Сложная российская усовершенствованная постоянная угроза (APT) начала целенаправленную атаку PowerShell против украинских военных.

Скорее всего, нападение было совершено злоумышленники, связанные с Shuckworm, группы с историей кампаний против Украины, мотивированных геополитическими, шпионскими и подрывными интересами.

Вредоносная кампания, отслеживаемая Securonix под названием STEADY#URSA, использует недавно обнаруженный бэкдор на базе PowerShell SUBTLE-PAWS для проникновения и компрометации целевых систем.

Этот тип бэкдора позволяет злоумышленникам получать несанкционированный доступ, выполнять команды и сохранять устойчивость в скомпрометированных системах.

Методика атаки предполагает распространение вредоносной нагрузки через сжатые файлы, доставляемые через фишинговые электронные письма.

Распространение и боковое перемещение вредоносного ПО осуществляется через USB-накопители, что устраняет необходимость прямого доступа к сети.

В отчете отмечается, что такой подход будет затруднен из-за закрытых коммуникаций Украины, таких как Starlink.

Кампания имеет сходство с вредоносным ПО Shuckworm и включает в себя различные тактики, методы и процедуры (TTP). наблюдалось в предыдущих киберкампаниях против украинских военных.

Олег Колесников, вице-президент Securonix по исследованию угроз и анализу данных/ИИ, объясняет, что SUBTLE-PAWS отличается «довольно эксклюзивным» использованием для выполнения внедисковых стейджеров/PowerShell, избегая традиционных двоичных полезных нагрузок. Он также использует дополнительные уровни методов запутывания и уклонения.

«К ним относятся кодирование, разделение команд и сохранение на основе реестра, чтобы избежать обнаружения среди прочего», — говорит он.

Он устанавливает командование и контроль (C2) посредством связи через Telegram с удаленным сервером, используя адаптивные методы, такие как DNS-запросы и HTTP-запросы с динамически сохраняемыми IP-адресами.

Вредоносная программа также использует меры скрытности, такие как кодирование Base64 и XOR, методы рандомизации и чувствительность к окружающей среде, чтобы повысить свою неуловимость.

Целевой объект запускает вредоносный файл ярлыка (.lnk), инициируя загрузку и выполнение нового кода полезной нагрузки бэкдора PowerShell.

Бэкдор SUBTLE-PAWS встроен в другой файл, содержащийся в том же сжатом архиве.

Колесников говорит, что возможные превентивные меры могут включать реализацию программ обучения пользователей для распознавания потенциальных атак по электронной почте, повышение осведомленности об использовании вредоносных полезных данных .lnk на внешних дисках для распространения в изолированных и более разделенных средах, а также соблюдение строгих политик и распаковку пользовательских файлов. для снижения рисков.

«Чтобы повысить безопасность USB-накопителей, организациям следует внедрить политики контроля устройств, ограничивающие несанкционированное использование USB, и регулярно сканировать съемные носители на наличие вредоносных программ с использованием передовых решений по обеспечению безопасности конечных точек», — говорит он.

Чтобы расширить охват обнаружения журналов, компания Securonix посоветовала развернуть дополнительное ведение журналов на уровне процессов, например ведение журналов Sysmon и PowerShell.

«Организациям также следует применять строгие политики внесения в белые списки приложений [и] внедрять расширенную фильтрацию электронной почты, надлежащий мониторинг системы, а также решения по обнаружению и реагированию на конечных точках для мониторинга и блокировки подозрительной активности», — говорит Колесников.

Киберугрозы, государственные субъекты

Продолжающаяся наземная война в Украине ведется и в цифровой сфере: «Киевстар», крупнейший оператор мобильной связи Украины, пострадал от кибератаки в декабре что уничтожило сотовую связь для более половины населения Украины.

В июне 2023 года Microsoft опубликовала подробности российского APT. Кадет Вьюга, предположительно ответственный за вредоносное ПО Wiper, развернутое за несколько недель до вторжения России в Украину.

Атаки кибербезопасности со стороны российских хактивистских группировок, включая группу угроз «Джокер ДНР», предположительно связанную с государством, также утверждают, что они взломали систему управления полем боя украинских вооруженных сил DELTA. выявление передвижений войск в реальном времени.

Помимо конфликта в Восточной Европе, группы угроз в включая Иран, Сирияи Ливан продемонстрировать угрозу кибератак в конфликтах на Ближнем Востоке. Растущая изощренность этих угроз указывает на то, что злоумышленники, поддерживаемые государством, модернизируют свои вредоносные программы методы, и несколько групп угроз объединяться для запуска более сложных атак.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyberattacks-data-breaches/ukraine-military-targeted-with-russian-apt-powershell-attack