在国家特殊通信和信息保护局(国家特殊通信)下运作的乌克兰政府计算机应急响应小组 CERT-UA 调查了违规事实 正直 恶意软件应用后的信息。
该团队调查了一起攻击者使用 Somnia 程序攻击信息完整性和可用性的事件。 FRwL 组织(又名 Z-Team)声称对未经授权干扰自动化系统和电子计算机的操作负责。 政府团队 CERT-UA 以标识符 UAC-0118 监视攻击者的活动。
作为调查的一部分,专家发现最初的危害发生在下载并运行一个包含以下内容的文件之后: 模拟 高级 IP 扫描器软件,但实际上包含 Vidar 恶意软件。据专家介绍,创建官方资源副本并以流行程序为幌子传播恶意程序的策略是所谓的初始访问经纪人(初始代理)的特权。ces的经纪人)。
也很有趣:
“在特别考虑的事件中,鉴于被盗数据明显属于乌克兰组织,相关经纪人将受损数据转移给犯罪集团 FRwL,以便进一步用于进行网络攻击, “CERT-UA 研究说。
重要的是要强调 Vidar 窃取器,除其他外,窃取会话数据 Telegram. 如果用户没有设置双因素身份验证和密码,则攻击者可以未经授权访问该帐户。 原来账户在 Telegram 用于向用户传输 VPN 连接配置文件(包括证书和身份验证数据)。 并且在建立 VPN 连接时没有双因素身份验证,攻击者能够连接到其他人的公司网络。
也很有趣:
在远程访问该组织的计算机网络后,攻击者进行了侦察(特别是,他们使用了 Netscan),启动了 Cobalt Strike Beacon 程序,并窃取了数据。 Rсlone 程序的使用证明了这一点。 此外,还有 Anydesk 和 Ngrok 启动的迹象。
考虑到特有的策略、技术和资格,从 2022 年春季开始,UAC-0118 集团在其他犯罪集团的参与下,特别是提供 Cobalt 加密图像的初始访问和传输Strike Beacon 计划,进行了多次 干预措施 在乌克兰组织的计算机网络的工作。
与此同时,Somnia 恶意软件也在发生变化。 该程序的第一个版本使用对称 3DES 算法。 在第二个版本中,实现了 AES 算法。 同时,考虑到密钥和初始化向量的动态性,根据攻击者的理论计划,该版本的 Somnia 不提供数据解密的可能性。
你可以帮助乌克兰对抗俄罗斯侵略者。 最好的方法是通过以下方式向乌克兰武装部队捐款 拯救生命 或通过官方页面 NBU.
也很有趣: