在國家特殊通信和信息保護服務(國家特殊通信)下運作的烏克蘭 CERT-UA 政府計算機應急響應小組調查了違規事實 正直 惡意軟件應用後的信息。
該團隊調查了一起攻擊者使用 Somnia 程序攻擊信息的完整性和可用性的事件。 FRwL(又名 Z-Team)組織聲稱對未經授權干擾自動化系統和電子計算機的操作負責。 政府團隊 CERT-UA 監控標識符為 UAC-0118 的攻擊者的活動。
作為調查的一部分,專家發現最初的入侵發生在下載並運行一個文件之後 模擬 進階 IP 掃描器軟體,但實際上包含 Vidar 惡意軟體。根據專家介紹,創建官方資源副本並以流行程序為幌子傳播惡意程式的策略是所謂的初始訪問經紀人(初始代理)的特權。ces的經紀人)。
也很有趣:
“在具體考慮的事件中,鑑於被盜數據明顯屬於烏克蘭組織,相關經紀人將受損數據轉移給犯罪集團 FRwL,以進一步用於進行網絡攻擊, ” CERT-UA 研究說。
重要的是要強調 Vidar 竊取器,除其他外,竊取會話數據 Telegram. 如果用戶沒有設置雙因素身份驗證和密碼,則攻擊者可以獲得對該帳戶的未授權訪問權限。 原來賬戶在 Telegram 用於向用戶傳輸 VPN 連接配置文件(包括證書和身份驗證數據)。 並且在建立 VPN 連接時沒有雙因素身份驗證,攻擊者能夠連接到其他人的公司網絡。
也很有趣:
在遠程訪問該組織的計算機網絡後,攻擊者進行了偵察(特別是他們使用了 Netscan),啟動了 Cobalt Strike Beacon 程序,並竊取了數據。 Rсlone 程序的使用證明了這一點。 此外,還有 Anydesk 和 Ngrok 推出的跡象。
考慮到獨特的戰術、技術和資格,從 2022 年春季開始,UAC-0118 組織在其他犯罪集團的參與下,特別是提供鈷的加密圖像的初始訪問和傳輸Strike Beacon 計劃,進行了幾次 干預 在烏克蘭組織的計算機網絡工作中。
與此同時,Somnia 惡意軟件也在發生變化。 該程序的第一個版本使用對稱 3DES 算法。 在第二個版本中,實現了 AES 算法。 同時,考慮到密鑰和初始化向量的動態性,這個版本的 Somnia,按照攻擊者的理論計劃,不提供數據解密的可能性。
你可以幫助烏克蘭對抗俄羅斯侵略者。 最好的方法是通過以下方式向烏克蘭武裝部隊捐款 拯救生命 或通過官方頁面 NBU.
也很有趣: