Gelişmiş bir Rus gelişmiş kalıcı tehdidi (APT), Ukrayna ordusuna karşı hedefli bir PowerShell saldırı kampanyası başlattı.
Saldırı büyük ihtimalle şu kişi tarafından gerçekleştirilmiştir: Shuckworm ile ilgili kötü niyetli tehdit aktörleriJeopolitik, casusluk ve aksaklık çıkarlarıyla motive edilen, Ukrayna’ya karşı kampanya geçmişi olan bir grup.
Securonix tarafından STEADY#URSA adı altında takip edilen kötü amaçlı kampanya, hedeflenen sistemlere sızmak ve bu sistemleri tehlikeye atmak için yeni keşfedilen SUBTLE-PAWS PowerShell tabanlı bir arka kapı kullanıyor.
Bu tür arka kapı, tehdit aktörlerinin güvenliği ihlal edilmiş sistemlerde yetkisiz erişim elde etmesine, komutları yürütmesine ve kalıcılığı korumasına olanak tanır.
Saldırı metodolojisi, kötü amaçlı bir veri yükünün, kimlik avı e-postaları yoluyla iletilen sıkıştırılmış dosyalar aracılığıyla dağıtılmasını içerir.
Kötü amaçlı yazılımın dağıtımı ve yanal hareketi USB sürücüler aracılığıyla gerçekleştirilir, böylece ağa doğrudan erişme ihtiyacı ortadan kalkar.
Raporda, Ukrayna’nın Starlink gibi hava boşluklu iletişimleri nedeniyle bu tür bir yaklaşımın zorlaşacağı belirtildi.
Kampanya, Shuckworm kötü amaçlı yazılımıyla benzerlikler gösteriyor ve farklı taktikler, teknikler ve prosedürler (TTP’ler) içeriyor önceki siber kampanyalarda gözlemlendi Ukrayna ordusuna karşı.
Securonix’in tehdit araştırması ve veri bilimi/yapay zekadan sorumlu başkan yardımcısı Oleg Kolesnikov, SUBTLE-PAWS’in, geleneksel ikili veri yüklerinden kaçınarak yürütme için disk dışı/PowerShell hazırlayıcılara “oldukça ayrıcalıklı” bir şekilde güvenmesiyle kendisini farklılaştırdığını açıklıyor. Aynı zamanda ek gizleme ve kaçınma teknikleri katmanlarını da kullanır.
“Bunlar arasında kodlama, komut bölme ve tespit edilmekten kaçınmak için kayıt defterine dayalı kalıcılık da yer alıyor” diyor.
Dinamik olarak depolanan IP adresleriyle DNS sorguları ve HTTP istekleri gibi uyarlanabilir yöntemler kullanarak Telegram aracılığıyla uzak bir sunucuyla iletişim kurarak komuta ve kontrol (C2) kurar.
Kötü amaçlı yazılım aynı zamanda yakalanması zor doğasını geliştirmek için Base64 ve XOR kodlaması, rastgeleleştirme teknikleri ve çevreye duyarlılık gibi gizli önlemler de kullanıyor.
Hedeflenen varlık, kötü amaçlı bir kısayol (.lnk) dosyasını çalıştırarak yeni bir PowerShell arka kapı veri kodunun yüklenmesini ve yürütülmesini başlatır.
SUBTLE-PAWS arka kapısı aynı sıkıştırılmış arşivde bulunan başka bir dosyanın içine yerleştirilmiştir.
Kolesnikov, olası proaktif önlemlerin arasında, e-posta yoluyla olası istismarı tespit etmek için kullanıcı eğitim programlarının uygulanmasını, harici sürücülerdeki kötü amaçlı .lnk yüklerinin hava boşluklu ve daha bölümlenmiş ortamlara yayılmak üzere kullanılması konusunda farkındalığın arttırılmasını ve katı politikaların ve kullanıcı dosyası sıkıştırılmışlığının kaldırılmasının uygulanmasını içerebileceğini söylüyor Riskleri azaltmak için.
“USB sürücü güvenliğini desteklemek için kuruluşlar, yetkisiz USB kullanımını kısıtlamak amacıyla cihaz kontrol politikaları uygulamalı ve gelişmiş uç nokta güvenlik çözümlerini kullanarak çıkarılabilir medyayı kötü amaçlı yazılımlara karşı düzenli olarak taramalıdır” diyor.
Günlük algılama kapsamını geliştirmek için Securonix, Sysmon ve PowerShell günlük kaydı gibi ek işlem düzeyinde günlük kaydının dağıtılmasını önerdi.
“Kuruluşlar ayrıca katı uygulama beyaz liste politikaları uygulamalıdır [and] Kolesnikov, şüpheli etkinlikleri izlemek ve engellemek için gelişmiş e-posta filtreleme, uygun sistem izleme ve uç nokta algılama ve yanıt çözümleri uygulayın” diyor.
Siber Tehditler, Devlet Aktörleri
Ukrayna’da devam eden kara savaşı, Ukrayna’nın en büyük mobil telekom operatörü Kyivstar ile dijital alanda da yürütülüyor. Aralık ayında bir siber saldırıya uğradı Ukrayna nüfusunun yarısından fazlası için cep telefonu hizmeti ortadan kalktı.
Haziran 2023’te Microsoft, Rus APT’nin ayrıntılarını yayınladı Harbiyeli Kar FırtınasıRusya’nın Ukrayna’yı işgaline giden haftalarda dağıtılan kötü amaçlı yazılımlardan sorumlu olduğu düşünülüyor.
Devlete bağlı olduğu düşünülen Joker DPR tehdit grubu da dahil olmak üzere Rus hacktivist grupların gerçekleştirdiği siber güvenlik saldırılarının, Ukrayna ordusunun savaş alanı yönetim sistemi DELTA’yı da ihlal ettiği iddia edildi. gerçek zamanlı birlik hareketlerini ortaya çıkarmak.
Doğu Avrupa’daki çatışmanın ötesinde, tehdit grupları İran, SuriyeVe Lübnan Orta Doğu’daki çatışmalarda siber saldırı tehdidini gösteriyor. Bu tehditlerin artan karmaşıklığı, devlet destekli kötü niyetli aktörlerin kötü amaçlı yazılımlarını modernleştirme teknikler ve çoklu tehdit grupları bir araya gelmek daha karmaşık saldırılar başlatmak için.