Quân đội Ukraine bị nhắm mục tiêu bởi cuộc tấn công APT PowerShell của Nga

Một mối đe dọa dai dẳng tiên tiến (APT) tinh vi của Nga đã phát động một chiến dịch tấn công PowerShell có chủ đích nhằm vào quân đội Ukraine.

Cuộc tấn công rất có thể được thực hiện bởi Các tác nhân đe dọa độc hại liên quan đến Shuckworm, một nhóm có lịch sử chiến dịch chống lại Ukraine, được thúc đẩy bởi các lợi ích địa chính trị, gián điệp và gây rối.

Chiến dịch độc hại này được Securonix theo dõi dưới tên STEADY#URSA, sử dụng cửa sau dựa trên SUBTLE-PAWS PowerShell mới được phát hiện để xâm nhập và xâm phạm các hệ thống mục tiêu.

Loại cửa hậu này cho phép các tác nhân đe dọa có được quyền truy cập trái phép, thực thi lệnh và duy trì sự tồn tại trong các hệ thống bị xâm nhập.

Phương pháp tấn công liên quan đến việc phân phối tải trọng độc hại thông qua các tệp nén được gửi qua email lừa đảo.

Việc phân phối và di chuyển ngang của phần mềm độc hại được thực hiện thông qua ổ USB, do đó loại bỏ nhu cầu truy cập mạng trực tiếp.

Báo cáo lưu ý rằng cách tiếp cận này sẽ gặp khó khăn do hệ thống liên lạc bị ngắt kết nối trên không của Ukraine như Starlink.

Chiến dịch này có những điểm tương đồng với phần mềm độc hại Shuckworm và nó kết hợp các chiến thuật, kỹ thuật và quy trình (TTP) riêng biệt được quan sát thấy trong các chiến dịch mạng trước đây chống lại quân đội Ukraine.

Oleg Kolesnikov, phó chủ tịch nghiên cứu mối đe dọa và khoa học dữ liệu/AI của Securonix, giải thích rằng SUBTLE-PAWS khác biệt ở chỗ nó phụ thuộc “khá độc quyền” vào các công cụ xử lý ngoài đĩa/PowerShell để thực thi, tránh tải trọng nhị phân truyền thống. Nó cũng sử dụng các lớp kỹ thuật che giấu và trốn tránh bổ sung.

Ông nói: “Những điều này bao gồm mã hóa, phân tách lệnh và duy trì dựa trên sổ đăng ký để tránh bị phát hiện bởi những người khác”.

Nó thiết lập lệnh và kiểm soát (C2) bằng cách liên lạc qua Telegram với máy chủ từ xa, sử dụng các phương pháp thích ứng như truy vấn DNS và yêu cầu HTTP với địa chỉ IP được lưu trữ động.

Phần mềm độc hại này cũng sử dụng các biện pháp lén lút như mã hóa Base64 và XOR, kỹ thuật ngẫu nhiên hóa và độ nhạy cảm với môi trường để nâng cao tính chất khó nắm bắt của nó.

Thực thể được nhắm mục tiêu thực thi tệp lối tắt (.lnk) độc hại, bắt đầu tải và thực thi mã tải trọng cửa sau PowerShell mới.

Cửa hậu SUBTLE-PAWS được nhúng trong một tệp khác có trong cùng kho lưu trữ nén.

Kolesnikov cho biết các biện pháp chủ động khả thi có thể bao gồm triển khai các chương trình giáo dục người dùng để nhận biết khả năng khai thác qua email, nâng cao nhận thức về việc sử dụng tải trọng .lnk độc hại trên các ổ đĩa ngoài để lây lan trong các môi trường có khoảng cách không gian và nhiều ngăn hơn, cũng như thực thi các chính sách nghiêm ngặt và giải nén tệp người dùng. nhằm giảm nhẹ rủi ro.

Ông cho biết: “Để tăng cường bảo mật cho ổ USB, các tổ chức nên triển khai các chính sách kiểm soát thiết bị để hạn chế việc sử dụng USB trái phép và thường xuyên quét phương tiện di động để tìm phần mềm độc hại bằng các giải pháp bảo mật điểm cuối tiên tiến”.

Để nâng cao phạm vi phát hiện nhật ký, Securonix khuyên nên triển khai ghi nhật ký cấp quy trình bổ sung, chẳng hạn như ghi nhật ký Sysmon và PowerShell.

Kolesnikov cho biết: “Các tổ chức cũng nên thực thi các chính sách nghiêm ngặt về danh sách trắng ứng dụng [và] triển khai tính năng lọc email nâng cao, giám sát hệ thống thích hợp cũng như các giải pháp phản hồi và phát hiện điểm cuối để giám sát và ngăn chặn hoạt động đáng ngờ”.

Các mối đe dọa mạng, Tác nhân nhà nước

Cuộc chiến trên bộ đang diễn ra ở Ukraine cũng đã được tiến hành trong lĩnh vực kỹ thuật số, với Kyivstar, nhà khai thác viễn thông di động lớn nhất Ukraine, bị tấn công mạng vào tháng 12 đã xóa sổ dịch vụ di động của hơn một nửa dân số Ukraine.

Vào tháng 2023 năm XNUMX, Microsoft đã công bố thông tin chi tiết về APT của Nga Bão tuyết thiếu sinh quân, được cho là nguyên nhân gây ra phần mềm độc hại xóa sạch được triển khai trong những tuần trước khi Nga xâm chiếm Ukraine.

Các cuộc tấn công an ninh mạng của các nhóm hacktivist Nga – bao gồm cả nhóm đe dọa Joker DPR, được cho là có liên hệ với nhà nước – cũng được cho là đã vi phạm hệ thống quản lý chiến trường DELTA của quân đội Ukraine, tiết lộ các hoạt động chuyển quân theo thời gian thực.

Ngoài cuộc xung đột ở Đông Âu, các nhóm đe dọa ở Iran, Syriavà Lebanon chứng minh mối đe dọa của các cuộc tấn công mạng trong các cuộc xung đột trên khắp Trung Đông. Sự tinh vi ngày càng tăng của các mối đe dọa này cho thấy các tác nhân độc hại được nhà nước hậu thuẫn đang hiện đại hóa phần mềm độc hại của họ kỹ thuật và nhiều nhóm mối đe dọa kết hợp với nhau để khởi động các cuộc tấn công phức tạp hơn.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack