Ang Government Computer Emergency Response Team ng Ukraine CERT-UA, na nagpapatakbo sa ilalim ng State Service for Special Communications and Information Protection (State Special Communications), ay nag-imbestiga sa mga katotohanan ng paglabag integridad impormasyon pagkatapos ng aplikasyon ng malisyosong software.
Inimbestigahan ng team ang isang insidente kung saan inatake ng mga attacker ang integridad at availability ng impormasyon gamit ang Somnia program. Inangkin ng pangkat na FRwL (aka Z-Team) ang responsibilidad para sa hindi awtorisadong panghihimasok sa pagpapatakbo ng mga automated system at electronic computing machine. Sinusubaybayan ng pangkat ng pamahalaan na CERT-UA ang aktibidad ng mga umaatake sa ilalim ng identifier na UAC-0118.
Bilang bahagi ng pagsisiyasat, nalaman ng mga espesyalista na naganap ang paunang kompromiso pagkatapos mag-download at magpatakbo ng file na mayroon gayahin Advanced na IP Scanner software, ngunit talagang naglalaman ng Vidar malware. Ayon sa mga eksperto, ang mga taktika ng paglikha ng mga kopya ng mga opisyal na mapagkukunan at pamamahagi ng mga malisyosong programa sa ilalim ng pagkukunwari ng mga sikat na programa ay ang prerogative ng tinatawag na initial access brokers (initial access broker).
Kawili-wili din:
"Sa kaso ng partikular na isinasaalang-alang na insidente, dahil sa halatang pagmamay-ari ng ninakaw na data sa isang organisasyong Ukrainian, inilipat ng nauugnay na broker ang nakompromisong data sa grupong kriminal na FRwL para sa layunin ng karagdagang paggamit upang magsagawa ng cyber attack, " sabi ng pag-aaral ng CERT-UA.
Mahalagang bigyang-diin na ang Vidar stealer, bukod sa iba pang mga bagay, ay nagnanakaw ng data ng session Telegram. At kung ang user ay walang two-factor authentication at isang passcode set up, ang isang attacker ay maaaring makakuha ng hindi awtorisadong access sa account na iyon. Ito pala ang mga account sa Telegram ginagamit upang ilipat ang mga file ng configuration ng koneksyon ng VPN (kabilang ang mga certificate at data ng pagpapatunay) sa mga user. At nang walang dalawang-factor na pagpapatotoo kapag nagtatatag ng koneksyon sa VPN, ang mga umaatake ay nakakonekta sa corporate network ng ibang tao.
Kawili-wili din:
Matapos magkaroon ng malayuang pag-access sa network ng computer ng organisasyon, nagsagawa ng reconnaissance ang mga umaatake (sa partikular, ginamit nila ang Netscan), inilunsad ang programang Cobalt Strike Beacon, at nag-exfiltrate ng data. Ito ay pinatunayan ng paggamit ng Rсlone program. Bukod pa rito, may mga palatandaan ng paglulunsad ng Anydesk at Ngrok.
Isinasaalang-alang ang mga katangiang taktika, diskarte at kwalipikasyon, simula sa tagsibol ng 2022, ang grupong UAC-0118, kasama ang pakikilahok ng iba pang mga kriminal na grupo na kasangkot, lalo na, sa pagkakaloob ng paunang pag-access at paghahatid ng mga naka-encrypt na larawan ng Cobalt Strike Beacon program, nagsagawa ng ilan mga interbensyon sa gawain ng mga network ng computer ng mga organisasyong Ukrainian.
Kasabay nito, nagbabago rin ang Somnia malware. Ang unang bersyon ng programa ay gumamit ng simetriko 3DES algorithm. Sa pangalawang bersyon, ipinatupad ang algorithm ng AES. Kasabay nito, isinasaalang-alang ang dynamics ng key at ang initialization vector, ang bersyon na ito ng Somnia, ayon sa theoretical plan ng mga attackers, ay hindi nagbibigay ng posibilidad ng data decryption.
Matutulungan mo ang Ukraine na labanan ang mga mananakop na Ruso. Ang pinakamahusay na paraan upang gawin ito ay ang mag-abuloy ng mga pondo sa Armed Forces of Ukraine sa pamamagitan ng Savelife o sa pamamagitan ng opisyal na pahina NBU.
Kawili-wili din: