Гурӯҳи вокуниш ба ҳолати фавқулоддаи компютерии Украина CERT-UA, ки дар назди Хадамоти давлатии алоқаи махсус ва ҳифзи иттилоот (Алоқаи махсуси давлатӣ) фаъолият мекунад, далелҳои қонуншиканиро тафтиш кард. якдилй маълумот пас аз татбиқи нармафзори зараровар.
Гурӯҳ ҳодисаеро таҳқиқ кард, ки дар он ҳамлагарон бо истифода аз барномаи Somnia ба якпорчагӣ ва дастрасии иттилоот ҳамла карданд. Гурӯҳи FRwL (бо номи Z-Team) масъулияти дахолати беиҷозат ба кори системаҳои автоматикунонидашуда ва мошинҳои ҳисоббарории электрониро бар дӯш гирифт. Гурӯҳи ҳукуматии CERT-UA фаъолияти ҳамлагаронро зери идентификатори UAC-0118 назорат мекунад.
Дар доираи тафтишот, мутахассисон муайян карданд, ки созиши аввал пас аз зеркашӣ ва иҷро кардани файле, ки дошт, рух додааст тақлид кардан Нармафзори Advanced IP Scanner, аммо воқеан дорои нармафзори зараровар Vidar буд. Ба эътиқоди коршиносон, тактикаи эҷоди нусхаҳои манобеъи расмӣ ва паҳн кардани барномаҳои зараровар дар зери ниқоби барномаҳои маъмул салоҳияти ба истилоҳ брокерҳои дастрасии ибтидоӣ (аввалин ac) мебошад.cess брокер).
Инчунин ҷолиб:
"Дар ҳолати ҳодисаи махсусан баррасӣшуда, бо назардошти мансубияти ошкори маълумоти дуздидашуда ба як созмони украинӣ, брокери дахлдор маълумоти вайроншударо ба гурӯҳи ҷиноии FRwL бо мақсади истифодаи минбаъда барои анҷом додани ҳамлаи киберӣ интиқол додааст. " мегӯяд тадқиқоти CERT-UA.
Қайд кардан муҳим аст, ки дуздии Vidar, дар байни чизҳои дигар, маълумоти сессияро медуздад Telegram. Ва агар корбар аутентификатсияи ду-омилӣ ва рамзи гузарвожа надошта бошад, ҳамлакунанда метавонад ба он ҳисоб дастрасии беиҷозат пайдо кунад. Маълум шуд, ки хисобу китоб дар Telegram барои интиқоли файлҳои конфигуратсияи пайвасти VPN (аз ҷумла сертификатҳо ва маълумоти аутентификатсия) ба корбарон истифода мешавад. Ва бе аутентификатсияи ду-омил ҳангоми таъсиси пайвасти VPN, ҳамлагарон тавонистанд ба шабакаи корпоративии ягон каси дигар пайваст шаванд.
Инчунин ҷолиб:
Пас аз дастрасии дурдаст ба шабакаи компютерии созмон, ҳамлагарон разведка анҷом доданд (аз ҷумла, онҳо Netscan-ро истифода мекарданд), барномаи Cobalt Strike Beacon-ро оғоз карданд ва маълумотро аз байн бурданд. Инро истифодаи барномаи Rсlone гувоҳӣ медиҳад. Илова бар ин, нишонаҳои оғози Anydesk ва Ngrok мавҷуданд.
Бо дарназардошти тактика, техника ва тахассуси хос, аз баҳори соли 2022 гурӯҳи UAC-0118 бо иштироки дигар гурӯҳҳои ҷиноӣ, аз ҷумла, дар таъмини дастрасии аввалия ва интиқоли тасвирҳои рамзгузоришудаи Кобалт ҷалб шудааст. Барномаи Strike Beacon, якчанд гузаронида шуд мудохилахо дар кори сети хисоббарории ташкилотхои Украина.
Ҳамзамон, нармафзори зараровар Somnia низ тағйир ёфт. Дар версияи якуми барнома алгоритми симметрии 3DES истифода мешуд. Дар версияи дуюм, алгоритми AES амалӣ карда шуд. Дар баробари ин, бо назардошти динамикаи калид ва вектори оғозёбӣ, ин версияи Somnia, мувофиқи нақшаи назариявии ҳамлагарон, имкони рамзкушоии маълумотро пешбинӣ намекунад.
Шумо метавонед ба Украина дар мубориза бар зидди истилогарони рус кӯмак кунед. Роҳи беҳтарини иҷрои ин хайрия маблағ ба Қувваҳои Мусаллаҳи Украина мебошад Savelife ё тавассути саҳифаи расмӣ NBU.
Инчунин ҷолиб: