Regjeringens databeredskapsteam i Ukraina CERT-UA, som opererer under State Service for Special Communications and Information Protection (State Special Communications), undersøkte fakta om bruddet integritet informasjon etter bruk av skadelig programvare.
Teamet undersøkte en hendelse der angripere angrep integriteten og tilgjengeligheten til informasjon ved hjelp av Somnia-programmet. Gruppen FRwL (aka Z-Team) tok på seg ansvaret for uautorisert innblanding i driften av automatiserte systemer og elektroniske datamaskiner. Regjeringsteamet CERT-UA overvåker aktiviteten til angripere under identifikatoren UAC-0118.
Som en del av etterforskningen fant spesialister at det første kompromisset skjedde etter å ha lastet ned og kjørt en fil som hadde imitere Avansert IP Scanner-programvare, men inneholdt faktisk Vidar malware. Ifølge eksperter er taktikken for å lage kopier av offisielle ressurser og distribuere ondsinnede programmer under dekke av populære programmer privilegiet til de såkalte innledende tilgangsmeglerne (initial access megler).
Også interessant:
"I tilfelle av den spesifikt vurderte hendelsen, i lys av den åpenbare tilhørigheten til de stjålne dataene til en ukrainsk organisasjon, overførte den relevante megleren de kompromitterte dataene til den kriminelle gruppen FRwL for videre bruk for å utføre et cyberangrep, " sier CERT-UA-studien.
Det er viktig å understreke at Vidar-tyveren blant annet stjeler øktdata Telegram. Og hvis brukeren ikke har tofaktorautentisering og et passord satt opp, kan en angriper få uautorisert tilgang til den kontoen. Det viste seg at regnskapet i Telegram brukes til å overføre konfigurasjonsfiler for VPN-tilkobling (inkludert sertifikater og autentiseringsdata) til brukere. Og uten tofaktorautentisering når de opprettet en VPN-tilkobling, kunne angripere koble seg til andres bedriftsnettverk.
Også interessant:
Etter å ha fått ekstern tilgang til organisasjonens datanettverk, gjennomførte angriperne rekognosering (spesielt brukte de Netscan), lanserte Cobalt Strike Beacon-programmet og eksfiltrerte data. Dette fremgår av bruken av Rсlone-programmet. I tillegg er det tegn på lansering av Anydesk og Ngrok.
Tatt i betraktning de karakteristiske taktikkene, teknikkene og kvalifikasjonene, starter våren 2022, UAC-0118-gruppen, med deltakelse av andre kriminelle grupper som er involvert, spesielt i å gi førstegangstilgang og overføring av krypterte bilder av kobolten Strike Beacon-program, gjennomført flere inngrep i arbeidet med datanettverk til ukrainske organisasjoner.
Samtidig var Somnia malware også i endring. Den første versjonen av programmet brukte den symmetriske 3DES-algoritmen. I den andre versjonen ble AES-algoritmen implementert. Samtidig, med tanke på dynamikken til nøkkelen og initialiseringsvektoren, gir ikke denne versjonen av Somnia, i henhold til angripernes teoretiske plan, mulighet for datadekryptering.
Du kan hjelpe Ukraina med å kjempe mot de russiske inntrengerne. Den beste måten å gjøre dette på er å donere midler til Ukrainas væpnede styrker gjennom Redd livet eller via den offisielle siden NBU.
Også interessant: