Militer Ukraina Ditargetkan Dengan Serangan APT PowerShell Rusia

Ancaman persisten tingkat lanjut (APT) Rusia yang canggih telah meluncurkan kampanye serangan PowerShell yang ditargetkan terhadap militer Ukraina.

Kemungkinan besar serangan tersebut dilakukan oleh aktor ancaman jahat yang terkait dengan Shuckworm, sebuah kelompok dengan sejarah kampanye melawan Ukraina, dimotivasi oleh kepentingan geopolitik, spionase, dan gangguan.

Kampanye jahat tersebut, dilacak oleh Securonix dengan nama STEADY#URSA, menggunakan pintu belakang berbasis PowerShell SUBTLE-PAWS yang baru ditemukan untuk menyusup dan menyusupi sistem yang ditargetkan.

Jenis pintu belakang ini memungkinkan pelaku ancaman mendapatkan akses tidak sah, menjalankan perintah, dan mempertahankan persistensi dalam sistem yang disusupi.

Metodologi serangan ini melibatkan distribusi muatan berbahaya melalui file terkompresi yang dikirimkan melalui email phishing.

Distribusi dan pergerakan lateral malware dilakukan melalui drive USB, sehingga menghilangkan kebutuhan untuk mengakses jaringan secara langsung.

Laporan tersebut mencatat bahwa pendekatan semacam ini akan menjadi sulit karena adanya celah komunikasi udara di Ukraina seperti Starlink.

Kampanye ini menunjukkan kemiripan dengan malware Shuckworm, dan menggunakan taktik, teknik, dan prosedur (TTP) yang berbeda. diamati dalam kampanye cyber sebelumnya melawan militer Ukraina.

Oleg Kolesnikov, wakil presiden penelitian ancaman dan ilmu data/AI untuk Securonix, menjelaskan bahwa SUBTLE-PAWS membedakan dirinya dengan ketergantungannya yang “cukup eksklusif” pada stager off-disk/PowerShell untuk eksekusi, menghindari muatan biner tradisional. Ia juga menggunakan lapisan tambahan teknik kebingungan dan penghindaran.

“Ini termasuk pengkodean, pemisahan perintah dan persistensi berbasis registri untuk menghindari deteksi,” katanya.

Ini menetapkan perintah dan kontrol (C2) dengan berkomunikasi melalui Telegram dengan server jarak jauh, menggunakan metode adaptif seperti permintaan DNS dan permintaan HTTP dengan alamat IP yang disimpan secara dinamis.

Malware ini juga menggunakan langkah-langkah tersembunyi seperti pengkodean Base64 dan XOR, teknik pengacakan, dan sensitivitas lingkungan untuk meningkatkan sifatnya yang sulit dipahami.

Entitas yang ditargetkan mengeksekusi file pintasan berbahaya (.lnk), memulai pemuatan dan eksekusi kode payload pintu belakang PowerShell yang baru.

Pintu belakang SUBTLE-PAWS tertanam dalam file lain yang terdapat dalam arsip terkompresi yang sama.

Kolesnikov mengatakan langkah-langkah proaktif yang mungkin dilakukan dapat mencakup penerapan program pendidikan pengguna untuk mengenali potensi eksploitasi melalui email, meningkatkan kesadaran seputar penggunaan muatan .lnk berbahaya pada drive eksternal untuk menyebar di lingkungan yang memiliki celah udara dan lebih terkotak-kotak, dan menerapkan kebijakan yang ketat dan dekompresi file pengguna. untuk memitigasi risiko.

“Untuk meningkatkan keamanan drive USB, organisasi harus menerapkan kebijakan kontrol perangkat untuk membatasi penggunaan USB yang tidak sah dan secara teratur memindai media yang dapat dipindahkan untuk mencari malware menggunakan solusi keamanan titik akhir yang canggih,” katanya.

Untuk meningkatkan cakupan deteksi log, Securonix menyarankan penerapan logging tingkat proses tambahan, seperti logging Sysmon dan PowerShell.

“Organisasi juga harus menerapkan kebijakan daftar putih aplikasi yang ketat [dan] menerapkan pemfilteran email yang ditingkatkan, pemantauan sistem yang tepat, serta deteksi titik akhir dan solusi respons untuk memantau dan memblokir aktivitas mencurigakan,” kata Kolesnikov.

Ancaman Dunia Maya, Aktor Negara

Perang darat yang sedang berlangsung di Ukraina juga terjadi di dunia digital, dengan Kyivstar, operator telekomunikasi seluler terbesar di Ukraina, menderita serangan siber pada bulan Desember yang menghapuskan layanan seluler bagi lebih dari separuh penduduk Ukraina.

Pada bulan Juni 2023, Microsoft merilis rincian APT Rusia Badai Salju Kadet, dianggap bertanggung jawab atas malware wiper yang disebarkan selama minggu-minggu menjelang invasi Rusia ke Ukraina.

Serangan keamanan siber yang dilakukan oleh kelompok hacktivist Rusia – termasuk kelompok ancaman Joker DPR, yang dianggap terkait dengan negara – juga diklaim telah melanggar sistem manajemen medan perang militer Ukraina DELTA, mengungkapkan pergerakan pasukan real-time.

Di luar konflik di Eropa Timur, kelompok ancaman juga masuk Iran, Suriah, dan Libanon menunjukkan ancaman serangan siber dalam konflik di Timur Tengah. Semakin canggihnya ancaman-ancaman ini menunjukkan adanya aktor-aktor jahat yang didukung negara memodernisasi malware mereka teknik, dan berbagai kelompok ancaman bersatu untuk melancarkan serangan yang lebih kompleks.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack