28年2024月XNUMX日(木)

デスクトップ v4.2.1

Root NationНовиниITニュースCERT-UA は、ウクライナの組織に対してサイバー攻撃を実行した人物を突き止めました

CERT-UA は、ウクライナの組織に対してサイバー攻撃を実行した人物を突き止めました

-

特別通信および情報保護のための国家サービス (国家特別通信) の下で運営されている、ウクライナ CERT-UA の政府コンピューター緊急対応チームは、違反の事実を調査しました。 威厳 悪意のあるソフトウェアの適用後の情報。

チームは、攻撃者が Somnia プログラムを使用して情報の整合性と可用性を攻撃したインシデントを調査しました。 グループ FRwL (別名 Z-Team) は、自動化されたシステムと電子計算機の操作における許可されていない干渉に対する責任を主張しました。 政府チーム CERT-UA は、識別子 UAC-0118 で攻撃者の活動を監視しています。

CERT-UA

調査の一環として、専門家は、ファイルをダウンロードして実行した後に最初の侵害が発生したことを発見しました。 模倣する 高度な IP スキャナ ソフトウェアですが、実際には Vidar マルウェアが含まれていました。専門家によれば、公式リソースのコピーを作成し、人気のあるプログラムを装って悪意のあるプログラムを配布するという戦術は、いわゆる初期アクセス ブローカー (初期アクセス ブローカー) の特権であるとのことです。cesのブローカー)。

また興味深い:

「具体的に検討された事件の場合、盗まれたデータが明らかにウクライナの組織に属していることを考慮して、関連するブローカーは、サイバー攻撃を実行するためにさらに使用する目的で、侵害されたデータを犯罪グループFRwLに転送しました。 」と CERT-UA の研究は述べています。

VPN

特に重要なのは、Vidar スティーラーがセッション データを盗むことです。 Telegram. また、ユーザーが XNUMX 要素認証とパスコードを設定していない場合、攻撃者はそのアカウントへの不正アクセスを取得できます。 のアカウントであることが判明しました。 Telegram VPN 接続構成ファイル (証明書および認証データを含む) をユーザーに転送するために使用されます。 また、VPN 接続を確立する際に XNUMX 要素認証がなければ、攻撃者は他人の企業ネットワークに接続できました。

また興味深い:

組織のコンピュータ ネットワークへのリモート アクセスを取得した後、攻撃者は偵察を行い (特に Netscan を使用)、Cobalt Strike Beacon プログラムを起動し、データを盗み出しました。 これは、Rсlone プログラムの使用によって証明されます。 さらに、Anydesk と Ngrok の起動の兆候があります。

サイバー攻撃

特徴的な戦術、技術、および資格を考慮して、2022 年の春から始まる UAC-0118 グループは、特に Cobalt の暗号化された画像の初期アクセスと送信の提供に関与する他の犯罪グループの参加を伴うストライク ビーコン プログラム、複数実施 介入 ウクライナの組織のコンピューターネットワークの仕事で。

同時に、Somnia マルウェアも変化していました。 プログラムの最初のバージョンでは、対称 3DES アルゴリズムが使用されていました。 XNUMX 番目のバージョンでは、AES アルゴリズムが実装されました。 同時に、キーと初期化ベクトルのダイナミクスを考慮すると、攻撃者の理論的計画によると、このバージョンの Somnia はデータの復号化の可能性を提供しません。

ウクライナがロシアの侵略者と戦うのを助けることができます。 これを行う最善の方法は、ウクライナ軍に資金を寄付することです。 セーブライフ または公式ページから NBU.

また興味深い:

ソースCERT
サインアップ
について通知する
ゲスト

0 コメント
埋め込まれたレビュー
すべてのコメントを表示
その他の記事
アップデートを購読する

最近のコメント

今人気
0
ぜひご意見をお寄せください。x