Torsdagen den 28 mars 2024

desktop v4.2.1

Root NationНовиниIT-nyheterCERT-UA fick reda på vem som utförde cyberattacker mot ukrainska organisationer

CERT-UA fick reda på vem som utförde cyberattacker mot ukrainska organisationer

-

Regeringens databeredskapsteam i Ukraina CERT-UA, som verkar under statens tjänst för särskild kommunikation och informationsskydd (State Special Communications), undersökte fakta om överträdelsen integritet information efter applicering av skadlig programvara.

Teamet undersökte en incident där angripare attackerade integriteten och tillgängligheten av information med hjälp av programmet Somnia. Gruppen FRwL (alias Z-Team) tog på sig ansvaret för obehörig störning i driften av automatiserade system och elektroniska datorer. Regeringsteamet CERT-UA övervakar angriparnas aktivitet under identifieraren UAC-0118.

CERT-UA

Som en del av utredningen fann specialister att den första kompromissen inträffade efter att ha laddat ner och kört en fil som hade imitera Avancerad IP Scanner-programvara, men innehöll faktiskt Vidar skadlig kod. Enligt experter är taktiken för att skapa kopior av officiella resurser och distribuera skadliga program under täckmantel av populära program de så kallade initiala åtkomstmäklarna (initial ac)cess mäklare).

Också intressant:

"I fallet med den specifikt övervägda incidenten, med tanke på den uppenbara tillhörigheten av de stulna uppgifterna till en ukrainsk organisation, överförde den relevanta mäklaren de komprometterade uppgifterna till den kriminella gruppen FRwL i syfte att ytterligare använda dem för att utföra en cyberattack, " säger CERT-UA-studien.

VPN

Det är viktigt att betona att Vidar-tjuven bland annat stjäl sessionsdata Telegram. Och om användaren inte har tvåfaktorsautentisering och ett lösenord inställt, kan en angripare få obehörig åtkomst till det kontot. Det visade sig att räkenskaperna i Telegram används för att överföra VPN-anslutningskonfigurationsfiler (inklusive certifikat och autentiseringsdata) till användare. Och utan tvåfaktorsautentisering vid etablering av en VPN-anslutning kunde angripare ansluta till någon annans företagsnätverk.

Också intressant:

Efter att ha fått fjärråtkomst till organisationens datornätverk genomförde angriparna spaning (särskilt använde de Netscan), startade programmet Cobalt Strike Beacon och exfiltrerade data. Detta bevisas av användningen av programmet Rсlone. Dessutom finns det tecken på lansering av Anydesk och Ngrok.

Cyberattack

Med hänsyn till de karakteristiska taktikerna, teknikerna och kvalifikationerna, från och med våren 2022, UAC-0118-gruppen, med deltagande av andra kriminella grupper involverade, i synnerhet i tillhandahållandet av initial åtkomst och överföring av krypterade bilder av kobolt Strike Beacon-program, genomfört flera interventioner i arbetet med datornätverk för ukrainska organisationer.

Samtidigt förändrades också Somnias skadliga program. Den första versionen av programmet använde den symmetriska 3DES-algoritmen. I den andra versionen implementerades AES-algoritmen. Samtidigt, med hänsyn till dynamiken hos nyckeln och initialiseringsvektorn, ger denna version av Somnia, enligt angriparnas teoretiska plan, inte möjlighet till datadekryptering.

Du kan hjälpa Ukraina att slåss mot de ryska inkräktarna. Det bästa sättet att göra detta är att donera medel till Ukrainas väpnade styrkor genom Rädda liv eller via den officiella sidan NBU.

Också intressant:

Dzherelocert
Bli Medlem
Meddela om
gäst

0 Kommentarer
Inbäddade recensioner
Visa alla kommentarer
Andra artiklar
Prenumerera för uppdateringar

Senaste kommentarerna

Populärt nu
0
Vi älskar dina tankar, kommentera gärna.x
()
x