Ukraines regerings computerberedskabsteam CERT-UA, som opererer under statens tjeneste for særlig kommunikation og informationsbeskyttelse (State Special Communications), undersøgte fakta om overtrædelsen integritet oplysninger efter anvendelse af skadelig software.
Holdet undersøgte en hændelse, hvor angribere angreb integriteten og tilgængeligheden af information ved hjælp af Somnia-programmet. Gruppen FRwL (alias Z-Team) påtog sig ansvaret for uautoriseret indblanding i driften af automatiserede systemer og elektroniske computermaskiner. Regeringsteamet CERT-UA overvåger angribernes aktivitet under identifikationen UAC-0118.
Som en del af undersøgelsen fandt specialister ud af, at det første kompromittering skete efter at have downloadet og kørt en fil, der havde efterligne Avanceret IP Scanner-software, men indeholdt faktisk Vidar-malwaren. Ifølge eksperter er taktikken med at skabe kopier af officielle ressourcer og distribuere ondsindede programmer under dække af populære programmer de såkaldte initial access-mæglere (initial ac).cess mægler).
Også interessant:
"I tilfælde af den specifikt overvejede hændelse, i lyset af den åbenlyse tilhørsforhold af de stjålne data til en ukrainsk organisation, overførte den relevante mægler de kompromitterede data til den kriminelle gruppe FRwL med henblik på yderligere brug til at udføre et cyberangreb, " siger CERT-UA-undersøgelsen.
Det er vigtigt at understrege, at Vidar-tyveren blandt andet stjæler sessionsdata Telegram. Og hvis brugeren ikke har to-faktor-godkendelse og en adgangskode konfigureret, kan en angriber få uautoriseret adgang til denne konto. Det viste sig, at regnskabet i Telegram bruges til at overføre VPN-forbindelseskonfigurationsfiler (inklusive certifikater og godkendelsesdata) til brugere. Og uden to-faktor-godkendelse ved etablering af en VPN-forbindelse var angribere i stand til at oprette forbindelse til en andens firmanetværk.
Også interessant:
Efter at have fået fjernadgang til organisationens computernetværk gennemførte angriberne rekognoscering (især brugte de Netscan), lancerede Cobalt Strike Beacon-programmet og eksfiltrerede data. Dette fremgår af brugen af programmet Rсlone. Derudover er der tegn på lancering af Anydesk og Ngrok.
Under hensyntagen til de karakteristiske taktikker, teknikker og kvalifikationer, starter i foråret 2022, UAC-0118-gruppen, med deltagelse af andre kriminelle grupper involveret, især i tilvejebringelsen af indledende adgang og transmission af krypterede billeder af kobolten Strike Beacon program, gennemført flere indgreb i arbejdet med computernetværk af ukrainske organisationer.
Samtidig ændrede Somnia malware sig også. Den første version af programmet brugte den symmetriske 3DES-algoritme. I den anden version blev AES-algoritmen implementeret. Samtidig, under hensyntagen til dynamikken i nøglen og initialiseringsvektoren, giver denne version af Somnia ifølge angribernes teoretiske plan ikke mulighed for datadekryptering.
Du kan hjælpe Ukraine med at kæmpe mod de russiske angribere. Den bedste måde at gøre dette på er at donere midler til Ukraines væbnede styrker gennem Red livet eller via den officielle side NBU.
Også interessant: