ภัยคุกคามขั้นสูงแบบถาวรขั้นสูงของรัสเซีย (APT) ได้เปิดตัวแคมเปญโจมตี PowerShell แบบกำหนดเป้าหมายต่อกองทัพยูเครน
การโจมตีน่าจะกระทำโดย ผู้คุกคามที่เป็นอันตรายที่เกี่ยวข้องกับ Shuckwormซึ่งเป็นกลุ่มที่มีประวัติการรณรงค์ต่อต้านยูเครน โดยได้รับแรงบันดาลใจจากผลประโยชน์ทางภูมิรัฐศาสตร์ การจารกรรม และการหยุดชะงัก
แคมเปญที่เป็นอันตรายซึ่งติดตามโดย Securonix ภายใต้ชื่อ STEADY#URSA ใช้แบ็คดอร์ที่ใช้ SUBTLE-PAWS PowerShell ที่เพิ่งค้นพบเพื่อแทรกซึมและประนีประนอมระบบเป้าหมาย
แบ็คดอร์ประเภทนี้ช่วยให้ผู้คุกคามสามารถเข้าถึงโดยไม่ได้รับอนุญาต ดำเนินการคำสั่ง และรักษาความคงอยู่ภายในระบบที่ถูกบุกรุก
วิธีการโจมตีเกี่ยวข้องกับการแจกจ่ายเพย์โหลดที่เป็นอันตรายผ่านไฟล์บีบอัดที่ส่งผ่านอีเมลฟิชชิ่ง
การแพร่กระจายและการเคลื่อนย้ายด้านข้างของมัลแวร์จะดำเนินการผ่านไดรฟ์ USB ดังนั้นจึงไม่จำเป็นต้องเข้าถึงเครือข่ายโดยตรง
รายงานระบุว่าแนวทางประเภทนี้อาจทำได้ยากเนื่องจากการสื่อสารทางอากาศของยูเครนเช่น Starlink
แคมเปญนี้มีความคล้ายคลึงกับมัลแวร์ Shuckworm และรวมเอากลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่แตกต่างกัน สังเกตได้จากแคมเปญไซเบอร์ครั้งก่อน ต่อต้านกองทัพยูเครน
Oleg Kolesnikov รองประธานฝ่ายวิจัยภัยคุกคามและวิทยาศาสตร์ข้อมูล/AI ของ Securonix อธิบายว่า SUBTLE-PAWS สร้างความแตกต่างด้วยการพึ่งพา "ค่อนข้างพิเศษ" ในการดำเนินการตามขั้นตอนนอกดิสก์/PowerShell โดยหลีกเลี่ยงเพย์โหลดไบนารีแบบดั้งเดิม นอกจากนี้ยังใช้เทคนิคการทำให้งงงวยและการหลีกเลี่ยงเพิ่มเติมอีกชั้นหนึ่ง
“สิ่งเหล่านี้รวมถึงการเข้ารหัส การแยกคำสั่ง และการคงอยู่ตามรีจิสตรี เพื่อหลบเลี่ยงการตรวจจับ” เขากล่าว
สร้างคำสั่งและการควบคุม (C2) โดยการสื่อสารผ่าน Telegram กับเซิร์ฟเวอร์ระยะไกล โดยใช้วิธีการปรับเปลี่ยน เช่น การสืบค้น DNS และคำขอ HTTP พร้อมที่อยู่ IP ที่จัดเก็บแบบไดนามิก
มัลแวร์ยังใช้มาตรการลักลอบ เช่น การเข้ารหัส Base64 และ XOR เทคนิคการสุ่ม และความไวต่อสภาพแวดล้อมเพื่อปรับปรุงธรรมชาติที่เข้าใจยาก
เอนทิตีที่เป็นเป้าหมายเรียกใช้ไฟล์ทางลัดที่เป็นอันตราย (.lnk) เริ่มต้นการโหลดและการดำเนินการของรหัสเพย์โหลดแบ็คดอร์ PowerShell ใหม่
แบ็คดอร์ SUBTLE-PAWS ถูกฝังอยู่ในไฟล์อื่นที่อยู่ในไฟล์บีบอัดเดียวกัน
Kolesnikov กล่าวว่ามาตรการเชิงรุกที่เป็นไปได้อาจรวมถึงการใช้โปรแกรมการให้ความรู้แก่ผู้ใช้เพื่อรับรู้ถึงการแสวงหาประโยชน์ที่อาจเกิดขึ้นผ่านทางอีเมล การเพิ่มความตระหนักเกี่ยวกับการใช้เพย์โหลด .lnk ที่เป็นอันตรายบนไดรฟ์ภายนอกเพื่อแพร่กระจายในสภาพแวดล้อมที่มีช่องว่างอากาศและมีการแบ่งส่วนมากขึ้น และการบังคับใช้นโยบายที่เข้มงวดและการบีบอัดไฟล์ผู้ใช้ เพื่อลดความเสี่ยง
“เพื่อเสริมการรักษาความปลอดภัยของไดรฟ์ USB องค์กรต่างๆ ควรใช้นโยบายการควบคุมอุปกรณ์เพื่อจำกัดการใช้งาน USB ที่ไม่ได้รับอนุญาต และสแกนสื่อแบบถอดได้เพื่อหามัลแวร์เป็นประจำโดยใช้โซลูชันความปลอดภัยปลายทางขั้นสูง” เขากล่าว
เพื่อเพิ่มความครอบคลุมการตรวจจับบันทึก Securonix แนะนำให้ปรับใช้การบันทึกระดับกระบวนการเพิ่มเติม เช่น การบันทึก Sysmon และ PowerShell
“องค์กรควรบังคับใช้นโยบายไวท์ลิสต์แอปพลิเคชันที่เข้มงวด [และ] ใช้การกรองอีเมลที่ได้รับการปรับปรุง การตรวจสอบระบบที่เหมาะสม และโซลูชันการตรวจจับและตอบสนองปลายทางเพื่อตรวจสอบและบล็อกกิจกรรมที่น่าสงสัย” Kolesnikov กล่าว
ภัยคุกคามทางไซเบอร์ ผู้มีบทบาทของรัฐ
สงครามภาคพื้นดินที่กำลังดำเนินอยู่ในยูเครนยังเกิดขึ้นในโลกดิจิทัลเช่นกัน โดย Kyivstar ซึ่งเป็นผู้ให้บริการโทรคมนาคมเคลื่อนที่รายใหญ่ที่สุดของยูเครน ประสบกับการโจมตีทางไซเบอร์ในเดือนธันวาคม ที่ทำให้บริการโทรศัพท์เคลื่อนที่หายไปมากกว่าครึ่งหนึ่งของประชากรยูเครน
ในเดือนมิถุนายน 2023 Microsoft เปิดเผยรายละเอียดของ APT ของรัสเซีย นักเรียนนายร้อยพายุหิมะซึ่งคิดว่าเป็นผู้รับผิดชอบต่อมัลแวร์ไวเปอร์ที่ถูกนำไปใช้ในช่วงหลายสัปดาห์ที่นำไปสู่การรุกรานยูเครนของรัสเซีย
การโจมตีด้านความปลอดภัยทางไซเบอร์โดยกลุ่มแฮ็กทีวิสต์ชาวรัสเซีย ซึ่งรวมถึงกลุ่มภัยคุกคาม Joker DPR ที่คิดว่าเชื่อมโยงกับรัฐ ยังอ้างว่าได้ละเมิดระบบการจัดการสนามรบของกองทัพยูเครน DELTA เผยความเคลื่อนไหวของกองทหารแบบเรียลไทม์.
นอกเหนือจากความขัดแย้งในยุโรปตะวันออก กลุ่มภัยคุกคามใน อิหร่าน, ซีเรียและ เลบานอน แสดงให้เห็นถึงภัยคุกคามจากการโจมตีทางไซเบอร์ในความขัดแย้งทั่วตะวันออกกลาง ความซับซ้อนที่เพิ่มขึ้นของภัยคุกคามเหล่านี้บ่งชี้ว่าผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐเป็นเช่นนั้น ปรับปรุงมัลแวร์ให้ทันสมัย เทคนิคและกลุ่มภัยคุกคามต่างๆ มากมาย มัดรวมกัน เพื่อเปิดการโจมตีที่ซับซ้อนมากขึ้น
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack
- :มี
- :เป็น
- $ ขึ้น
- 2023
- 7
- a
- เข้า
- ข้าม
- อยากทำกิจกรรม
- นักแสดง
- ปรับได้
- เพิ่มเติม
- ที่อยู่
- สูง
- ให้คำแนะนำ
- กับ
- ช่วยให้
- ด้วย
- ในหมู่
- และ
- อื่น
- การใช้งาน
- เข้าใกล้
- APT
- เอกสารเก่า
- เป็น
- รอบ
- AS
- โจมตี
- การโจมตี
- หลีกเลี่ยง
- ความตระหนัก
- ประตูหลัง
- สนามรบ
- BE
- รับ
- ที่ใหญ่ที่สุด
- ปิดกั้น
- หนุน
- by
- รณรงค์
- แคมเปญ
- CAN
- ดำเนินการ
- เซลล์
- อ้างว่า
- รหัส
- การติดต่อสื่อสาร
- คมนาคม
- ซับซ้อน
- การประนีประนอม
- ที่ถูกบุกรุก
- ขัดกัน
- ความขัดแย้ง
- ที่มีอยู่
- ควบคุม
- ความคุ้มครอง
- ไซเบอร์
- cyberattack
- cyberattacks
- ข้อมูล
- ส่ง
- สันดอน
- สาธิต
- นำไปใช้
- ปรับใช้
- รายละเอียด
- การตรวจพบ
- เครื่อง
- ยาก
- ดิจิตอล
- โดยตรง
- ค้นพบ
- การหยุดชะงัก
- แตกต่าง
- การกระจาย
- DNS
- ขับรถ
- ไดรฟ์
- สอง
- ในระหว่าง
- แบบไดนามิก
- ตะวันออก
- ทางตะวันออก
- ยุโรปตะวันออก
- การศึกษา
- อีเมล
- อีเมล
- ที่ฝัง
- พนักงาน
- การเข้ารหัส
- ปลายทาง
- การรักษาความปลอดภัยปลายทาง
- บังคับใช้
- การบังคับใช้
- เสริม
- ที่เพิ่มขึ้น
- เอกลักษณ์
- สิ่งแวดล้อม
- สภาพแวดล้อม
- การจารกรรม
- ก่อตั้ง
- ยุโรป
- หลบเลี่ยง
- การหลีกเลี่ยง
- พิเศษ
- ดำเนินการ
- รัน
- การปฏิบัติ
- การจัดแสดงนิทรรศการ
- อธิบาย
- การแสวงหาผลประโยชน์
- ภายนอก
- อย่างเป็นธรรม
- เนื้อไม่มีมัน
- ไฟล์
- กรอง
- สำหรับ
- ได้รับ
- ภูมิศาสตร์การเมือง
- พื้น
- บัญชีกลุ่ม
- กลุ่ม
- การเจริญเติบโต
- ครึ่ง
- มี
- he
- ประวัติ
- ที่ http
- HTTPS
- การดำเนินการ
- การดำเนินการ
- in
- ประกอบด้วย
- รวมทั้ง
- รวม
- ที่เพิ่มขึ้น
- บ่งชี้ว่า
- ผลประโยชน์
- การบุกรุก
- ที่เกี่ยวข้องกับการ
- IP
- ที่อยู่ IP
- IT
- ITS
- ตัวเอง
- โจ๊ก
- jpg
- มิถุนายน
- เปิดตัว
- เปิดตัว
- ชั้น
- ชั้นนำ
- กดไลก์
- น่าจะ
- โหลด
- เข้าสู่ระบบ
- การเข้าสู่ระบบ
- ทำ
- เก็บรักษา
- ที่เป็นอันตราย
- มัลแวร์
- การจัดการ
- มาตรการ
- ภาพบรรยากาศ
- ระเบียบวิธี
- วิธีการ
- ไมโครซอฟท์
- กลาง
- ตะวันออกกลาง
- ทหาร
- บรรเทา
- โทรศัพท์มือถือ
- การตรวจสอบ
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- แรงบันดาลใจ
- การเคลื่อนไหว
- หลาย
- ชื่อ
- ธรรมชาติ
- จำเป็นต้อง
- เครือข่าย
- ใหม่
- ใหม่
- เด่น
- of
- on
- ต่อเนื่อง
- ผู้ประกอบการ
- องค์กร
- ผลิตภัณฑ์อื่นๆ
- ออก
- วิริยะ
- ฟิชชิ่ง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นโยบาย
- ประชากร
- เป็นไปได้
- ที่มีศักยภาพ
- PowerShell
- ประธาน
- ก่อน
- เชิงรุก
- ขั้นตอน
- โปรแกรม
- เหมาะสม
- คำสั่ง
- เรียลไทม์
- ดินแดน
- รับรู้
- สม่ำเสมอ
- ที่เกี่ยวข้อง
- การเผยแพร่
- ความเชื่อมั่น
- รีโมท
- ลบ
- รายงาน
- การร้องขอ
- การวิจัย
- คำตอบ
- รับผิดชอบ
- จำกัด
- ความเสี่ยง
- รัสเซีย
- รัสเซีย
- s
- เดียวกัน
- พูดว่า
- การสแกน
- ความปลอดภัย
- ความไว
- เซิร์ฟเวอร์
- บริการ
- น่า
- ความคล้ายคลึงกัน
- โซลูชัน
- ซับซ้อน
- ความซับซ้อน
- กระจาย
- Starlink
- สถานะ
- ชิงทรัพย์
- เก็บไว้
- เข้มงวด
- อย่างเช่น
- พิรุธ
- ระบบ
- ระบบ
- กลยุทธ์
- เป้าหมาย
- เทคนิค
- โทรคมนาคม
- Telegram
- กว่า
- ที่
- พื้นที่
- รัฐ
- ของพวกเขา
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- คิดว่า
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคาม
- ตลอด
- ดังนั้น
- ผูก
- ไปยัง
- แบบดั้งเดิม
- ชนิด
- ประเทศยูเครน
- ยูเครน
- ไม่มีสิทธิ
- ภายใต้
- การใช้
- USB
- ไดรฟ์ USB
- ใช้
- ผู้ใช้งาน
- การใช้
- ผ่านทาง
- รอง
- Vice President
- สงคราม
- สงครามในยูเครน
- สัปดาห์ที่ผ่านมา
- ดี
- กับ
- ภายใน
- จะ
- ลมทะเล
