikeret russisk avanceret vedvarende trussel (APT) har lanceret en målrettet PowerShell-angrebskampagne mod det ukrainske militær.

Angrebet er højst sandsynligt begået af ondsindede trusselsaktører relateret til Shuckworm, en gruppe med en historie med kampagner mod Ukraine, motiveret af geopolitiske, spionage- og disruptionsinteresser.

Den ondsindede kampagne, sporet af Securonix under navnet STEADY#URSA, anvender en nyopdaget SUBTLE-PAWS PowerShell-baseret bagdør til at infiltrere og kompromittere målrettede systemer.

Denne type bagdør giver trusselsaktører mulighed for at få uautoriseret adgang, udføre kommandoer og opretholde persistens i kompromitterede systemer.

Angrebsmetoden involverer distribution af en ondsindet nyttelast gennem komprimerede filer leveret via phishing-e-mails.

Distribution og lateral bevægelse af malwaren udføres gennem USB-drev, hvilket fjerner behovet for at få direkte adgang til netværket.

Rapporten bemærkede, at den type tilgang ville blive vanskeliggjort på grund af Ukraines luftgabte kommunikation som Starlink.

Kampagnen udviser ligheder med Shuckworm-malwaren, og den inkorporerer forskellige taktikker, teknikker og procedurer (TTP'er) observeret i tidligere cyberkampagner mod det ukrainske militær.

Oleg Kolesnikov, vicepræsident for trusselsforskning og datavidenskab/AI for Securonix, forklarer, at SUBTLE-PAWS adskiller sig ved sin "temmelig eksklusive" afhængighed af off-disk/PowerShell-stagers til udførelse og undgår traditionelle binære nyttelaster. Den anvender også yderligere lag af slørings- og undvigelsesteknikker.

"Disse inkluderer kodning, kommandoopdeling og registreringsbaseret persistens for at undgå registrering blandt andre," siger han.

Den etablerer kommando og kontrol (C2) ved at kommunikere via Telegram med en fjernserver ved hjælp af adaptive metoder såsom DNS-forespørgsler og HTTP-anmodninger med dynamisk lagrede IP-adresser.

Malwaren anvender også stealth-foranstaltninger som Base64- og XOR-kodning, randomiseringsteknikker og miljøfølsomhed for at forbedre dens undvigende natur.

Den målrettede enhed udfører en ondsindet genvejsfil (.lnk), der initierer indlæsning og eksekvering af en ny PowerShell bagdørs nyttelastkode.

SUBTLE-PAWS bagdøren er indlejret i en anden fil indeholdt i det samme komprimerede arkiv.

Kolesnikov siger, at mulige proaktive foranstaltninger kan omfatte implementering af brugeruddannelsesprogrammer for at genkende potentiel udnyttelse via e-mail, øge bevidstheden omkring brugen af ​​ondsindede .lnk-nyttelaster på eksterne drev til at sprede sig i luftgappede og mere opdelte miljøer og håndhæve strenge politikker og dekompression af brugerfiler. at mindske risici.

"For at styrke USB-drevsikkerheden bør organisationer implementere enhedskontrolpolitikker for at begrænse uautoriseret USB-brug og regelmæssigt scanne flytbare medier for malware ved hjælp af avancerede slutpunktsikkerhedsløsninger," siger han.

For at forbedre logregistreringsdækningen rådede Securonix til at implementere yderligere logning på procesniveau, såsom Sysmon- og PowerShell-logning.

"Organisationer bør også håndhæve strenge politikker for hvidliste af applikationer [og] implementere forbedret e-mailfiltrering, korrekt systemovervågning og slutpunktsdetektering og svarløsninger for at overvåge og blokere mistænkelig aktivitet," siger Kolesnikov.

Cybertrusler, statslige aktører

Den igangværende jordkrig i Ukraine er også blevet ført i den digitale verden, med Kyivstar, Ukraines største mobilteleoperatør, blev ramt af et cyberangreb i december som udslettede celleservice for mere end halvdelen af ​​Ukraines befolkning.

I juni 2023 frigav Microsoft detaljer om russisk APT Kadet Blizzard, menes at være ansvarlig for wiper-malware, der blev indsat i ugerne op til Ruslands invasion af Ukraine.

Cybersikkerhedsangreb fra russiske hacktivistgrupper - herunder Joker DPR-trusselsgruppe, der menes at være bundet til staten - hævdede også at have brudt det ukrainske militærs slagmarksstyringssystem DELTA, afslører troppebevægelser i realtid.

Ud over konflikten i Østeuropa er trusselsgrupper i Iran, Syrienog Libanon demonstrere truslen om cyberangreb i konflikter i hele Mellemøsten. Den voksende sofistikering af disse trusler indikerer, at statsstøttede ondsindede aktører er det modernisering af deres malware teknikker, og flere trusselsgrupper er slå sig sammen at iværksætte mere komplekse angreb.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack