특별 통신 및 정보 보호를 위한 국가 서비스(국가 특별 통신)에서 운영하는 우크라이나 CERT-UA의 정부 컴퓨터 비상 대응팀은 위반 사실을 조사했습니다. 진실성 악성 소프트웨어 적용 후 정보.
팀은 공격자가 Somnia 프로그램을 사용하여 정보의 무결성과 가용성을 공격한 사건을 조사했습니다. 그룹 FRwL(일명 Z-Team)은 자동화 시스템 및 전자 컴퓨팅 기계의 작동에 대한 무단 간섭에 대한 책임을 주장했습니다. 정부 팀 CERT-UA는 식별자 UAC-0118로 공격자의 활동을 모니터링합니다.
조사의 일환으로 전문가들은 초기 손상이 파일을 다운로드하고 실행한 후에 발생했음을 발견했습니다. 본뜨다 고급 IP 스캐너 소프트웨어이지만 실제로 Vidar 악성 코드가 포함되어 있었습니다. 전문가들에 따르면 공식 리소스의 복사본을 생성하고 인기 프로그램을 사칭하여 악성 프로그램을 배포하는 전술은 소위 초기 액세스 브로커(초기 액세스 브로커)의 특권입니다.ces브로커).
또한 흥미로운 점:
"특별히 고려된 사건의 경우, 훔친 데이터가 우크라이나 조직에 속하는 것이 명백하다는 점을 고려하여 관련 브로커는 사이버 공격을 수행하기 위해 추가로 사용할 목적으로 손상된 데이터를 범죄 그룹 FRwL에 전송했습니다. "라고 CERT-UA 연구는 말합니다.
무엇보다도 Vidar 스틸러가 세션 데이터를 훔친다는 점을 강조하는 것이 중요합니다. Telegram. 그리고 사용자가 단계 인증 및 암호를 설정하지 않은 경우 공격자는 해당 계정에 대한 무단 액세스 권한을 얻을 수 있습니다. 에 있는 계정으로 밝혀졌습니다. Telegram VPN 연결 구성 파일(인증서 및 인증 데이터 포함)을 사용자에게 전송하는 데 사용됩니다. 또한 VPN 연결을 설정할 때 이중 인증 없이도 공격자는 다른 사람의 회사 네트워크에 연결할 수 있었습니다.
또한 흥미로운 점:
공격자는 조직의 컴퓨터 네트워크에 대한 원격 액세스 권한을 얻은 후 정찰(특히 Netscan 사용)을 수행하고 Cobalt Strike Beacon 프로그램을 시작하고 데이터를 유출했습니다. 이것은 Rсlone 프로그램의 사용으로 입증됩니다. 또한 Anydesk 및 Ngrok 출시의 징후가 있습니다.
특징적인 전술, 기술 및 자격을 고려하여 UAC-2022 그룹은 0118년 봄부터 특히 Cobalt의 암호화된 이미지의 초기 액세스 및 전송 제공에 관련된 다른 범죄 그룹의 참여와 함께 시작합니다. Strike Beacon 프로그램, 여러 차례 실시 개입 우크라이나 조직의 컴퓨터 네트워크 작업에서.
동시에 Somnia 악성코드도 변화하고 있었습니다. 프로그램의 첫 번째 버전은 대칭 3DES 알고리즘을 사용했습니다. 두 번째 버전에서는 AES 알고리즘이 구현되었습니다. 동시에 키의 역학 및 초기화 벡터를 고려하여 공격자의 이론적 계획에 따르면 이 버전의 Somnia는 데이터 암호 해독 가능성을 제공하지 않습니다.
당신은 우크라이나가 러시아 침략자에 맞서 싸울 수 있도록 도울 수 있습니다. 이를 수행하는 가장 좋은 방법은 다음을 통해 우크라이나 군대에 기금을 기부하는 것입니다. 세이브라이프 또는 공식 페이지를 통해 NBU.
또한 흥미로운: