ロシアの高度な持続的脅威 (APT) が、ウクライナ軍に対する標的型 PowerShell 攻撃キャンペーンを開始しました。
この攻撃はおそらく次の者によって行われます。 Shuckworm に関連する悪意のある攻撃者、地政学的、スパイ活動、混乱的利益を動機とした、ウクライナに対するキャンペーンの歴史を持つグループ。
Securonix が STEADY#URSA という名前で追跡しているこの悪意のあるキャンペーンは、新たに発見された SUBTLE-PAWS PowerShell ベースのバックドアを利用して、標的のシステムに侵入し、侵害します。
このタイプのバックドアにより、攻撃者は不正アクセスを取得し、コマンドを実行し、侵害されたシステム内で永続性を維持することができます。
この攻撃手法には、フィッシングメール経由で配信される圧縮ファイルを介して悪意のあるペイロードを配布することが含まれます。
マルウェアの配布と横方向への移動は USB ドライブを通じて実行されるため、ネットワークに直接アクセスする必要がなくなります。
報告書は、スターリンクのようなウクライナのエアギャップ通信のせいで、どのようなアプローチも困難になるだろうと指摘した。
このキャンペーンは Shuckworm マルウェアとの類似点を示しており、独特の戦術、技術、および手順 (TTP) が組み込まれています。 以前のサイバー攻撃で観察された ウクライナ軍に対して。
Securonix の脅威研究およびデータ サイエンス/AI 担当バイスプレジデントである Oleg Kolesnikov 氏は、SUBTLE-PAWS は実行をオフディスク/PowerShell ステージャーに「かなり独占的に」依存し、従来のバイナリ ペイロードを回避していることで差別化されていると説明します。また、難読化および回避技術の追加レイヤーも採用されています。
「これらには、エンコーディング、コマンド分割、検出を回避するためのレジストリベースの永続化などが含まれます」と彼は言います。
DNS クエリや動的に保存された IP アドレスを使用した HTTP リクエストなどの適応的な方法を使用して、テレグラム経由でリモート サーバーと通信することにより、コマンド アンド コントロール (C2) を確立します。
このマルウェアは、Base64 や XOR エンコード、ランダム化技術、環境への敏感性などのステルス手段も採用して、そのとらえどころのなさを強化しています。
標的となったエンティティは悪意のあるショートカット (.lnk) ファイルを実行し、新しい PowerShell バックドア ペイロード コードの読み込みと実行を開始します。
SUBTLE-PAWS バックドアは、同じ圧縮アーカイブに含まれる別のファイル内に埋め込まれています。
コレスニコフ氏は、考えられる事前対策としては、電子メールを介した悪用の可能性を認識するためのユーザー教育プログラムの導入、外部ドライブ上の悪意のある .lnk ペイロードの使用についての認識を高め、エアギャップがありより細分化された環境で拡散すること、厳格なポリシーとユーザー ファイル解凍の強制などが挙げられると述べています。リスクを軽減するため。
「USB ドライブのセキュリティを強化するには、組織はデバイス制御ポリシーを実装して、不正な USB 使用を制限し、高度なエンドポイント セキュリティ ソリューションを使用してリムーバブル メディアを定期的にスキャンしてマルウェアを検出する必要があります。」と彼は言います。
ログ検出範囲を強化するために、Securonix は、Sysmon や PowerShell のログなど、追加のプロセス レベルのログを導入することを推奨しました。
「組織はまた、厳格なアプリケーションのホワイトリスト ポリシーを適用し、不審なアクティビティを監視してブロックするために、強化された電子メール フィルタリング、適切なシステム監視、エンドポイントの検出と対応ソリューションを実装する必要があります」とコレスニコフ氏は言います。
サイバー脅威、国家主体
ウクライナで進行中の地上戦は、デジタル分野でも同様に繰り広げられており、ウクライナ最大の移動体通信事業者であるキエフスターは、 12月にサイバー攻撃を受けた これにより、ウクライナ人口の半分以上の携帯電話サービスが壊滅した。
2023 年 XNUMX 月、Microsoft はロシアの APT の詳細をリリースしました カデットブリザード、ロシアのウクライナ侵攻に至るまでの数週間に展開されたワイパーマルウェアの原因であると考えられています。
ロシアのハクティビストグループ(国家と関係があると考えられている脅威グループ「ジョーカーDPR」を含む)によるサイバーセキュリティ攻撃も、ウクライナ軍の戦場管理システムDELTAに侵入したと主張している。 リアルタイムの軍隊の動きを明らかにする.
東ヨーロッパの紛争を超えて、 イラン, シリア, レバノン 中東各地の紛争におけるサイバー攻撃の脅威を実証します。これらの脅威の巧妙化は、国家の支援を受けた悪意のある攻撃者が、 マルウェアを最新化する 技術や複数の脅威グループが 一緒にバンディング より複雑な攻撃を開始します。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack
- :持っている
- :は
- $UP
- 2023
- 7
- a
- アクセス
- 越えて
- アクティビティ
- 俳優
- 適応
- NEW
- アドレス
- 高度な
- アドバイス
- に対して
- ことができます
- また
- 間で
- および
- 別の
- 申し込み
- アプローチ
- APT
- Archive
- です
- 周りに
- AS
- 攻撃
- 攻撃
- 回避
- 認知度
- 裏口
- Battlefield
- BE
- き
- 最大の
- ブロック
- ボルスター
- by
- キャンペーン
- キャンペーン
- 缶
- 実施
- セル
- 主張した
- コード
- 通信中
- 通信部
- 複雑な
- 妥協
- 損害を受けた
- 紛争
- 競合
- 含まれている
- コントロール
- カバレッジ
- サイバー
- サイバー攻撃
- サイバー攻撃
- データ
- 配信
- デルタ
- 実証します
- 展開
- 展開する
- 細部
- 検出
- デバイス
- 難しい
- デジタル
- 直接に
- 発見
- 途絶
- 明確な
- ディストリビューション
- DNS
- ドライブ
- ドライブ
- 原因
- 間に
- 動的に
- 東
- 東の
- 東ヨーロッパ
- 教育
- メール
- 埋め込まれた
- 従業員
- エンコーディング
- エンドポイント
- エンドポイントのセキュリティ
- 強制します
- 施行
- 高めます
- 強化された
- エンティティ
- 環境
- 環境
- スパイ
- 確立する
- ヨーロッパ
- 逃げる
- 回避
- 特別
- 実行します
- 実行する
- 実行
- 展示
- 説明
- 搾取
- 外部
- かなり
- File
- フィルタリング
- 利得
- 地政学的
- 陸上
- グループ
- グループの
- 成長
- 半分
- 持ってる
- he
- history
- HTTP
- HTTPS
- 実装する
- 実装
- in
- include
- 含めて
- 組み込む
- の増加
- を示し
- 利益
- 侵略
- 関与
- IP
- IPアドレス
- IT
- ITS
- 自体
- ジョーカー
- JPG
- 六月
- 起動する
- 打ち上げ
- 層
- 主要な
- ような
- 可能性が高い
- ローディング
- ログ
- ロギング
- 製
- 維持する
- 悪意のある
- マルウェア
- 管理
- 措置
- メディア
- 方法論
- メソッド
- Microsoft
- 真ん中
- 中東
- ミリタリー用(軍用)機材
- 軽減する
- モバイル
- モニター
- モニタリング
- 他には?
- 最も
- やる気
- 運動
- の試合に
- 名
- 自然
- 必要
- ネットワーク
- 新作
- 新しく
- 注意
- of
- on
- 継続
- オペレータ
- 組織
- その他
- でる
- 持続性
- フィッシング詐欺
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポリシー
- 人口
- 可能
- 潜在的な
- PowerShellの
- 社長
- 前
- 先を見越した
- 手続き
- プログラム
- 適切な
- クエリ
- への
- realm
- 認識する
- 定期的に
- 関連する
- リリース
- 依存
- リモート
- 除去
- レポート
- リクエスト
- 研究
- 応答
- 責任
- 制限する
- リスク
- ロシア
- ロシア
- s
- 同じ
- 言う
- スキャン
- セキュリティ
- 感度
- サービス
- すべき
- 類似
- ソリューション
- 洗練された
- 洗練された
- 広がる
- スターリンク
- 都道府県
- Stealth
- 保存され
- 厳格な
- そのような
- 疑わしい
- システム
- 戦術
- 対象となります
- テクニック
- 電気通信
- Telegram
- より
- それ
- ステート
- アプリ環境に合わせて
- ボーマン
- 考え
- 脅威
- 脅威アクター
- 脅威
- 介して
- 従って
- タイド
- 〜へ
- 伝統的な
- type
- Ukraine
- ウクライナ語
- 無許可
- 下
- 使用法
- USB
- USBドライブ
- つかいます
- ユーザー
- 、
- バイス
- 副会長
- 戦争
- ウクライナでの戦争
- ウィークス
- WELL
- 以内
- でしょう
- ゼファーネット