ウクライナ軍がロシアのAPT PowerShell攻撃の標的に

ロシアの高度な持続的脅威 (APT) が、ウクライナ軍に対する標的型 PowerShell 攻撃キャンペーンを開始しました。

この攻撃はおそらく次の者によって行われます。 Shuckworm に関連する悪意のある攻撃者、地政学的、スパイ活動、混乱的利益を動機とした、ウクライナに対するキャンペーンの歴史を持つグループ。

Securonix が STEADY#URSA という名前で追跡しているこの悪意のあるキャンペーンは、新たに発見された SUBTLE-PAWS PowerShell ベースのバックドアを利用して、標的のシステムに侵入し、侵害します。

このタイプのバックドアにより、攻撃者は不正アクセスを取得し、コマンドを実行し、侵害されたシステム内で永続性を維持することができます。

この攻撃手法には、フィッシングメール経由で配信される圧縮ファイルを介して悪意のあるペイロードを配布することが含まれます。

マルウェアの配布と横方向への移動は USB ドライブを通じて実行されるため、ネットワークに直接アクセスする必要がなくなります。

報告書は、スターリンクのようなウクライナのエアギャップ通信のせいで、どのようなアプローチも困難になるだろうと指摘した。

このキャンペーンは Shuckworm マルウェアとの類似点を示しており、独特の戦術、技術、および手順 (TTP) が組み込まれています。 以前のサイバー攻撃で観察された ウクライナ軍に対して。

Securonix の脅威研究およびデータ サイエンス/AI 担当バイスプレジデントである Oleg Kolesnikov 氏は、SUBTLE-PAWS は実行をオフディスク/PowerShell ステージャーに「かなり独占的に」依存し、従来のバイナリ ペイロードを回避していることで差別化されていると説明します。また、難読化および回避技術の追加レイヤーも採用されています。

「これらには、エンコーディング、コマンド分割、検出を回避するためのレジストリベースの永続化などが含まれます」と彼は言います。

DNS クエリや動的に保存された IP アドレスを使用した HTTP リクエストなどの適応的な方法を使用して、テレグラム経由でリモート サーバーと通信することにより、コマンド アンド コントロール (C2) を確立します。

このマルウェアは、Base64 や XOR エンコード、ランダム化技術、環境への敏感性などのステルス手段も採用して、そのとらえどころのなさを強化しています。

標的となったエンティティは悪意のあるショートカット (.lnk) ファイルを実行し、新しい PowerShell バックドア ペイロード コードの読み込みと実行を開始します。

SUBTLE-PAWS バックドアは、同じ圧縮アーカイブに含まれる別のファイル内に埋め込まれています。

コレスニコフ氏は、考えられる事前対策としては、電子メールを介した悪用の可能性を認識するためのユーザー教育プログラムの導入、外部ドライブ上の悪意のある .lnk ペイロードの使用についての認識を高め、エアギャップがありより細分化された環境で拡散すること、厳格なポリシーとユーザー ファイル解凍の強制などが挙げられると述べています。リスクを軽減するため。

「USB ドライブのセキュリティを強化するには、組織はデバイス制御ポリシーを実装して、不正な USB 使用を制限し、高度なエンドポイント セキュリティ ソリューションを使用してリムーバブル メディアを定期的にスキャンしてマルウェアを検出する必要があります。」と彼は言います。

ログ検出範囲を強化するために、Securonix は、Sysmon や PowerShell のログなど、追加のプロセス レベルのログを導入することを推奨しました。

「組織はまた、厳格なアプリケーションのホワイトリスト ポリシーを適用し、不審なアクティビティを監視してブロックするために、強化された電子メール フィルタリング、適切なシステム監視、エンドポイントの検出と対応ソリューションを実装する必要があります」とコレスニコフ氏は言います。

サイバー脅威、国家主体

ウクライナで進行中の地上戦は、デジタル分野でも同様に繰り広げられており、ウクライナ最大の移動体通信事業者であるキエフスターは、 12月にサイバー攻撃を受けた これにより、ウクライナ人口の半分以上の携帯電話サービスが壊滅した。

2023 年 XNUMX 月、Microsoft はロシアの APT の詳細をリリースしました カデットブリザード、ロシアのウクライナ侵攻に至るまでの数週間に展開されたワイパーマルウェアの原因であると考えられています。

ロシアのハクティビストグループ（国家と関係があると考えられている脅威グループ「ジョーカーDPR」を含む）によるサイバーセキュリティ攻撃も、ウクライナ軍の戦場管理システムDELTAに侵入したと主張している。 リアルタイムの軍隊の動きを明らかにする.

東ヨーロッパの紛争を超えて、 イラン, シリア, レバノン 中東各地の紛争におけるサイバー攻撃の脅威を実証します。これらの脅威の巧妙化は、国家の支援を受けた悪意のある攻撃者が、 マルウェアを最新化する 技術や複数の脅威グループが 一緒にバンディング より複雑な攻撃を開始します。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack