Egy kifinomult orosz fejlett tartós fenyegetés (APT) célzott PowerShell-támadást indított az ukrán hadsereg ellen.
A támadást nagy valószínűséggel az a Shuckwormhoz kapcsolódó rosszindulatú fenyegetés szereplői, egy Ukrajna elleni hadjárattal rendelkező csoport, amelyet geopolitikai, kémkedési és rendbontási érdekek motiváltak.
A Securonix által STEADY#URSA néven nyomon követett rosszindulatú kampány egy újonnan felfedezett SUBTLE-PAWS PowerShell-alapú hátsó ajtót alkalmaz a célzott rendszerek beszivárgására és feltörésére.
Ez a fajta hátsó ajtó lehetővé teszi a fenyegetés szereplői számára, hogy jogosulatlan hozzáférést kapjanak, parancsokat hajtsanak végre, és fenntartsák a kitartást a feltört rendszereken belül.
A támadás módszere magában foglalja a rosszindulatú rakomány terjesztését az adathalász e-maileken keresztül továbbított tömörített fájlokon keresztül.
A kártevő terjesztése és oldalirányú mozgása USB-meghajtókon keresztül történik, így nincs szükség közvetlenül a hálózatra.
A jelentés megjegyezte, hogy a megközelítést megnehezítené Ukrajna légrés kommunikációja, mint például a Starlink.
A kampány hasonlóságokat mutat a Shuckworm malware-rel, és eltérő taktikákat, technikákat és eljárásokat (TTP) tartalmaz. korábbi kiberkampányokban megfigyelhető az ukrán hadsereg ellen.
Oleg Kolesnikov, a Securonix fenyegetéskutatásért és adattudományért/AI-ért felelős alelnöke elmagyarázza, hogy a SUBTLE-PAWS azzal különbözteti meg magát, hogy „meglehetősen kizárólagosan” a lemezen kívüli/PowerShell szakaszolókra támaszkodik a végrehajtás során, elkerülve a hagyományos bináris hasznos adatokat. Ezenkívül további homályosítási és kijátszási technikákat alkalmaz.
„Ezek többek között a kódolás, a parancsfelosztás és a rendszerleíró adatbázis-alapú kitartás az észlelés elkerülése érdekében” – mondja.
Parancs- és vezérlést (C2) hoz létre a Táviramon keresztül egy távoli szerverrel kommunikálva adaptív módszerekkel, mint például DNS-lekérdezések és HTTP-kérések dinamikusan tárolt IP-címekkel.
A rosszindulatú program olyan lopakodó intézkedéseket is alkalmaz, mint a Base64 és XOR kódolás, véletlenszerű besorolási technikák és környezetérzékenység, hogy javítsa megfoghatatlan természetét.
A megcélzott entitás rosszindulatú parancsikon (.lnk) fájlt hajt végre, elindítva egy új PowerShell-hátsó ajtó hasznos adatkódjának betöltését és végrehajtását.
A SUBTLE-PAWS hátsó ajtó egy másik fájlba van beágyazva, amely ugyanabban a tömörített archívumban található.
Kolesnikov szerint a lehetséges proaktív intézkedések magukban foglalhatják a felhasználói oktatási programok bevezetését az esetleges kizsákmányolások e-mailben történő felismerésére, a külső meghajtókon lévő rosszindulatú .lnk hasznos terhelésekkel kapcsolatos tudatosság növelését a légrés és jobban szétosztott környezetekben, valamint a szigorú irányelvek és a felhasználói fájlok kitömörítésének végrehajtása. kockázatok mérséklésére.
„Az USB-meghajtók biztonságának növelése érdekében a szervezeteknek be kell vezetniük az eszközellenőrzési irányelveket, amelyek korlátozzák a jogosulatlan USB-használatot, és rendszeresen ellenőrizniük kell a cserélhető adathordozókat rosszindulatú programok után, fejlett végpontbiztonsági megoldásokkal” – mondja.
A naplófelismerési lefedettség növelése érdekében a Securonix további folyamatszintű naplózást javasolt, például Sysmon és PowerShell naplózást.
„A szervezeteknek szigorú alkalmazások engedélyezési irányelveit is be kell tartaniuk [és] továbbfejlesztett e-mail-szűrést, megfelelő rendszerfigyelést, valamint végpontészlelési és válaszadási megoldásokat kell alkalmazniuk a gyanús tevékenységek figyelésére és blokkolására” – mondja Kolesnikov.
Kiberfenyegetések, állami szereplők
Az Ukrajnában jelenleg is zajló földháború a digitális téren is zajlik, a Kyivstar, Ukrajna legnagyobb mobil távközlési szolgáltatója, decemberben kibertámadást szenvedett el ami Ukrajna lakosságának több mint feléből kiirtotta a cellaszolgáltatást.
2023 júniusában a Microsoft közzétette az orosz APT részleteit Kadet Blizzard, akiről azt gondolják, hogy felelős az orosz ukrajnai inváziót megelőző hetekben telepített ablaktörlő kártevőkért.
Az orosz hacktivista csoportok – köztük az államhoz kötődő Joker DPR fenyegetőcsoport – kiberbiztonsági támadásai szintén azt állították, hogy megsértették az ukrán hadsereg DELTA harctéri irányítási rendszerét. valós idejű csapatmozgások feltárása.
A kelet-európai konfliktuson túl fenyegető csoportok jelennek meg Irán, Szíriaés Libanon demonstrálni a kibertámadások veszélyét a közel-keleti konfliktusokban. E fenyegetések egyre kifinomultabbá válása azt jelzi, hogy az állam által támogatott rosszindulatú szereplők igen rosszindulatú programjaik korszerűsítése technikák, és több fenyegető csoport van összefogva összetettebb támadások indítására.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack
- :van
- :is
- $ UP
- 2023
- 7
- a
- hozzáférés
- át
- tevékenység
- szereplők
- adaptív
- További
- címek
- fejlett
- tanácsos
- ellen
- lehetővé teszi, hogy
- Is
- között
- és a
- Másik
- Alkalmazás
- megközelítés
- APT
- Archív
- VANNAK
- körül
- AS
- támadás
- Támadások
- elkerülve
- tudatosság
- hátsó ajtó
- Csatatér
- BE
- óta
- Legnagyobb
- Blokk
- párna
- by
- Kampány
- Kampányok
- TUD
- végrehajtott
- sejt
- azt állította,
- kód
- kommunikáció
- távközlés
- bonyolult
- kompromisszum
- Veszélyeztetett
- konfliktus
- Konfliktusok
- tartalmazott
- ellenőrzés
- lefedettség
- cyber
- cyberattack
- cyberattacks
- dátum
- szállított
- Delta
- bizonyítani
- telepített
- bevezetéséhez
- részletek
- Érzékelés
- eszköz
- nehéz
- digitális
- közvetlenül
- felfedezett
- Zavar
- különböző
- terjesztés
- dns
- hajtás
- meghajtók
- két
- alatt
- dinamikusan
- Keleti
- keleti
- Kelet-Európa
- Oktatás
- e-mailek
- beágyazott
- alkalmaz
- kódolás
- Endpoint
- Végpontbiztonság
- érvényesíteni
- érvényesítése
- növelése
- fokozott
- egység
- Környezet
- környezetek
- kémkedés
- megállapítja
- Európa
- kikerülni
- adócsalás
- Kizárólagos
- kivégez
- végrehajtja
- végrehajtás
- kiállítási
- Elmagyarázza
- kizsákmányolás
- külső
- meglehetősen
- filé
- Fájlok
- szűrő
- A
- Nyereség
- geopolitikai
- Földi
- Csoport
- Csoportok
- Növekvő
- fél
- Legyen
- he
- történelem
- http
- HTTPS
- végre
- végrehajtási
- in
- tartalmaz
- Beleértve
- magában
- növekvő
- jelzi
- érdekek
- invázió
- jár
- IP
- IP-címeket
- IT
- ITS
- maga
- tréfacsináló
- jpg
- június
- indít
- indított
- tojók
- vezető
- mint
- Valószínű
- betöltés
- log
- fakitermelés
- készült
- fenntartása
- rosszindulatú
- malware
- vezetés
- intézkedések
- Média
- Módszertan
- mód
- microsoft
- Középső
- Közel-Kelet
- Katonai
- Enyhít
- Mobil
- monitor
- ellenőrzés
- több
- a legtöbb
- motivált
- mozgalom
- többszörös
- név
- Természet
- Szükség
- hálózat
- Új
- újonnan
- neves
- of
- on
- folyamatban lévő
- operátor
- szervezetek
- Egyéb
- ki
- kitartás
- Adathalászat
- Plató
- Platón adatintelligencia
- PlatoData
- Politikák
- népesség
- lehetséges
- potenciális
- PowerShell
- elnök
- előző
- proaktív
- eljárások
- Programok
- megfelelő
- lekérdezések
- real-time
- birodalom
- elismerik
- rendszeresen
- összefüggő
- felszabaduló
- bizalom
- távoli
- eltávolítása
- jelentést
- kéri
- kutatás
- válasz
- felelős
- korlátoz
- kockázatok
- Oroszország
- orosz
- s
- azonos
- azt mondja,
- beolvasás
- biztonság
- Érzékenység
- szerver
- szolgáltatás
- kellene
- hasonlóságok
- Megoldások
- kifinomult
- kifinomultság
- terjedése
- Starlink
- Állami
- Lopakodás
- memorizált
- Szigorú
- ilyen
- gyanús
- rendszer
- Systems
- taktika
- célzott
- technikák
- távközlési
- Telegram
- mint
- hogy
- A
- Az állam
- azok
- Ezek
- gondoltam
- fenyegetés
- fenyegetés szereplői
- fenyegetések
- Keresztül
- Így
- Bekötött
- nak nek
- hagyományos
- típus
- Ukrajna
- ukrán
- jogtalan
- alatt
- Használat
- usb
- USB-meghajtók
- használ
- használó
- segítségével
- keresztül
- vice
- Alelnök
- háború
- Háború Ukrajnában
- Hetek
- JÓL
- val vel
- belül
- lenne
- zephyrnet