| 0 |
|
Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, дослідила факти порушення цілісності та доступності інформації внаслідок застосування шкідливого програмного забезпечення “Somnia”.
Відповідальність за несанкціоноване втручання в роботу автоматизованих систем та електронно-обчислювальних машин об'єкту атаки взяло на себе угруповання FRwL (aka Z-Team), активність якого відстежується CERT-UA за ідентифікатором UAC-0118.
В рамках дослідження з'ясовано, що початкова компрометація відбулася в результаті завантаження та запуску файлу, що імітував програмне забезпечення "Advanced IP Scanner", але, насправді, містив шкідливе програмне забезпечення Vidar.
Припускається, що тактика створення копій офіційних веб-ресурсів та розповсюдження шкідливих програм під виглядом популярних програмних продуктів є прерогативою так званих брокерів початкового доступу (initial access broker). У випадку конкретно розглянутого інциденту, з огляду на очевидну приналежність викрадених даних українській організації, відповідний брокер здійснив передачу скомпрометованих даних злочинному угрупованню FRwL з метою подальшого використання для здійснення кібератаки.
Слід звернути увагу, що стілер Vidar, серед іншого, здійснює викрадення даних сесії Telegram, що, за відсутності налаштованої двохфакторної автентифікації та пасс-коду, дозволяє отримати несанкціонований доступ до облікового запису відповідної жертви.
Як було з'ясовано, Telegram жертви використовувався для передачі користувачам конфігураційних файлів VPN-підключення (в тому числі, сертифікатів та автентифікаційних даних). Зважаючи на відсутність двохфакторної автентифікації під час встановлення VPN-з'єднання, зловмисники отримали можливість несанкціонованого підключення до корпоративної мережі.
Отримавши віддалений доступ до комп'ютерної мережі організації за допомогою VPN, зловмисники провели розвідку (зокрема, застосували Netscan), виконали запуск програми Cobalt Strike Beacon, а також, здійснили ексфільтрацію даних, про що свідчить використання програми Rсlone. Окрім цього, наявні ознаки запуску Anydesk та Ngrok.
З урахуванням характерних тактик, технік та кваліфікації, починаючи з весни 2022 року групою UAC-0118, за сприяння інших злочинних угруповань, причетних, зокрема, до надання початкового доступу і передачі криптованих білдів програми Cobalt Strike Beacon, проведено декілька втручань в роботу комп'ютерних мереж українських організацій.
Зауважимо, що шкідлива програма Somnia також зазнала змін. В першій версії програми використовувався симетричний алгоритм 3DES. В другій версії реалізовано алгоритм AES; при цьому, зважаючи на динамічність ключа та вектору ініціалізації, ця версія Somnia, за теоретичним задумом зловмисників, не передбачає можливості розшифрування даних.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
