Арнайы байланыс және ақпаратты қорғау мемлекеттік қызметінің (Мемлекеттік арнайы коммуникациялар) жанынан жұмыс істейтін Украинаның CERT-UA мемлекеттік компьютерлік жедел әрекет ету тобы бұзушылық фактілерін тексерді. тұтастық зиянды бағдарламалық қамтамасыз етуді қолданғаннан кейінгі ақпарат.
Команда Somnia бағдарламасын пайдаланып шабуылдаушылар ақпараттың тұтастығы мен қолжетімділігіне шабуыл жасаған оқиғаны зерттеді. FRwL (aka Z-Team) тобы автоматтандырылған жүйелер мен электронды есептеу машиналарының жұмысына рұқсатсыз араласу үшін жауапкершілікті өзіне алды. CERT-UA үкімет тобы UAC-0118 идентификаторы бойынша шабуылдаушылардың белсенділігін бақылайды.
Тергеу аясында мамандар бастапқы компромисс бар файлды жүктеп алып, іске қосқаннан кейін орын алғанын анықтады еліктеу Жетілдірілген IP сканерінің бағдарламалық құралы, бірақ шын мәнінде Vidar зиянды бағдарламасы бар. Сарапшылардың пікірінше, ресми ресурстардың көшірмелерін жасау және танымал бағдарламалардың атын жамылған зиянды бағдарламаларды тарату тактикасы бастапқы қол жеткізу брокерлерінің (бастапқы ак.cess брокер).
Сондай-ақ қызықты:
«Арнайы қаралған оқиға бойынша ұрланған деректердің украиналық ұйымға тиесілілігі айқын болғандықтан, тиісті брокер бүлінген деректерді одан әрі кибершабуыл жасау үшін пайдалану мақсатында FRwL қылмыстық тобына берді, » дейді CERT-UA зерттеуі.
Vidar ұрлаушысы, басқалармен қатар, сеанс деректерін ұрлайтынын атап өту маңызды Telegram. Ал егер пайдаланушыда екі факторлы аутентификация және рұқсат коды орнатылмаса, шабуылдаушы бұл тіркелгіге рұқсатсыз кіруі мүмкін. шоттары кіргені белгілі болды Telegram VPN қосылымының конфигурация файлдарын (сертификаттарды және аутентификация деректерін қоса) пайдаланушыларға тасымалдау үшін пайдаланылады. VPN қосылымын орнату кезінде екі факторлы аутентификациясыз шабуылдаушылар басқа біреудің корпоративтік желісіне қосыла алды.
Сондай-ақ қызықты:
Ұйымның компьютерлік желісіне қашықтан қол жеткізгеннен кейін, шабуылдаушылар барлау жүргізді (атап айтқанда, олар Netscan-ды пайдаланды), Cobalt Strike Beacon бағдарламасын іске қосты және деректерді эксфильтрациялады. Мұны Rсlone бағдарламасын пайдалану дәлелдейді. Сонымен қатар, Anydesk және Ngrok іске қосу белгілері бар.
Тән тактикасын, әдістерін және біліктілігін ескере отырып, 2022 жылдың көктемінен бастап UAC-0118 тобы басқа қылмыстық топтардың қатысуымен, атап айтқанда, Кобальттың шифрланған кескіндерін бастапқы қол жеткізуді және беруді қамтамасыз етуге қатысты. Бірнеше жүргізілген Strike Beacon бағдарламасы араласулар украиндық ұйымдардың компьютерлік желілерінің жұмысында.
Сонымен қатар, Somnia зиянды бағдарламасы да өзгерді. Бағдарламаның бірінші нұсқасында симметриялық 3DES алгоритмі қолданылды. Екінші нұсқада AES алгоритмі жүзеге асырылды. Сонымен қатар, кілттің динамикасын және инициализация векторын ескере отырып, Somnia-ның бұл нұсқасы, шабуылдаушылардың теориялық жоспары бойынша, деректерді шифрлау мүмкіндігін қарастырмайды.
Сіз Украинаға орыс басқыншыларына қарсы күресуге көмектесе аласыз. Мұны істеудің ең жақсы жолы - Украина Қарулы Күштеріне қаражат беру Lifelife немесе ресми парақшасы арқылы NBU.
Сондай-ақ қызықты: