Төрийн тусгай харилцаа холбоо, мэдээлэл хамгаалах алба (Төрийн тусгай харилцаа холбоо)-ын дэргэд ажилладаг Украины CERT-UA-ын Засгийн газрын компьютерийн яаралтай тусламжийн баг зөрчлийн баримтуудыг шалгажээ. бүрэн бүтэн байдал хортой программ хангамж хэрэглэсний дараа мэдээлэл.
Халдагчид Somnia программыг ашиглан мэдээллийн бүрэн бүтэн байдал, хүртээмжид халдсан тохиолдлыг багийнхан шалгажээ. FRwL (Z-Team гэх) бүлэг автоматжуулсан систем болон электрон тооцоолох машинуудын үйл ажиллагаанд зөвшөөрөлгүй хөндлөнгөөс оролцсоны хариуцлагыг хүлээсэн. Засгийн газрын CERT-UA баг нь UAC-0118 танигчийн дор халдагчдын үйл ажиллагааг хянадаг.
Мөрдөн байцаалтын ажлын хүрээнд мэргэжилтнүүд анхны буулт нь байсан файлыг татаж аваад ажиллуулсны дараа гарсан болохыг тогтоожээ дуурайх Нарийвчилсан IP сканнер программ хангамж, гэхдээ үнэндээ Vidar хортой програмыг агуулсан. Мэргэжилтнүүдийн үзэж байгаагаар албан ёсны эх сурвалжийн хуулбарыг үүсгэх, алдартай програмын нэрийн дор хорлонтой програмуудыг тараах тактик нь анхдагч хандалтын брокер гэж нэрлэгддэг эрх мэдэл юм.cess брокер).
Мөн сонирхолтой:
"Тусгайлан авч үзсэн тохиолдлын хувьд хулгайлагдсан мэдээлэл нь Украины байгууллагад хамаарах нь илт байсан тул холбогдох брокер алдагдсан мэдээллийг FRwL гэмт бүлэглэлд цаашид кибер халдлага үйлдэхэд ашиглах зорилгоор шилжүүлсэн. "гэж CERT-UA судалгаанд дурджээ.
Vidar хулгайч бусад зүйлсийн дунд сессийн мэдээллийг хулгайлдаг гэдгийг онцлон тэмдэглэх нь зүйтэй Telegram. Хэрэв хэрэглэгч хоёр хүчин зүйлийн баталгаажуулалт, нууц кодыг тохируулаагүй бол халдагч тухайн бүртгэлд зөвшөөрөлгүй нэвтэрч болно. Дансанд орсон нь тогтоогдсон Telegram VPN холболтын тохиргооны файлуудыг (сертификат болон баталгаажуулалтын өгөгдлийг оруулаад) хэрэглэгчдэд шилжүүлэхэд ашигладаг. VPN холболт үүсгэх үед хоёр хүчин зүйлийн баталгаажуулалтгүйгээр халдагчид хэн нэгний корпорацийн сүлжээнд холбогдох боломжтой болсон.
Мөн сонирхолтой:
Байгууллагын компьютерийн сүлжээнд алсаас нэвтэрч орсны дараа халдагчид тагнуул хийж (ялангуяа Netscan ашигласан), Cobalt Strike Beacon программыг ажиллуулж, өгөгдлийг задруулсан. Үүнийг Rсlone програмын хэрэглээ нотолж байна. Нэмж дурдахад, Anydesk болон Ngrok-ийг хөөргөх шинж тэмдгүүд байдаг.
Өвөрмөц тактик, техник, мэргэшлийг харгалзан 2022 оны хавраас эхлэн UAC-0118 бүлэг бусад гэмт хэргийн бүлэглэлийн оролцоотойгоор, ялангуяа кобальтийн шифрлэгдсэн зургийг анхан шатны хандалт, дамжуулахад оролцжээ. Strike Beacon хөтөлбөр, хэд хэдэн явуулсан хөндлөнгийн оролцоо Украины байгууллагуудын компьютерийн сүлжээний ажилд.
Үүний зэрэгцээ Somnia хортой програм ч өөрчлөгдөж байв. Програмын эхний хувилбарт тэгш хэмт 3DES алгоритмыг ашигласан. Хоёрдахь хувилбарт AES алгоритмыг хэрэгжүүлсэн. Үүний зэрэгцээ, түлхүүр ба эхлүүлэх векторын динамикийг харгалзан үзээд халдагчдын онолын төлөвлөгөөний дагуу Somnia-ийн энэ хувилбар нь өгөгдлийг тайлах боломжийг олгодоггүй.
Та Украинд Оросын түрэмгийлэгчдийн эсрэг тэмцэхэд тусалж чадна. Үүнийг хийх хамгийн сайн арга бол Украины Зэвсэгт хүчинд мөнгө хандивлах явдал юм Амьдралыг аврах эсвэл албан ёсны хуудсаар дамжуулан NBU.
Мөн сонирхолтой: