ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของรัฐบาลแห่งยูเครน CERT-UA ซึ่งทำงานภายใต้บริการของรัฐเพื่อการสื่อสารพิเศษและการคุ้มครองข้อมูล (การสื่อสารพิเศษของรัฐ) ได้สอบสวนข้อเท็จจริงของการละเมิด ความซื่อสัตย์ ข้อมูลหลังการใช้ซอฟต์แวร์ที่เป็นอันตราย
ทีมงานตรวจสอบเหตุการณ์ที่ผู้โจมตีโจมตีความสมบูรณ์และความพร้อมใช้งานของข้อมูลโดยใช้โปรแกรม Somnia กลุ่ม FRwL (หรือที่เรียกว่า Z-Team) อ้างความรับผิดชอบต่อการแทรกแซงที่ไม่ได้รับอนุญาตในการทำงานของระบบอัตโนมัติและเครื่องคอมพิวเตอร์อิเล็กทรอนิกส์ ทีมรัฐบาล CERT-UA ตรวจสอบกิจกรรมของผู้โจมตีภายใต้รหัสระบุ UAC-0118
ส่วนหนึ่งของการสืบสวน ผู้เชี่ยวชาญพบว่าการประนีประนอมครั้งแรกเกิดขึ้นหลังจากดาวน์โหลดและเรียกใช้ไฟล์ที่มี เลียนแบบ ซอฟต์แวร์ IP Scanner ขั้นสูง แต่จริงๆ แล้วมีมัลแวร์ Vidar ตามที่ผู้เชี่ยวชาญระบุว่ากลยุทธ์ในการสร้างสำเนาทรัพยากรอย่างเป็นทางการและแจกจ่ายโปรแกรมที่เป็นอันตรายภายใต้หน้ากากของโปรแกรมยอดนิยมถือเป็นสิทธิพิเศษของสิ่งที่เรียกว่านายหน้าการเข้าถึงเบื้องต้น (ac เริ่มต้นcesนายหน้า)
ที่น่าสนใจเช่นกัน:
"ในกรณีของเหตุการณ์ที่ได้รับการพิจารณาโดยเฉพาะ ในมุมมองของข้อมูลที่ถูกขโมยไปยังองค์กรของยูเครนอย่างชัดเจน นายหน้าที่เกี่ยวข้องได้ถ่ายโอนข้อมูลที่ถูกบุกรุกไปยังกลุ่มอาชญากร FRwL เพื่อวัตถุประสงค์ในการใช้งานต่อไปเพื่อดำเนินการโจมตีทางไซเบอร์ การศึกษา CERT-UA กล่าว
สิ่งสำคัญคือต้องเน้นย้ำว่าตัวขโมย Vidar ขโมยข้อมูลเซสชันเหนือสิ่งอื่นใด Telegram. และหากผู้ใช้ไม่มีการยืนยันตัวตนแบบสองปัจจัยและตั้งค่ารหัสผ่าน ผู้โจมตีอาจเข้าถึงบัญชีนั้นโดยไม่ได้รับอนุญาต ปรากฎว่าบัญชีใน Telegram ใช้เพื่อถ่ายโอนไฟล์การกำหนดค่าการเชื่อมต่อ VPN (รวมถึงใบรับรองและข้อมูลการตรวจสอบสิทธิ์) ไปยังผู้ใช้ และหากไม่มีการตรวจสอบสิทธิ์สองปัจจัยเมื่อสร้างการเชื่อมต่อ VPN ผู้โจมตีก็สามารถเชื่อมต่อกับเครือข่ายองค์กรของบุคคลอื่นได้
ที่น่าสนใจเช่นกัน:
หลังจากเข้าถึงเครือข่ายคอมพิวเตอร์ขององค์กรจากระยะไกล ผู้โจมตีได้ทำการลาดตระเวน (โดยเฉพาะอย่างยิ่ง พวกเขาใช้ Netscan) เปิดตัวโปรแกรม Cobalt Strike Beacon และกรองข้อมูลออก นี่คือหลักฐานจากการใช้โปรแกรม Rсlone นอกจากนี้ยังมีสัญญาณของการเปิดตัว Anydesk และ Ngrok
โดยคำนึงถึงลักษณะกลยุทธ์ เทคนิค และคุณสมบัติ โดยเริ่มในฤดูใบไม้ผลิปี 2022 กลุ่ม UAC-0118 โดยมีส่วนร่วมของกลุ่มอาชญากรอื่น ๆ ที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งในการจัดหาการเข้าถึงเริ่มต้นและการส่งภาพที่เข้ารหัสของโคบอลต์ โปรแกรม Strike Beacon ดำเนินการหลายอย่าง การแทรกแซง ในการทำงานของเครือข่ายคอมพิวเตอร์ขององค์กรยูเครน
ในขณะเดียวกัน มัลแวร์ Somnia ก็มีการเปลี่ยนแปลงเช่นกัน เวอร์ชันแรกของโปรแกรมใช้อัลกอริทึม 3DES แบบสมมาตร ในเวอร์ชันที่สอง มีการใช้อัลกอริทึม AES ในขณะเดียวกัน คำนึงถึงไดนามิกของคีย์และเวกเตอร์การเริ่มต้น Somnia เวอร์ชันนี้ตามแผนเชิงทฤษฎีของผู้โจมตีไม่ได้จัดเตรียมความเป็นไปได้ในการถอดรหัสข้อมูล
คุณสามารถช่วยยูเครนต่อสู้กับผู้รุกรานรัสเซีย วิธีที่ดีที่สุดคือบริจาคเงินให้กับกองทัพยูเครนผ่าน เซฟไลฟ์ หรือทางเพจอย่างเป็นทางการ NBU.
ที่น่าสนใจเช่นกัน:
เขียนความเห็น