Armata ucraineană vizată de un atac rusesc APT PowerShell

O amenințare persistentă avansată (APT) rusă sofisticată a lansat o campanie de atac PowerShell țintit împotriva armatei ucrainene.

Atacul este cel mai probabil săvârșit de actori de amenințări rău intenționați legați de Shuckworm, un grup cu o istorie de campanii împotriva Ucrainei, motivat de interese geopolitice, de spionaj și de perturbare.

Campania rău intenționată, urmărită de Securonix sub numele STEADY#URSA, folosește o ușă secundară bazată pe PowerShell SUBTLE-PAWS recent descoperită pentru a se infiltra și a compromite sistemele vizate.

Acest tip de backdoor permite actorilor amenințărilor să obțină acces neautorizat, să execute comenzi și să mențină persistența în sistemele compromise.

Metodologia de atac implică distribuirea unei sarcini utile rău intenționate prin fișiere comprimate livrate prin e-mailuri de phishing.

Distribuția și mișcarea laterală a malware-ului se realizează prin intermediul unităților USB, eliminând astfel necesitatea accesului direct la rețea.

Raportul a menționat că tipul de abordare ar fi îngreunat din cauza comunicațiilor prin aer întrerupt ale Ucrainei precum Starlink.

Campania prezintă asemănări cu malware-ul Shuckworm și încorporează tactici, tehnici și proceduri distincte (TTP) observate în campaniile cibernetice anterioare împotriva armatei ucrainene.

Oleg Kolesnikov, vicepreședinte pentru cercetarea amenințărilor și știința datelor/AI pentru Securonix, explică că SUBTLE-PAWS se diferențiază prin dependența „destul de exclusivă” de stagers off-disk/PowerShell pentru execuție, evitând încărcăturile binare tradiționale. De asemenea, utilizează straturi suplimentare de tehnici de ofuscare și evaziune.

„Acestea includ codificarea, împărțirea comenzilor și persistența bazată pe registru pentru a evita detectarea, printre altele”, spune el.

Stabilește comandă și control (C2) prin comunicarea prin Telegram cu un server de la distanță, folosind metode adaptive precum interogări DNS și solicitări HTTP cu adrese IP stocate dinamic.

Malware-ul folosește, de asemenea, măsuri ascunse, cum ar fi codificarea Base64 și XOR, tehnici de randomizare și sensibilitatea mediului pentru a-și îmbunătăți natura evazivă.

Entitatea vizată execută un fișier de scurtătură rău intenționat (.lnk), inițiind încărcarea și execuția unui nou cod de încărcare utilă PowerShell backdoor.

Backdoor-ul SUBTLE-PAWS este încorporat într-un alt fișier conținut în aceeași arhivă comprimată.

Kolesnikov spune că posibilele măsuri proactive pot include implementarea programelor de educare a utilizatorilor pentru a recunoaște potențiala exploatare prin e-mail, creșterea gradului de conștientizare cu privire la utilizarea de încărcături utile .lnk rău intenționate pe unități externe pentru a se răspândi în medii mai compartimentate și cu aer liber și aplicarea politicilor stricte și decomprimarea fișierelor utilizatorului. pentru a atenua riscurile.

„Pentru a spori securitatea unității USB, organizațiile ar trebui să implementeze politici de control al dispozitivelor pentru a restricționa utilizarea neautorizată a USB și să scaneze în mod regulat mediile amovibile pentru malware folosind soluții avansate de securitate pentru punctele terminale”, spune el.

Pentru a îmbunătăți acoperirea de detectare a jurnalelor, Securonix a sfătuit implementarea înregistrărilor suplimentare la nivel de proces, cum ar fi jurnalizarea Sysmon și PowerShell.

„Organizațiile ar trebui, de asemenea, să aplice politici stricte de înscriere în lista albă a aplicațiilor [și] să implementeze filtrarea e-mail îmbunătățită, monitorizarea adecvată a sistemului și soluții de detectare și răspuns la punctele finale pentru a monitoriza și bloca activitățile suspecte”, spune Kolesnikov.

Amenințări cibernetice, actori de stat

Războiul terestre care se desfășoară în Ucraina a fost purtat și în domeniul digital, cu Kyivstar, cel mai mare operator de telecomunicații mobile din Ucraina, suferind un atac cibernetic în decembrie care a distrus serviciul celular pentru mai mult de jumătate din populația Ucrainei.

În iunie 2023, Microsoft a lansat detalii despre APT rusesc Cadet Blizzard, considerat a fi responsabil pentru programele malware de ștergere implementate în săptămânile premergătoare invaziei Rusiei în Ucraina.

Atacurile de securitate cibernetică ale grupurilor ruse de hacktiviste – inclusiv grupul de amenințare Joker DPR, despre care se crede că ar fi legat de stat – au susținut, de asemenea, că au încălcat sistemul de management al câmpului de luptă al armatei ucrainene DELTA, dezvăluind mișcările trupelor în timp real.

Dincolo de conflictul din Europa de Est, grupurile de amenințare în Iran, Siria, și Liban demonstrează amenințarea atacurilor cibernetice în conflictele din Orientul Mijlociu. Sofisticarea tot mai mare a acestor amenințări indică actorii rău intenționați susținuți de stat modernizarea lor malware tehnici și mai multe grupuri de amenințări sunt unindu-se pentru a lansa atacuri mai complexe.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack