Thứ Sáu, ngày 29 tháng 2024 năm XNUMX

máy tính để bàn v4.2.1

Root NationẤn ĐộTin tức CNTTCERT-UA đã tìm ra kẻ thực hiện các cuộc tấn công mạng vào các tổ chức Ukraine

CERT-UA đã tìm ra kẻ thực hiện các cuộc tấn công mạng vào các tổ chức Ukraine

-

Nhóm Ứng phó Khẩn cấp Máy tính của Chính phủ Ukraine CERT-UA, hoạt động dưới sự quản lý của Dịch vụ Nhà nước về Truyền thông Đặc biệt và Bảo vệ Thông tin (Truyền thông Đặc biệt của Nhà nước), đã điều tra sự thật về vi phạm sự toàn vẹn thông tin sau khi áp dụng phần mềm độc hại.

Nhóm đã điều tra một sự cố trong đó những kẻ tấn công tấn công tính toàn vẹn và tính sẵn có của thông tin bằng cách sử dụng chương trình Somnia. Nhóm FRwL (hay còn gọi là Z-Team) đã nhận trách nhiệm về việc can thiệp trái phép vào hoạt động của các hệ thống tự động và máy tính điện tử. Nhóm chính phủ CERT-UA giám sát hoạt động của những kẻ tấn công dưới mã định danh UAC-0118.

CERT-UA

Là một phần của cuộc điều tra, các chuyên gia nhận thấy rằng sự thỏa hiệp ban đầu xảy ra sau khi tải xuống và chạy một tệp có bắt chước Phần mềm IP Scanner nâng cao nhưng thực tế lại chứa phần mềm độc hại Vidar. Theo các chuyên gia, chiến thuật tạo bản sao của các tài nguyên chính thức và phân phối các chương trình độc hại dưới vỏ bọc các chương trình phổ biến là đặc quyền của cái gọi là nhà môi giới truy cập ban đầu (init ac).cess môi giới).

Cũng thú vị:

"Trong trường hợp sự cố được xem xét cụ thể, do dữ liệu bị đánh cắp rõ ràng thuộc về một tổ chức Ukraine, nhà môi giới có liên quan đã chuyển dữ liệu bị xâm phạm cho nhóm tội phạm FRwL với mục đích tiếp tục sử dụng để thực hiện một cuộc tấn công mạng, " nghiên cứu CERT-UA cho biết.

VPN

Điều quan trọng cần nhấn mạnh là kẻ đánh cắp Vidar, trong số những thứ khác, đánh cắp dữ liệu phiên Telegram. Và nếu người dùng không có xác thực hai yếu tố và mật khẩu được định cấu hình, kẻ tấn công có thể truy cập trái phép vào tài khoản đó. Hóa ra là các tài khoản trong Telegram được sử dụng để truyền các tệp cấu hình kết nối VPN (bao gồm chứng chỉ và dữ liệu xác thực) cho người dùng. Và không cần xác thực hai yếu tố khi thiết lập kết nối VPN, những kẻ tấn công có thể kết nối với mạng công ty của người khác.

Cũng thú vị:

Sau khi giành được quyền truy cập từ xa vào mạng máy tính của tổ chức, những kẻ tấn công đã tiến hành do thám (cụ thể là chúng sử dụng Netscan), khởi chạy chương trình Cobalt Strike Beacon và lấy cắp dữ liệu. Điều này được chứng minh bằng việc sử dụng chương trình Rсlone. Ngoài ra, có những dấu hiệu về việc tung ra Anydesk và Ngrok.

tấn công mạng

Có tính đến các chiến thuật, kỹ thuật và trình độ đặc trưng, ​​​​bắt đầu từ mùa xuân năm 2022, nhóm UAC-0118, với sự tham gia của các nhóm tội phạm khác, đặc biệt là trong việc cung cấp quyền truy cập ban đầu và truyền hình ảnh được mã hóa của Cobalt Chương trình Strike Beacon, đã tiến hành một số can thiệp trong công việc của các mạng máy tính của các tổ chức Ucraina.

Đồng thời, phần mềm độc hại Somnia cũng đang thay đổi. Phiên bản đầu tiên của chương trình sử dụng thuật toán 3DES đối xứng. Trong phiên bản thứ hai, thuật toán AES đã được triển khai. Đồng thời, có tính đến tính năng động của khóa và vectơ khởi tạo, phiên bản Somnia này, theo kế hoạch lý thuyết của những kẻ tấn công, không cung cấp khả năng giải mã dữ liệu.

Bạn có thể giúp Ukraine chiến đấu chống lại những kẻ xâm lược Nga. Cách tốt nhất để làm điều này là quyên góp quỹ cho Các lực lượng vũ trang của Ukraine thông qua Cuộc sống tiết kiệm hoặc thông qua trang chính thức NBU.

Cũng thú vị:

DzherelocERT
Đăng ký
Thông báo về
khách sạn

0 Nhận xét
Bài đánh giá được nhúng
Xem tất cả các bình luận
Các bài báo khác
Đăng ký để cập nhật

Những ý kiến ​​gần đây

Phổ biến bây giờ
0
Chúng tôi yêu thích những suy nghĩ của bạn, xin vui lòng bình luận.x