Het Government Computer Emergency Response Team van Ukraine CERT-UA, dat opereert onder de State Service for Special Communications and Information Protection (State Special Communications), heeft de feiten van de overtreding onderzocht integriteit informatie na de toepassing van schadelijke software.
Het team onderzocht een incident waarbij aanvallers de integriteit en beschikbaarheid van informatie aanvielen met behulp van het Somnia-programma. De groep FRwL (ook bekend als Z-Team) heeft de verantwoordelijkheid opgeëist voor ongeoorloofde inmenging in de werking van geautomatiseerde systemen en elektronische computermachines. Het overheidsteam CERT-UA houdt de activiteit van aanvallers in de gaten onder de identifier UAC-0118.
Als onderdeel van het onderzoek ontdekten specialisten dat de eerste aanval plaatsvond na het downloaden en uitvoeren van een bestand dat had imiteren Geavanceerde IP-scannersoftware, maar bevatte feitelijk de Vidar-malware. Volgens deskundigen is de tactiek van het maken van kopieën van officiële bronnen en het verspreiden van kwaadaardige programma's onder het mom van populaire programma's het voorrecht van de zogenaamde initial access brokers (initiële access makelaar).
Ook interessant:
"In het geval van het specifiek beschouwde incident, heeft de betrokken makelaar, gezien het duidelijke eigendom van de gestolen gegevens aan een Oekraïense organisatie, de gecompromitteerde gegevens overgedragen aan de criminele groepering FRwL met als doel verder gebruik om een cyberaanval uit te voeren, " aldus de CERT-UA-studie.
Het is belangrijk om te benadrukken dat de Vidar-stealer onder meer sessiegegevens steelt Telegram. En als de gebruiker geen tweefactorauthenticatie en een ingestelde toegangscode heeft, kan een aanvaller ongeoorloofde toegang krijgen tot dat account. Het bleek dat de rekeningen binnen waren Telegram gebruikt om VPN-verbindingsconfiguratiebestanden (inclusief certificaten en authenticatiegegevens) over te dragen aan gebruikers. En zonder tweefactorauthenticatie bij het tot stand brengen van een VPN-verbinding konden aanvallers verbinding maken met het bedrijfsnetwerk van iemand anders.
Ook interessant:
Nadat ze op afstand toegang hadden gekregen tot het computernetwerk van de organisatie, voerden de aanvallers verkenningen uit (ze gebruikten met name Netscan), lanceerden het Cobalt Strike Beacon-programma en exfiltreerden gegevens. Dit blijkt uit het gebruik van het Rсlone-programma. Bovendien zijn er tekenen van de lancering van Anydesk en Ngrok.
Rekening houdend met de karakteristieke tactieken, technieken en kwalificaties, begint de UAC-2022-groep vanaf het voorjaar van 0118, met de deelname van andere criminele groepen die met name betrokken zijn bij het verlenen van initiële toegang tot en verzending van gecodeerde beelden van de Cobalt Strike Beacon-programma, voerde er verschillende uit interventies in het werk van computernetwerken van Oekraïense organisaties.
Tegelijkertijd veranderde ook de Somnia-malware. De eerste versie van het programma gebruikte het symmetrische 3DES-algoritme. In de tweede versie is het AES-algoritme geïmplementeerd. Tegelijkertijd, rekening houdend met de dynamiek van de sleutel en de initialisatievector, voorziet deze versie van Somnia, volgens het theoretische plan van de aanvallers, niet in de mogelijkheid van gegevensdecodering.
U kunt Oekraïne helpen vechten tegen de Russische indringers. De beste manier om dit te doen is door geld te doneren aan de strijdkrachten van Oekraïne via Red het leven of via de officiële pagina NBU.
Ook interessant: