Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Державній службі спеціального зв’язку та захисту інформації (Держспецзв’язку), дослідила факти порушення цілісності інформації після застосування шкідливого програмного забезпечення.
Команда провела дослідження інциденту, внаслідок якого зловмисники завдали удар по цілісності та доступності інформації за допомогою програми Somnia. Відповідальність за несанкціоноване втручання в роботу автоматизованих систем та електронно-обчислювальних машин взяло на себе угруповання FRwL (aka Z-Team). Урядова команда CERT-UA відстежує активність зловмисників за ідентифікатором UAC-0118.
В рамках дослідження спеціалісти з’ясували, що початкова компрометація відбулася після завантаження та запуску файлу, який мав зімітувати програмне забезпечення Advanced IP Scanner, але по факту містив шкідливе програмне забезпечення Vidar. За словами експертів, тактика створення копій офіційних ресурсів та розповсюдження шкідливих програм під виглядом популярних програм є прерогативою так званих брокерів початкового доступу (initial access broker).
Теж цікаво:
«У випадку конкретно розглянутого інциденту, з огляду на очевидну приналежність викрадених даних українській організації, відповідний брокер здійснив передачу скомпрометованих даних злочинному угрупованню FRwL з метою подальшого використання для здійснення кібератаки», – говориться в дослідженні CERT-UA.
Важливо наголосити, що стілер Vidar, серед іншого, викрадає дані сесії Telegram. І якщо у користувача не налаштована двофакторна автентифікація та пасс-код, зловмисник може отримати несанкціонований доступ до цього акаунту. З’ясувалося, що облікові записи в Telegram використовувався для передачі користувачам конфігураційних файлів VPN-підключення (в тому числі сертифікатів та автентифікаційних даних). І без двофакторної автентифікації під час встановлення VPN-з’єднання зловмисники мали змогу під’єднатися до чужої корпоративної мережі.
Теж цікаво:
Після отримання віддаленого доступу до комп’ютерної мережі організації зловмисники провели розвідку (зокрема, використовували Netscan), виконали запуск програми Cobalt Strike Beacon і здійснили ексфільтрацію даних. Про це свідчить використання програми Rсlone. Окрім цього, наявні ознаки запуску Anydesk та Ngrok.
З урахуванням характерних тактик, технік та кваліфікації, починаючи з весни 2022, група UAC-0118 за участю інших злочинних угруповань, причетних, зокрема, до надання початкового доступу і передачі криптованих білдів програми Cobalt Strike Beacon, провела декілька втручань в роботу комп’ютерних мереж українських організацій.
При цьому шкідлива програма Somnia також змінювалася. В першій версії програми використовувався симетричний алгоритм 3DES. В другій версії реалізували алгоритм AES. При цьому, зважаючи на динамічність ключа та вектору ініціалізації, ця версія Somnia, за теоретичним задумом зловмисників, не передбачає можливості розшифрування даних.
Ви можете допомогти Україні боротися з російськими окупантами. Найкращий спосіб зробити це – пожертвувати кошти Збройним Силам України через Savelife або через офіційну сторінку НБУ.
Також цікаво: