Das Computer Emergency Response Team der Regierung der Ukraine CERT-UA, das unter dem staatlichen Dienst für spezielle Kommunikation und Informationsschutz (State Special Communications) tätig ist, untersuchte die Fakten des Verstoßes Integrität Informationen nach der Anwendung von Schadsoftware.
Das Team untersuchte einen Vorfall, bei dem Angreifer die Integrität und Verfügbarkeit von Informationen mit dem Somnia-Programm angriffen. Die Gruppe FRwL (alias Z-Team) übernahm die Verantwortung für unbefugte Eingriffe in den Betrieb von automatisierten Systemen und elektronischen Rechenmaschinen. Das Regierungsteam CERT-UA überwacht die Aktivitäten von Angreifern unter der Kennung UAC-0118.
Im Rahmen der Untersuchung stellten Spezialisten fest, dass die anfängliche Kompromittierung nach dem Herunterladen und Ausführen einer Datei aufgetreten war imitieren Erweiterte IP-Scanner-Software, enthielt aber tatsächlich die Vidar-Malware. Laut Experten sind die Taktiken, Kopien offizieller Ressourcen zu erstellen und Schadprogramme unter dem Deckmantel populärer Programme zu verbreiten, den sogenannten Initial Access Brokern (Initial Access Brokers) vorbehaltencess Makler).
Auch interessant:
„Im Fall des konkret betrachteten Vorfalls hat der betreffende Makler angesichts der offensichtlichen Zugehörigkeit der gestohlenen Daten zu einer ukrainischen Organisation die kompromittierten Daten an die kriminelle Gruppe FRwL zum Zweck der weiteren Verwendung zur Durchführung eines Cyberangriffs übermittelt, “, heißt es in der CERT-UA-Studie.
Es ist wichtig zu betonen, dass der Vidar-Stealer unter anderem Sitzungsdaten stiehlt Telegram. Und wenn der Benutzer keine Zwei-Faktor-Authentifizierung und keinen Passcode konfiguriert hat, kann ein Angreifer unbefugten Zugriff auf dieses Konto erlangen. Es stellte sich heraus, dass die Konten in Telegram Wird verwendet, um VPN-Verbindungskonfigurationsdateien (einschließlich Zertifikaten und Authentifizierungsdaten) an Benutzer zu übertragen. Und ohne Zwei-Faktor-Authentifizierung beim Aufbau einer VPN-Verbindung konnten sich Angreifer mit dem Firmennetzwerk eines anderen verbinden.
Auch interessant:
Nachdem sie sich Fernzugriff auf das Computernetzwerk der Organisation verschafft hatten, führten die Angreifer Aufklärungsarbeiten durch (insbesondere verwendeten sie Netscan), starteten das Cobalt Strike Beacon-Programm und exfiltrierten Daten. Dies wird durch die Verwendung des Rсlone-Programms belegt. Darüber hinaus gibt es Anzeichen für den Start von Anydesk und Ngrok.
Unter Berücksichtigung der charakteristischen Taktiken, Techniken und Qualifikationen wird ab Frühjahr 2022 die Gruppe UAC-0118 unter Beteiligung anderer krimineller Gruppierungen insbesondere an der Bereitstellung des Erstzugangs und der Übermittlung verschlüsselter Bilder der Cobalt beteiligt Strike Beacon-Programm, mehrere durchgeführt Eingriffe in der Arbeit von Computernetzwerken ukrainischer Organisationen.
Gleichzeitig änderte sich auch die Somnia-Malware. Die erste Version des Programms verwendete den symmetrischen 3DES-Algorithmus. In der zweiten Version wurde der AES-Algorithmus implementiert. Gleichzeitig sieht diese Version von Somnia unter Berücksichtigung der Dynamik des Schlüssels und des Initialisierungsvektors nach dem theoretischen Plan der Angreifer keine Möglichkeit der Datenentschlüsselung vor.
Sie können der Ukraine helfen, gegen die russischen Invasoren zu kämpfen. Der beste Weg, dies zu tun, besteht darin, Gelder an die Streitkräfte der Ukraine zu spenden Das Leben retten oder über die offizielle Seite NBU.
Auch interessant: