En sofistikert russisk avansert vedvarende trussel (APT) har lansert en målrettet PowerShell-angrepskampanje mot det ukrainske militæret.
Angrepet er mest sannsynlig utført av ondsinnede trusselaktører relatert til Shuckworm, en gruppe med en historie med kampanjer mot Ukraina, motivert av geopolitiske, spionasje- og forstyrrelsesinteresser.
Den ondsinnede kampanjen, sporet av Securonix under navnet STEADY#URSA, bruker en nyoppdaget SUBTLE-PAWS PowerShell-basert bakdør for å infiltrere og kompromittere målrettede systemer.
Denne typen bakdør lar trusselaktører få uautorisert tilgang, utføre kommandoer og opprettholde utholdenhet innenfor kompromitterte systemer.
Angrepsmetodikken innebærer distribusjon av en ondsinnet nyttelast gjennom komprimerte filer levert via phishing-e-post.
Distribusjon og sideveis bevegelse av skadevaren utføres gjennom USB-stasjoner, og fjerner dermed behovet for å få direkte tilgang til nettverket.
Rapporten bemerket at typen tilnærming ville bli vanskelig på grunn av Ukrainas luftgapet kommunikasjon som Starlink.
Kampanjen viser likheter med den skadelige programvaren Shuckworm, og den inneholder forskjellige taktikker, teknikker og prosedyrer (TTP-er) observert i tidligere cyberkampanjer mot det ukrainske militæret.
Oleg Kolesnikov, visepresident for trusselforskning og datavitenskap/AI for Securonix, forklarer at SUBTLE-PAWS differensierer seg ved sin "ganske eksklusive" avhengighet av off-disk/PowerShell stagers for utførelse, og unngår tradisjonelle binære nyttelaster. Den bruker også flere lag med tilslørings- og unnvikelsesteknikker.
"Disse inkluderer koding, kommandooppdeling og registerbasert utholdenhet for å unngå gjenkjenning blant andre," sier han.
Den etablerer kommando og kontroll (C2) ved å kommunisere via Telegram med en ekstern server, ved hjelp av adaptive metoder som DNS-spørringer og HTTP-forespørsler med dynamisk lagrede IP-adresser.
Skadevaren bruker også stealth-tiltak som Base64- og XOR-koding, randomiseringsteknikker og miljøfølsomhet for å forbedre dens unnvikende natur.
Den målrettede enheten kjører en ondsinnet snarvei-fil (.lnk), og starter lasting og kjøring av en ny PowerShell-bakdørs nyttelastkode.
SUBTLE-PAWS-bakdøren er innebygd i en annen fil i det samme komprimerte arkivet.
Kolesnikov sier at mulige proaktive tiltak kan inkludere implementering av brukeropplæringsprogrammer for å gjenkjenne potensiell utnyttelse via e-post, øke bevisstheten rundt bruken av ondsinnede .lnk-nyttelaster på eksterne stasjoner for å spre seg i luftgapte og mer oppdelte miljøer, og håndheve strenge retningslinjer og brukerfildekomprimering. for å redusere risiko.
"For å styrke USB-stasjonens sikkerhet, bør organisasjoner implementere enhetskontrollpolicyer for å begrense uautorisert USB-bruk og regelmessig skanne flyttbare medier for skadelig programvare ved å bruke avanserte endepunktsikkerhetsløsninger," sier han.
For å forbedre loggdeteksjonsdekningen rådet Securonix til å distribuere ytterligere logging på prosessnivå, for eksempel Sysmon- og PowerShell-logging.
"Organisasjoner bør også håndheve strenge retningslinjer for godkjenning av applikasjoner [og] implementere forbedret e-postfiltrering, riktig systemovervåking og endepunktdeteksjon og svarløsninger for å overvåke og blokkere mistenkelig aktivitet," sier Kolesnikov.
Cybertrusler, statlige aktører
Den pågående bakkekrigen i Ukraina har også blitt ført i det digitale riket, med Kyivstar, Ukrainas største mobiltelekomoperatør, ble utsatt for et nettangrep i desember som utslettet mobiltjeneste for mer enn halvparten av Ukrainas befolkning.
I juni 2023 ga Microsoft ut detaljer om russisk APT Kadett Blizzard, antas å være ansvarlig for tørkeskadelig programvare som ble utplassert i løpet av ukene før Russlands invasjon av Ukraina.
Cybersikkerhetsangrep fra russiske hacktivistgrupper - inkludert Joker DPR-trusselgruppen, antatt å være knyttet til staten - hevdet også å ha brutt det ukrainske militærets slagmarkstyringssystem DELTA, avsløre troppebevegelser i sanntid.
Utover konflikten i Øst-Europa er trusselgrupper i Iran, Syriaog Libanon demonstrere trusselen om nettangrep i konflikter over hele Midtøsten. Den økende sofistikeringen av disse truslene indikerer at statsstøttede ondsinnede aktører er det modernisere skadevare teknikker, og flere trusselgrupper er slå seg sammen å sette i gang mer komplekse angrep.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack
- : har
- :er
- $OPP
- 2023
- 7
- a
- adgang
- tvers
- aktivitet
- aktører
- adaptive
- Ytterligere
- adresser
- avansert
- rådes
- mot
- tillater
- også
- blant
- og
- En annen
- Søknad
- tilnærming
- APT
- Arkiv
- ER
- rundt
- AS
- angripe
- Angrep
- unngå
- bevissthet
- backdoor
- Battlefield
- BE
- vært
- Biggest
- Blokker
- styrke
- by
- Kampanje
- Kampanjer
- CAN
- gjennomført
- celle
- hevdet
- kode
- kommunisere
- kommunikasjon
- komplekse
- kompromiss
- kompromittert
- konflikt
- konflikter
- inneholdt
- kontroll
- dekning
- cyber
- Cyber angrep
- cyberattacks
- dato
- levert
- Delta
- demonstrere
- utplassert
- utplasserings
- detaljer
- Gjenkjenning
- enhet
- vanskelig
- digitalt
- direkte
- oppdaget
- Avbrudd
- distinkt
- distribusjon
- dns
- stasjonen
- stasjoner
- to
- under
- dynamisk
- øst
- østlige
- Øst-Europa
- Kunnskap
- emalje
- e-post
- innebygd
- anvender
- koding
- Endpoint
- Endpoint sikkerhet
- håndheve
- håndheving
- forbedre
- forbedret
- enhet
- Miljø
- miljøer
- spionasje
- etablerer
- Europa
- unngå
- unnvikelse
- Eksklusiv
- henrette
- Utfører
- gjennomføring
- utstillinger
- forklarer
- utnytting
- utvendig
- ganske
- filet
- Filer
- filtrering
- Til
- Gevinst
- geopolitiske
- Ground
- Gruppe
- Gruppens
- Økende
- Halvparten
- Ha
- he
- historie
- http
- HTTPS
- iverksette
- implementere
- in
- inkludere
- Inkludert
- inkorporerer
- økende
- indikerer
- interesser
- invasjon
- innebærer
- IP
- IP-adresser
- IT
- DET ER
- selv
- Joker
- jpg
- juni
- lansere
- lansert
- lag
- ledende
- i likhet med
- Sannsynlig
- lasting
- logg
- logging
- laget
- vedlikeholde
- skadelig
- malware
- ledelse
- målinger
- Media
- metodikk
- metoder
- Microsoft
- Middle
- Midtøsten
- Militær
- Minske
- Mobil
- Overvåke
- overvåking
- mer
- mest
- motivert
- bevegelse
- flere
- navn
- Natur
- Trenger
- nettverk
- Ny
- nylig
- bemerket
- of
- on
- pågående
- operatør
- organisasjoner
- andre
- ut
- utholdenhet
- phishing
- plato
- Platon Data Intelligence
- PlatonData
- Politikk
- befolkningen
- mulig
- potensiell
- PowerShell
- president
- forrige
- Proaktiv
- prosedyrer
- programmer
- ordentlig
- spørsmål
- sanntids
- riket
- gjenkjenne
- regelmessig
- i slekt
- utgitt
- avhengighet
- fjernkontroll
- fjerne
- rapporterer
- forespørsler
- forskning
- svar
- ansvarlig
- begrense
- risikoer
- Russland
- russisk
- s
- samme
- sier
- skanne
- sikkerhet
- Følsomhet
- server
- tjeneste
- bør
- likheter
- Solutions
- sofistikert
- raffinement
- spre
- Star
- Tilstand
- Stealth
- lagret
- Streng
- slik
- mistenkelig
- system
- Systemer
- taktikk
- målrettet
- teknikker
- telekom
- Telegram
- enn
- Det
- De
- Staten
- deres
- Disse
- trodde
- trussel
- trusselaktører
- trusler
- Gjennom
- Dermed
- Tied
- til
- tradisjonelle
- typen
- Ukraina
- ukrainsk
- uautorisert
- etter
- bruk
- usb
- USB-stasjoner
- bruke
- Bruker
- ved hjelp av
- av
- vice
- Vice President
- krig
- Krig i Ukraina
- uker
- VI VIL
- med
- innenfor
- ville
- zephyrnet
