Сложная российская усовершенствованная постоянная угроза (APT) начала целенаправленную атаку PowerShell против украинских военных.
Скорее всего, нападение было совершено злоумышленники, связанные с Shuckworm, группы с историей кампаний против Украины, мотивированных геополитическими, шпионскими и подрывными интересами.
Вредоносная кампания, отслеживаемая Securonix под названием STEADY#URSA, использует недавно обнаруженный бэкдор на базе PowerShell SUBTLE-PAWS для проникновения и компрометации целевых систем.
Этот тип бэкдора позволяет злоумышленникам получать несанкционированный доступ, выполнять команды и сохранять устойчивость в скомпрометированных системах.
Методика атаки предполагает распространение вредоносной нагрузки через сжатые файлы, доставляемые через фишинговые электронные письма.
Распространение и боковое перемещение вредоносного ПО осуществляется через USB-накопители, что устраняет необходимость прямого доступа к сети.
В отчете отмечается, что такой подход будет затруднен из-за закрытых коммуникаций Украины, таких как Starlink.
Кампания имеет сходство с вредоносным ПО Shuckworm и включает в себя различные тактики, методы и процедуры (TTP). наблюдалось в предыдущих киберкампаниях против украинских военных.
Олег Колесников, вице-президент Securonix по исследованию угроз и анализу данных/ИИ, объясняет, что SUBTLE-PAWS отличается «довольно эксклюзивным» использованием для выполнения внедисковых стейджеров/PowerShell, избегая традиционных двоичных полезных нагрузок. Он также использует дополнительные уровни методов запутывания и уклонения.
«К ним относятся кодирование, разделение команд и сохранение на основе реестра, чтобы избежать обнаружения среди прочего», — говорит он.
Он устанавливает командование и контроль (C2) посредством связи через Telegram с удаленным сервером, используя адаптивные методы, такие как DNS-запросы и HTTP-запросы с динамически сохраняемыми IP-адресами.
Вредоносная программа также использует меры скрытности, такие как кодирование Base64 и XOR, методы рандомизации и чувствительность к окружающей среде, чтобы повысить свою неуловимость.
Целевой объект запускает вредоносный файл ярлыка (.lnk), инициируя загрузку и выполнение нового кода полезной нагрузки бэкдора PowerShell.
Бэкдор SUBTLE-PAWS встроен в другой файл, содержащийся в том же сжатом архиве.
Колесников говорит, что возможные превентивные меры могут включать реализацию программ обучения пользователей для распознавания потенциальных атак по электронной почте, повышение осведомленности об использовании вредоносных полезных данных .lnk на внешних дисках для распространения в изолированных и более разделенных средах, а также соблюдение строгих политик и распаковку пользовательских файлов. для снижения рисков.
«Чтобы повысить безопасность USB-накопителей, организациям следует внедрить политики контроля устройств, ограничивающие несанкционированное использование USB, и регулярно сканировать съемные носители на наличие вредоносных программ с использованием передовых решений по обеспечению безопасности конечных точек», — говорит он.
Чтобы расширить охват обнаружения журналов, компания Securonix посоветовала развернуть дополнительное ведение журналов на уровне процессов, например ведение журналов Sysmon и PowerShell.
«Организациям также следует применять строгие политики внесения в белые списки приложений [и] внедрять расширенную фильтрацию электронной почты, надлежащий мониторинг системы, а также решения по обнаружению и реагированию на конечных точках для мониторинга и блокировки подозрительной активности», — говорит Колесников.
Киберугрозы, государственные субъекты
Продолжающаяся наземная война в Украине ведется и в цифровой сфере: «Киевстар», крупнейший оператор мобильной связи Украины, пострадал от кибератаки в декабре что уничтожило сотовую связь для более половины населения Украины.
В июне 2023 года Microsoft опубликовала подробности российского APT. Кадет Вьюга, предположительно ответственный за вредоносное ПО Wiper, развернутое за несколько недель до вторжения России в Украину.
Атаки кибербезопасности со стороны российских хактивистских группировок, включая группу угроз «Джокер ДНР», предположительно связанную с государством, также утверждают, что они взломали систему управления полем боя украинских вооруженных сил DELTA. выявление передвижений войск в реальном времени.
Помимо конфликта в Восточной Европе, группы угроз в включая Иран, Сирияи Ливан продемонстрировать угрозу кибератак в конфликтах на Ближнем Востоке. Растущая изощренность этих угроз указывает на то, что злоумышленники, поддерживаемые государством, модернизируют свои вредоносные программы методы, и несколько групп угроз объединяться для запуска более сложных атак.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack
- :имеет
- :является
- $UP
- 2023
- 7
- a
- доступ
- через
- деятельность
- актеры
- адаптивный
- дополнительный
- адреса
- продвинутый
- рекомендуется
- против
- позволяет
- причислены
- среди
- и
- Другой
- Применение
- подхода
- APT
- архив
- МЫ
- около
- AS
- атаковать
- нападки
- избегающий
- осведомленность
- задняя дверь
- Battlefield
- BE
- было
- Крупнейшая
- Заблокировать
- поддерживать
- by
- Кампания
- Кампании
- CAN
- проводятся
- ячейка
- заявил
- код
- общение
- Связь
- комплекс
- скомпрометированы
- Ослабленный
- конфликт
- конфликты
- содержащегося
- контроль
- охват
- кибер-
- Кибератака
- кибератаки
- данным
- поставляется
- Delta
- демонстрировать
- развернуть
- развертывание
- подробнее
- обнаружение
- устройство
- трудный
- Интернет
- непосредственно
- открытый
- Нарушение
- отчетливый
- распределение
- DNS
- управлять
- диски
- два
- в течение
- динамично
- восток
- восточный
- Восточная Европа
- Обучение
- Писем
- встроенный
- работает
- кодирование
- Конечная точка
- Защита конечных точек
- обеспечивать соблюдение
- обеспечение соблюдения
- повышать
- расширение
- организация
- Окружающая среда
- средах
- шпионаж
- налаживает
- Европе
- Evade
- уклонение
- Эксклюзивные
- выполнять
- Выполняет
- выполнение
- Экспонаты
- Объясняет
- эксплуатация
- и, что лучший способ
- достаточно
- Файл
- Файлы
- фильтрация
- Что касается
- Gain
- геополитический
- земля
- группы
- Группы
- Рост
- Половина
- Есть
- he
- история
- HTTP
- HTTPS
- осуществлять
- Осуществляющий
- in
- включают
- В том числе
- включает в себя
- повышение
- указывает
- интересы
- вторжение
- включает в себя
- IP
- IP-адреса
- IT
- ЕГО
- саму трезвость
- джокер
- JPG
- июнь
- запуск
- запустили
- слоев
- ведущий
- такое как
- Вероятно
- погрузка
- журнал
- каротаж
- сделанный
- поддерживать
- злонамеренный
- вредоносных программ
- управление
- меры
- Медиа
- Методология
- методы
- Microsoft
- средняя
- Ближний Восток
- военный
- смягчать
- Мобильный телефон
- монитор
- Мониторинг
- БОЛЕЕ
- самых
- мотивированные
- движение
- с разными
- имя
- природа
- Необходимость
- сеть
- Новые
- вновь
- отметил,
- of
- on
- постоянный
- оператор
- организации
- Другое
- внешний
- настойчивость
- фишинг
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- сборах
- население
- возможное
- потенциал
- PowerShell
- президент
- предыдущий
- Проактивная
- Процедуры
- Программы
- правильный
- Запросы
- реального времени
- область
- признавать
- регулярно
- Связанный
- выпустил
- опора
- удаленные
- удаление
- отчету
- Запросы
- исследованиям
- ответ
- ответственный
- ограничивать
- рисках,
- Россия
- русский
- s
- то же
- говорит
- сканирование
- безопасность
- чувствительность
- сервер
- обслуживание
- должен
- сходство
- Решения
- сложный
- утонченность
- распространение
- Starlink
- Область
- Stealth
- хранить
- Строгий
- такие
- подозрительный
- система
- системы
- тактика
- целевое
- снижения вреда
- телеком
- Telegram
- чем
- который
- Ассоциация
- Государство
- их
- Эти
- мысль
- угроза
- актеры угрозы
- угрозы
- Через
- Таким образом
- Связанный
- в
- традиционный
- напишите
- Украина
- украинский
- неразрешенный
- под
- Применение
- USB
- USB-накопители
- использование
- Информация о пользователе
- через
- с помощью
- вице
- вице-президент
- войны
- Война на Украине
- Недели
- ЧТО Ж
- в
- бы
- зефирнет