Ukrajna katonai célpontja az orosz APT PowerShell támadásnak

Egy kifinomult orosz fejlett tartós fenyegetés (APT) célzott PowerShell-támadást indított az ukrán hadsereg ellen.

A támadást nagy valószínűséggel az a Shuckwormhoz kapcsolódó rosszindulatú fenyegetés szereplői, egy Ukrajna elleni hadjárattal rendelkező csoport, amelyet geopolitikai, kémkedési és rendbontási érdekek motiváltak.

A Securonix által STEADY#URSA néven nyomon követett rosszindulatú kampány egy újonnan felfedezett SUBTLE-PAWS PowerShell-alapú hátsó ajtót alkalmaz a célzott rendszerek beszivárgására és feltörésére.

Ez a fajta hátsó ajtó lehetővé teszi a fenyegetés szereplői számára, hogy jogosulatlan hozzáférést kapjanak, parancsokat hajtsanak végre, és fenntartsák a kitartást a feltört rendszereken belül.

A támadás módszere magában foglalja a rosszindulatú rakomány terjesztését az adathalász e-maileken keresztül továbbított tömörített fájlokon keresztül.

A kártevő terjesztése és oldalirányú mozgása USB-meghajtókon keresztül történik, így nincs szükség közvetlenül a hálózatra.

A jelentés megjegyezte, hogy a megközelítést megnehezítené Ukrajna légrés kommunikációja, mint például a Starlink.

A kampány hasonlóságokat mutat a Shuckworm malware-rel, és eltérő taktikákat, technikákat és eljárásokat (TTP) tartalmaz. korábbi kiberkampányokban megfigyelhető az ukrán hadsereg ellen.

Oleg Kolesnikov, a Securonix fenyegetéskutatásért és adattudományért/AI-ért felelős alelnöke elmagyarázza, hogy a SUBTLE-PAWS azzal különbözteti meg magát, hogy „meglehetősen kizárólagosan” a lemezen kívüli/PowerShell szakaszolókra támaszkodik a végrehajtás során, elkerülve a hagyományos bináris hasznos adatokat. Ezenkívül további homályosítási és kijátszási technikákat alkalmaz.

„Ezek többek között a kódolás, a parancsfelosztás és a rendszerleíró adatbázis-alapú kitartás az észlelés elkerülése érdekében” – mondja.

Parancs- és vezérlést (C2) hoz létre a Táviramon keresztül egy távoli szerverrel kommunikálva adaptív módszerekkel, mint például DNS-lekérdezések és HTTP-kérések dinamikusan tárolt IP-címekkel.

A rosszindulatú program olyan lopakodó intézkedéseket is alkalmaz, mint a Base64 és XOR kódolás, véletlenszerű besorolási technikák és környezetérzékenység, hogy javítsa megfoghatatlan természetét.

A megcélzott entitás rosszindulatú parancsikon (.lnk) fájlt hajt végre, elindítva egy új PowerShell-hátsó ajtó hasznos adatkódjának betöltését és végrehajtását.

A SUBTLE-PAWS hátsó ajtó egy másik fájlba van beágyazva, amely ugyanabban a tömörített archívumban található.

Kolesnikov szerint a lehetséges proaktív intézkedések magukban foglalhatják a felhasználói oktatási programok bevezetését az esetleges kizsákmányolások e-mailben történő felismerésére, a külső meghajtókon lévő rosszindulatú .lnk hasznos terhelésekkel kapcsolatos tudatosság növelését a légrés és jobban szétosztott környezetekben, valamint a szigorú irányelvek és a felhasználói fájlok kitömörítésének végrehajtása. kockázatok mérséklésére.

„Az USB-meghajtók biztonságának növelése érdekében a szervezeteknek be kell vezetniük az eszközellenőrzési irányelveket, amelyek korlátozzák a jogosulatlan USB-használatot, és rendszeresen ellenőrizniük kell a cserélhető adathordozókat rosszindulatú programok után, fejlett végpontbiztonsági megoldásokkal” – mondja.

A naplófelismerési lefedettség növelése érdekében a Securonix további folyamatszintű naplózást javasolt, például Sysmon és PowerShell naplózást.

„A szervezeteknek szigorú alkalmazások engedélyezési irányelveit is be kell tartaniuk [és] továbbfejlesztett e-mail-szűrést, megfelelő rendszerfigyelést, valamint végpontészlelési és válaszadási megoldásokat kell alkalmazniuk a gyanús tevékenységek figyelésére és blokkolására” – mondja Kolesnikov.

Kiberfenyegetések, állami szereplők

Az Ukrajnában jelenleg is zajló földháború a digitális téren is zajlik, a Kyivstar, Ukrajna legnagyobb mobil távközlési szolgáltatója, decemberben kibertámadást szenvedett el ami Ukrajna lakosságának több mint feléből kiirtotta a cellaszolgáltatást.

2023 júniusában a Microsoft közzétette az orosz APT részleteit Kadet Blizzard, akiről azt gondolják, hogy felelős az orosz ukrajnai inváziót megelőző hetekben telepített ablaktörlő kártevőkért.

Az orosz hacktivista csoportok – köztük az államhoz kötődő Joker DPR fenyegetőcsoport – kiberbiztonsági támadásai szintén azt állították, hogy megsértették az ukrán hadsereg DELTA harctéri irányítási rendszerét. valós idejű csapatmozgások feltárása.

A kelet-európai konfliktuson túl fenyegető csoportok jelennek meg Irán, Szíriaés Libanon demonstrálni a kibertámadások veszélyét a közel-keleti konfliktusokban. E fenyegetések egyre kifinomultabbá válása azt jelzi, hogy az állam által támogatott rosszindulatú szereplők igen rosszindulatú programjaik korszerűsítése technikák, és több fenyegető csoport van összefogva összetettebb támadások indítására.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack