Ukraina sõjavägi on suunatud Venemaa APT PowerShelli rünnakule

Keeruline Venemaa arenenud püsiv oht (APT) on käivitanud sihipärase PowerShelli rünnakukampaania Ukraina sõjaväe vastu.

Tõenäoliselt on rünnaku toime pannud Shuckwormiga seotud pahatahtlikud ohustajad, rühmitus, mille ajalugu on korraldanud Ukraina-vastaseid kampaaniaid ning mille ajendiks olid geopoliitilised, spionaaži- ja häirimishuvid.

Pahatahtlik kampaania, mida Securonix jälgib nime all STEADY#URSA, kasutab äsja avastatud SUBTLE-PAWS PowerShellil põhinevat tagaust, et tungida sihitud süsteemidesse ja neid ohustada.

Seda tüüpi tagauks võimaldab ohus osalejatel saada volitamata juurdepääsu, täita käske ja säilitada püsivust ohustatud süsteemides.

Rünnaku metoodika hõlmab pahatahtliku kasuliku koormuse levitamist tihendatud failide kaudu, mis edastatakse andmepüügimeilide kaudu.

Pahavara levitamine ja külgsuunaline liikumine toimub USB-mälupulkade kaudu, kõrvaldades seega vajaduse otse võrku pääseda.

Aruandes märgiti, et selline lähenemine oleks raskendatud Ukraina õhuvahede tõttu, nagu Starlink.

Kampaanial on sarnasusi pahavaraga Shuckworm ning see sisaldab erinevaid taktikaid, tehnikaid ja protseduure (TTP). täheldatud eelmistes küberkampaaniates Ukraina sõjaväe vastu.

Securonixi ohuuuringute ja andmeteaduse/AI asepresident Oleg Kolesnikov selgitab, et SUBTLE-PAWS eristab end selle "üsna eksklusiivse" toetumisega kettavälistele/PowerShelli etappidele, vältides traditsioonilisi binaarseid kasulikke koormusi. See kasutab ka täiendavaid hägustamise ja kõrvalehoidmise tehnikaid.

"Need hõlmavad muu hulgas kodeerimist, käskude jagamist ja registripõhist püsivust tuvastamisest kõrvalehoidmiseks," ütleb ta.

See loob käsu ja juhtimise (C2), suhtledes telegrammi kaudu kaugserveriga, kasutades adaptiivseid meetodeid, nagu DNS-päringud ja HTTP-päringud dünaamiliselt salvestatud IP-aadressidega.

Pahavara kasutab ka varjatud meetmeid, nagu Base64 ja XOR-kodeering, randomiseerimistehnikad ja keskkonnatundlikkus, et parandada selle tabamatut olemust.

Sihitud olem käivitab pahatahtliku otsetee (.lnk) faili, käivitades uue PowerShelli tagaukse kasuliku koormuse koodi laadimise ja täitmise.

SUBTLE-PAWS-i tagauks on manustatud teise faili, mis asub samas tihendatud arhiivis.

Kolesnikovi sõnul võivad võimalikud ennetavad meetmed hõlmata kasutajate koolitusprogrammide rakendamist võimaliku ärakasutamise äratundmiseks e-posti teel, teadlikkuse suurendamist pahatahtliku .lnk kasuliku koormuse kasutamisest välistel draividel, et levida õhuvahega ja rohkem lahterdatud keskkondades, ning rangete eeskirjade jõustamist ja kasutajafailide lahtipakkimist. riskide maandamiseks.

"USB-draivi turvalisuse tugevdamiseks peaksid organisatsioonid rakendama seadme juhtimispoliitikat, et piirata USB-liidese lubamatut kasutamist ja skannima korrapäraselt irdkandjat pahavara jaoks, kasutades täiustatud lõpp-punkti turbelahendusi," ütleb ta.

Logituvastuse katvuse suurendamiseks soovitas Securonix juurutada täiendavat protsessitaseme logimist, nagu Sysmoni ja PowerShelli logimine.

"Samuti peaksid organisatsioonid rakendama rangeid rakenduste valgeloendisse lisamise eeskirju [ja] rakendama täiustatud meilide filtreerimist, nõuetekohast süsteemi jälgimist ning lõpp-punkti tuvastamise ja reageerimise lahendusi, et jälgida ja blokeerida kahtlast tegevust, " ütleb Kolesnikov.

Küberohud, osariigi näitlejad

Ukrainas käimasolev maasõda on peetud ka digitaalvaldkonnas, Ukraina suurima mobiilsideoperaatori Kyivstariga. detsembris küberrünnaku all mis hävitas enam kui poolte Ukraina elanike mobiilsideteenuse.

2023. aasta juunis avaldas Microsoft Venemaa APT üksikasjad Kadett Blizzard, kes arvatakse olevat vastutav puhastite pahavara eest, mida kasutati nädalatel enne Venemaa sissetungi Ukrainasse.

Venemaa häkkimisrühmituste küberjulgeolekurünnakud, sealhulgas riigiga seotud ohurühmitus Joker DPR, väitsid samuti, et rikkusid Ukraina sõjaväe lahinguvälja juhtimissüsteemi DELTA. paljastavad reaalajas vägede liikumised.

Peale konflikti Ida-Euroopas on ohugrupid sisse Iraan, Süüriaja Liibanon demonstreerida küberrünnakute ohtu Lähis-Ida konfliktides. Nende ohtude kasvav keerukus viitab riigi toetatud pahatahtlikele osalejatele oma pahavara moderniseerimiseks tehnikaid ja mitmeid ohurühmi kokku löömine keerukamate rünnakute käivitamiseks.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack