Một mối đe dọa dai dẳng tiên tiến (APT) tinh vi của Nga đã phát động một chiến dịch tấn công PowerShell có chủ đích nhằm vào quân đội Ukraine.
Cuộc tấn công rất có thể được thực hiện bởi Các tác nhân đe dọa độc hại liên quan đến Shuckworm, một nhóm có lịch sử chiến dịch chống lại Ukraine, được thúc đẩy bởi các lợi ích địa chính trị, gián điệp và gây rối.
Chiến dịch độc hại này được Securonix theo dõi dưới tên STEADY#URSA, sử dụng cửa sau dựa trên SUBTLE-PAWS PowerShell mới được phát hiện để xâm nhập và xâm phạm các hệ thống mục tiêu.
Loại cửa hậu này cho phép các tác nhân đe dọa có được quyền truy cập trái phép, thực thi lệnh và duy trì sự tồn tại trong các hệ thống bị xâm nhập.
Phương pháp tấn công liên quan đến việc phân phối tải trọng độc hại thông qua các tệp nén được gửi qua email lừa đảo.
Việc phân phối và di chuyển ngang của phần mềm độc hại được thực hiện thông qua ổ USB, do đó loại bỏ nhu cầu truy cập mạng trực tiếp.
Báo cáo lưu ý rằng cách tiếp cận này sẽ gặp khó khăn do hệ thống liên lạc bị ngắt kết nối trên không của Ukraine như Starlink.
Chiến dịch này có những điểm tương đồng với phần mềm độc hại Shuckworm và nó kết hợp các chiến thuật, kỹ thuật và quy trình (TTP) riêng biệt được quan sát thấy trong các chiến dịch mạng trước đây chống lại quân đội Ukraine.
Oleg Kolesnikov, phó chủ tịch nghiên cứu mối đe dọa và khoa học dữ liệu/AI của Securonix, giải thích rằng SUBTLE-PAWS khác biệt ở chỗ nó phụ thuộc “khá độc quyền” vào các công cụ xử lý ngoài đĩa/PowerShell để thực thi, tránh tải trọng nhị phân truyền thống. Nó cũng sử dụng các lớp kỹ thuật che giấu và trốn tránh bổ sung.
Ông nói: “Những điều này bao gồm mã hóa, phân tách lệnh và duy trì dựa trên sổ đăng ký để tránh bị phát hiện bởi những người khác”.
Nó thiết lập lệnh và kiểm soát (C2) bằng cách liên lạc qua Telegram với máy chủ từ xa, sử dụng các phương pháp thích ứng như truy vấn DNS và yêu cầu HTTP với địa chỉ IP được lưu trữ động.
Phần mềm độc hại này cũng sử dụng các biện pháp lén lút như mã hóa Base64 và XOR, kỹ thuật ngẫu nhiên hóa và độ nhạy cảm với môi trường để nâng cao tính chất khó nắm bắt của nó.
Thực thể được nhắm mục tiêu thực thi tệp lối tắt (.lnk) độc hại, bắt đầu tải và thực thi mã tải trọng cửa sau PowerShell mới.
Cửa hậu SUBTLE-PAWS được nhúng trong một tệp khác có trong cùng kho lưu trữ nén.
Kolesnikov cho biết các biện pháp chủ động khả thi có thể bao gồm triển khai các chương trình giáo dục người dùng để nhận biết khả năng khai thác qua email, nâng cao nhận thức về việc sử dụng tải trọng .lnk độc hại trên các ổ đĩa ngoài để lây lan trong các môi trường có khoảng cách không gian và nhiều ngăn hơn, cũng như thực thi các chính sách nghiêm ngặt và giải nén tệp người dùng. nhằm giảm nhẹ rủi ro.
Ông cho biết: “Để tăng cường bảo mật cho ổ USB, các tổ chức nên triển khai các chính sách kiểm soát thiết bị để hạn chế việc sử dụng USB trái phép và thường xuyên quét phương tiện di động để tìm phần mềm độc hại bằng các giải pháp bảo mật điểm cuối tiên tiến”.
Để nâng cao phạm vi phát hiện nhật ký, Securonix khuyên nên triển khai ghi nhật ký cấp quy trình bổ sung, chẳng hạn như ghi nhật ký Sysmon và PowerShell.
Kolesnikov cho biết: “Các tổ chức cũng nên thực thi các chính sách nghiêm ngặt về danh sách trắng ứng dụng [và] triển khai tính năng lọc email nâng cao, giám sát hệ thống thích hợp cũng như các giải pháp phản hồi và phát hiện điểm cuối để giám sát và ngăn chặn hoạt động đáng ngờ”.
Các mối đe dọa mạng, Tác nhân nhà nước
Cuộc chiến trên bộ đang diễn ra ở Ukraine cũng đã được tiến hành trong lĩnh vực kỹ thuật số, với Kyivstar, nhà khai thác viễn thông di động lớn nhất Ukraine, bị tấn công mạng vào tháng 12 đã xóa sổ dịch vụ di động của hơn một nửa dân số Ukraine.
Vào tháng 2023 năm XNUMX, Microsoft đã công bố thông tin chi tiết về APT của Nga Bão tuyết thiếu sinh quân, được cho là nguyên nhân gây ra phần mềm độc hại xóa sạch được triển khai trong những tuần trước khi Nga xâm chiếm Ukraine.
Các cuộc tấn công an ninh mạng của các nhóm hacktivist Nga – bao gồm cả nhóm đe dọa Joker DPR, được cho là có liên hệ với nhà nước – cũng được cho là đã vi phạm hệ thống quản lý chiến trường DELTA của quân đội Ukraine, tiết lộ các hoạt động chuyển quân theo thời gian thực.
Ngoài cuộc xung đột ở Đông Âu, các nhóm đe dọa ở Iran, Syriavà Lebanon chứng minh mối đe dọa của các cuộc tấn công mạng trong các cuộc xung đột trên khắp Trung Đông. Sự tinh vi ngày càng tăng của các mối đe dọa này cho thấy các tác nhân độc hại được nhà nước hậu thuẫn đang hiện đại hóa phần mềm độc hại của họ kỹ thuật và nhiều nhóm mối đe dọa kết hợp với nhau để khởi động các cuộc tấn công phức tạp hơn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack
- : có
- :là
- $ LÊN
- 2023
- 7
- a
- truy cập
- ngang qua
- hoạt động
- diễn viên
- thích nghi
- thêm vào
- địa chỉ
- tiên tiến
- khuyên
- chống lại
- cho phép
- Ngoài ra
- trong số
- và
- Một
- Các Ứng Dụng
- phương pháp tiếp cận
- APT
- lưu trữ
- LÀ
- xung quanh
- AS
- tấn công
- Các cuộc tấn công
- tránh
- nhận thức
- cửa sau
- Battlefield
- BE
- được
- lớn nhất
- Chặn
- tăng cường
- by
- Chiến dịch
- Chiến dịch
- CAN
- thực hiện
- pin
- tuyên bố
- mã
- giao tiếp
- Truyền thông
- phức tạp
- thỏa hiệp
- Thỏa hiệp
- xung đột
- xung đột
- chứa
- điều khiển
- bảo hiểm
- không gian mạng
- Tấn công mạng
- Tấn công mạng
- dữ liệu
- giao
- đồng bằng
- chứng minh
- triển khai
- triển khai
- chi tiết
- Phát hiện
- thiết bị
- khó khăn
- kỹ thuật số
- trực tiếp
- phát hiện
- Gián đoạn
- khác biệt
- phân phối
- dns
- lái xe
- ổ đĩa
- hai
- suốt trong
- năng động
- Đông
- phía đông
- Đông Âu
- Đào tạo
- nhúng
- sử dụng
- mã hóa
- Điểm cuối
- An ninh điểm cuối
- thi hành
- thực thi
- nâng cao
- nâng cao
- thực thể
- Môi trường
- môi trường
- gián điệp
- thành lập
- Châu Âu
- trốn tránh
- trốn tránh
- Dành riêng
- thi hành
- Thi công
- thực hiện
- triển lãm
- Giải thích
- khai thác
- ngoài
- khá
- Tập tin
- Các tập tin
- lọc
- Trong
- Thu được
- địa chính trị
- Mặt đất
- Nhóm
- Các nhóm
- Phát triển
- Một nửa
- Có
- he
- lịch sử
- http
- HTTPS
- thực hiện
- thực hiện
- in
- bao gồm
- Bao gồm
- kết hợp
- tăng
- chỉ
- lợi ích
- cuộc xâm lăng
- liên quan đến
- IP
- Địa chỉ IP
- IT
- ITS
- chính nó
- anh chàng
- jpg
- tháng sáu
- phóng
- phát động
- lớp
- hàng đầu
- Lượt thích
- Có khả năng
- tải
- đăng nhập
- khai thác gỗ
- thực hiện
- duy trì
- độc hại
- phần mềm độc hại
- quản lý
- các biện pháp
- Phương tiện truyền thông
- Phương pháp luận
- phương pháp
- microsoft
- Tên đệm
- Trung Đông
- Quân đội
- Giảm nhẹ
- di động
- Màn Hình
- giám sát
- chi tiết
- hầu hết
- động cơ
- phong trào
- nhiều
- tên
- Thiên nhiên
- Cần
- mạng
- Mới
- mới
- lưu ý
- of
- on
- đang diễn ra
- nhà điều hành
- tổ chức
- Khác
- ra
- kiên trì
- Lừa đảo
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Chính sách
- dân số
- có thể
- tiềm năng
- PowerShell
- Chủ tịch
- trước
- Chủ động
- thủ tục
- Khóa Học
- đúng
- truy vấn
- thời gian thực
- vương quốc
- công nhận
- thường xuyên
- liên quan
- phát hành
- sự phụ thuộc
- xa
- loại bỏ
- báo cáo
- yêu cầu
- nghiên cứu
- phản ứng
- chịu trách nhiệm
- hạn chế
- rủi ro
- Nga
- người Nga
- s
- tương tự
- nói
- quét
- an ninh
- Độ nhạy
- máy chủ
- dịch vụ
- nên
- tương
- Giải pháp
- tinh vi
- sự tinh tế
- lan tràn
- Starlink
- Tiểu bang
- Stealth
- lưu trữ
- Nghiêm ngặt
- như vậy
- đáng ngờ
- hệ thống
- hệ thống
- chiến thuật
- nhắm mục tiêu
- kỹ thuật
- viễn thông
- Telegram
- hơn
- việc này
- Sản phẩm
- Nhà nước
- cung cấp their dịch
- Kia là
- nghĩ
- mối đe dọa
- diễn viên đe dọa
- các mối đe dọa
- Thông qua
- Như vậy
- Bị ràng buộc
- đến
- truyền thống
- kiểu
- Ukraina
- Tiếng Ukraina
- không được phép
- Dưới
- Sử dụng
- usb
- Ổ đĩa USB
- sử dụng
- người sử dang
- sử dụng
- thông qua
- phó
- Phó Chủ Tịch
- chiến tranh
- Chiến tranh ở Ukraine
- tuần
- TỐT
- với
- ở trong
- sẽ
- zephyrnet