Oekraïens leger doelwit van Russische APT PowerShell-aanval

Een geavanceerde Russische geavanceerde persistente dreiging (APT) heeft een gerichte PowerShell-aanvalscampagne tegen het Oekraïense leger gelanceerd.

De aanval is hoogstwaarschijnlijk gepleegd door kwaadaardige bedreigingsactoren gerelateerd aan Shuckworm, een groep met een geschiedenis van campagnes tegen Oekraïne, gemotiveerd door geopolitieke, spionage- en ontwrichtingsbelangen.

De kwaadaardige campagne, gevolgd door Securonix onder de naam STEADY#URSA, maakt gebruik van een nieuw ontdekte SUBTLE-PAWS PowerShell-gebaseerde achterdeur om gerichte systemen te infiltreren en te compromitteren.

Met dit type achterdeur kunnen bedreigingsactoren ongeautoriseerde toegang verkrijgen, opdrachten uitvoeren en persistentie behouden binnen gecompromitteerde systemen.

De aanvalsmethodologie omvat de verspreiding van een kwaadaardige lading via gecomprimeerde bestanden die worden afgeleverd via phishing-e-mails.

De verspreiding en zijdelingse verplaatsing van de malware wordt uitgevoerd via USB-drives, waardoor directe toegang tot het netwerk overbodig wordt.

In het rapport werd opgemerkt dat dit type aanpak moeilijk zou worden vanwege de Oekraïense communicatie via de lucht, zoals Starlink.

De campagne vertoont overeenkomsten met de Shuckworm-malware en bevat verschillende tactieken, technieken en procedures (TTP's) waargenomen bij eerdere cybercampagnes tegen het Oekraïense leger.

Oleg Kolesnikov, vice-president van bedreigingsonderzoek en datawetenschap/AI voor Securonix, legt uit dat SUBTLE-PAWS zich onderscheidt door zijn “redelijk exclusieve” afhankelijkheid van off-disk/PowerShell-stagers voor uitvoering, waardoor traditionele binaire payloads worden vermeden. Er worden ook extra lagen van verduisterings- en ontwijkingstechnieken gebruikt.

“Deze omvatten onder meer codering, het splitsen van opdrachten en op registers gebaseerde persistentie om detectie te omzeilen”, zegt hij.

Het brengt command and control (C2) tot stand door via Telegram te communiceren met een externe server, met behulp van adaptieve methoden zoals DNS-query's en HTTP-verzoeken met dynamisch opgeslagen IP-adressen.

De malware maakt ook gebruik van stealth-maatregelen zoals Base64- en XOR-codering, randomisatietechnieken en omgevingsgevoeligheid om het ongrijpbare karakter ervan te vergroten.

De beoogde entiteit voert een kwaadaardig snelkoppelingsbestand (.lnk) uit, waardoor het laden en uitvoeren van een nieuwe PowerShell-backdoor-payloadcode wordt geïnitieerd.

De SUBTLE-PAWS-achterdeur is ingebed in een ander bestand in hetzelfde gecomprimeerde archief.

Kolesnikov zegt dat mogelijke proactieve maatregelen het implementeren van gebruikerseducatieprogramma's kunnen zijn om potentiële exploitatie via e-mail te herkennen, het vergroten van het bewustzijn rond het gebruik van kwaadaardige .lnk-payloads op externe schijven om zich te verspreiden in air-gapped en meer gecompartimenteerde omgevingen, en het afdwingen van strikt beleid en decompressie van gebruikersbestanden. om risico’s te beperken.

“Om de beveiliging van USB-drives te versterken, moeten organisaties apparaatcontrolebeleid implementeren om ongeoorloofd USB-gebruik te beperken en verwijderbare media regelmatig op malware te scannen met behulp van geavanceerde eindpuntbeveiligingsoplossingen”, zegt hij.

Om de dekking voor logboekdetectie te vergroten, adviseerde Securonix om extra logboekregistratie op procesniveau in te zetten, zoals Sysmon- en PowerShell-logboekregistratie.

“Organisaties moeten ook een strikt beleid voor het whitelisten van applicaties afdwingen [en] verbeterde e-mailfilters, goede systeemmonitoring en eindpuntdetectie- en responsoplossingen implementeren om verdachte activiteiten te monitoren en te blokkeren”, zegt Kolesnikov.

Cyberdreigingen, staatsactoren

De aanhoudende grondoorlog in Oekraïne wordt ook op digitaal gebied gevoerd, waarbij Kyivstar, de grootste mobiele telecomoperator van Oekraïne, december getroffen door een cyberaanval waardoor de mobiele telefonie voor meer dan de helft van de Oekraïense bevolking wegvaagde.

In juni 2023 heeft Microsoft details vrijgegeven van de Russische APT Kadet Sneeuwstorm, vermoedelijk verantwoordelijk voor wiper-malware die werd ingezet in de weken voorafgaand aan de Russische invasie van Oekraïne.

Cybersecurity-aanvallen door Russische hacktivistische groepen – waaronder de Joker DPR-dreigingsgroep, waarvan men denkt dat ze banden hebben met de staat – beweerden ook het Oekraïense leger te hebben geschonden, het slagveldbeheersysteem DELTA. het onthullen van realtime troepenbewegingen.

Naast het conflict in Oost-Europa komen er ook dreigingsgroepen binnen Iran, Syrië en Libanon de dreiging van cyberaanvallen in conflicten in het Midden-Oosten aan te tonen. De toenemende verfijning van deze bedreigingen wijst erop dat door de staat gesteunde kwaadwillige actoren dat wel zijn moderniseren van hun malware technieken, en er zijn meerdere dreigingsgroepen samenbinden om complexere aanvallen uit te voeren.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack