צבא אוקראינה ממוקד בהתקפת ה-APT הרוסית PowerShell

איום מתקדם מתמשך רוסי מתוחכם (APT) פתח במסע תקיפה ממוקד של PowerShell נגד הצבא האוקראיני.

ככל הנראה הפיגוע בוצע על ידי שחקני איום זדוניים הקשורים ל-Shuckworm, קבוצה עם היסטוריה של קמפיינים נגד אוקראינה, מונעת על ידי אינטרסים גיאופוליטיים, ריגול והפרעות.

הקמפיין הזדוני, המלווה על ידי Securonix תחת השם STEADY#URSA, משתמש בדלת אחורית מבוססת SUBTLE-PAWS PowerShell לאחרונה כדי לחדור ולסכן מערכות ממוקדות.

סוג זה של דלת אחורית מאפשר לשחקני איומים לקבל גישה לא מורשית, לבצע פקודות ולשמור על התמדה בתוך מערכות שנפגעו.

מתודולוגיית ההתקפה כוללת הפצה של מטען זדוני באמצעות קבצים דחוסים המועברים באמצעות מיילים דיוג.

הפצה ותנועה לרוחב של התוכנה הזדונית מתבצעת באמצעות כונני USB, ובכך מסיר את הצורך בגישה ישירה לרשת.

הדו"ח ציין שסוג הגישה יתקשה בגלל התקשורת המטושטשת של אוקראינה כמו Starlink.

הקמפיין מציג קווי דמיון עם תוכנת זדונית Shuckworm, והוא משלב טקטיקות, טכניקות ונהלים (TTP) מובהקים. נצפה בקמפיינים קודמים בתחום הסייבר נגד הצבא האוקראיני.

אולג קולסניקוב, סגן נשיא לחקר איומים ומדעי נתונים/AI עבור Securonix, מסביר ש-SUBTLE-PAWS מבדיל את עצמו על ידי הסתמכות "הבלעדית למדי" שלה על מדרגים מחוץ לדיסק/PowerShell לצורך ביצוע, תוך הימנעות ממטענים בינאריים מסורתיים. הוא גם משתמש בשכבות נוספות של טכניקות ערפול והתחמקות.

"אלה כוללים קידוד, פיצול פקודות והתמדה מבוססת רישום כדי להתחמק מזיהוי בין היתר", הוא אומר.

הוא מבסס פקודה ושליטה (C2) על ידי תקשורת באמצעות טלגרם עם שרת מרוחק, תוך שימוש בשיטות אדפטיביות כגון שאילתות DNS ובקשות HTTP עם כתובות IP המאוחסנות באופן דינמי.

התוכנה הזדונית משתמשת גם באמצעי התגנבות כמו קידוד Base64 ו-XOR, טכניקות אקראיות ורגישות סביבתית כדי לשפר את האופי החמקמק שלה.

הישות הממוקדת מבצעת קובץ קיצור זדוני (.lnk), שמתחיל טעינה וביצוע של קוד מטען חדש של PowerShell בדלת אחורית.

הדלת האחורית SUBTLE-PAWS מוטבעת בתוך קובץ אחר הכלול באותו ארכיון דחוס.

קולסניקוב אומר שאמצעים יזומים אפשריים יכולים לכלול יישום תוכניות חינוך משתמשים כדי לזהות ניצול פוטנציאלי באמצעות דואר אלקטרוני, הגברת המודעות לשימוש בעומסי .lnk זדוניים על כוננים חיצוניים להתפשטות בסביבות מרווחות ומדוררות יותר, ואכיפת מדיניות קפדנית ושחרור קבצי משתמש. כדי להפחית סיכונים.

"כדי לחזק את אבטחת כונן ה-USB, ארגונים צריכים ליישם מדיניות בקרת מכשירים כדי להגביל שימוש לא מורשה ב-USB ולסרוק באופן קבוע מדיה נשלפת לאיתור תוכנות זדוניות באמצעות פתרונות אבטחה מתקדמים של נקודות קצה", הוא אומר.

כדי לשפר את כיסוי זיהוי היומנים, Securonix המליצה לפרוס רישום נוסף ברמת התהליך, כגון רישום Sysmon ו-PowerShell.

"ארגונים צריכים גם לאכוף מדיניות קפדנית של רשימת היתרים של יישומים [ו] ליישם סינון דוא"ל משופר, ניטור מערכת נכון ופתרונות זיהוי ותגובה של נקודות קצה כדי לנטר ולחסום פעילות חשודה", אומר קולסניקוב.

איומי סייבר, שחקנים ממלכתיים

המלחמה הקרקעית המתמשכת באוקראינה התנהלה גם בתחום הדיגיטלי, עם קייבסטאר, מפעילת הטלקום הסלולרית הגדולה ביותר באוקראינה, סבל ממתקפת סייבר בדצמבר זה חיסל את השירות הסלולרי ליותר ממחצית מאוכלוסיית אוקראינה.

ביוני 2023, מיקרוסופט פרסמה פרטים על APT הרוסית צוער בליזארד, נחשב כאחראי לתוכנות זדוניות של מגבים שנפרסו במהלך השבועות שקדמו לפלישה של רוסיה לאוקראינה.

התקפות אבטחת סייבר על ידי קבוצות האקטיביסטים רוסיות - כולל קבוצת האיום של ג'וקר DPR, שנחשבת כקשורה למדינה - טענו גם כי פרצו את מערכת ניהול שדות הקרב של צבא אוקראינה DELTA. חושפת תנועות חיילים בזמן אמת.

מעבר לסכסוך במזרח אירופה, קבוצות איום נכנסות אירן, סוריה, ו לבנון להדגים את האיום של מתקפות סייבר בסכסוכים ברחבי המזרח התיכון. התחכום ההולך וגובר של האיומים הללו מצביע על כך שגורמים זדוניים הנתמכים על ידי המדינה מודרניזציה של תוכנות זדוניות שלהם טכניקות, וקבוצות איומים מרובות מתאגדים יחד להפעיל התקפות מורכבות יותר.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack