Një fushatë e shënjestruar e sulmit PowerShell është nisur kundër ushtrisë ukrainase nga një kërcënim i sofistikuar i avancuar i vazhdueshëm rus (APT). Ky sulm besohet të jetë puna e një grupi të lidhur me Shuckworm, i cili ka një histori të kryerjes së fushatave kundër Ukrainës për arsye që lidhen me gjeopolitikën, spiunazhin dhe përçarjen. Kjo fushatë, e njohur si STEADY#URSA, përdor një derë të pasme të bazuar në SUBTLE-PAWS PowerShell të sapo zbuluar për të depërtuar dhe komprometuar sistemet e synuara. Backdoor lejon aktorët e kërcënimit të fitojnë akses të paautorizuar, të ekzekutojnë komanda dhe të ruajnë qëndrueshmërinë brenda sistemeve të komprometuara.

Sulmi përfshin shpërndarjen e një ngarkese me qëllim të keq përmes skedarëve të ngjeshur të dorëzuar përmes emaileve phishing, dhe shpërndarja dhe lëvizja anësore e malware kryhet përmes disqeve USB. Kjo shmang nevojën për të hyrë drejtpërdrejt në rrjet. Raporti vë në dukje se kjo qasje mund të bëhet e vështirë për shkak të komunikimeve ajrore të Ukrainës si Starlink. Fushata shfaq ngjashmëri me malware-in Shuckworm dhe përfshin taktika, teknika dhe procedura të dallueshme të vëzhguara në fushatat e mëparshme kibernetike kundër ushtrisë ukrainase.

Oleg Kolesnikov, një nënkryetar i kërkimit të kërcënimeve dhe shkencës së të dhënave / AI për Securonix, thotë se SUBTLE-PAWS veçohet duke u mbështetur kryesisht në skedat jashtë disku/PowerShell për ekzekutim, duke shmangur ngarkesat tradicionale binare. Ai përdor gjithashtu shtresa shtesë të teknikave të turbullimit dhe evazionit si kodimi, ndarja e komandave dhe këmbëngulja e bazuar në regjistër për të shmangur zbulimin.

Malware vendos komandën dhe kontrollin (C2) duke komunikuar nëpërmjet Telegramit me një server në distancë, duke përdorur metoda adaptive si pyetjet DNS dhe kërkesat HTTP me adresa IP të ruajtura në mënyrë dinamike. Ai përdor gjithashtu masa të fshehta si kodimi Base64 dhe XOR, teknikat e rastësisë dhe ndjeshmëria e mjedisit për të përmirësuar natyrën e tij të pakapshme.

Dora e pasme SUBTLE-PAWS ekzekutohet nga një skedar i shkurtoreve me qëllim të keq (.lnk), i cili fillon ngarkimin dhe ekzekutimin e një kodi të ri të ngarkesës së pasme të PowerShell. Ai është i ngulitur brenda një skedari tjetër që gjendet në të njëjtin arkiv të ngjeshur.

Kolesnikov sugjeron masa të mundshme proaktive për të zbutur rreziqet e sulmeve të tilla, të cilat përfshijnë zbatimin e programeve të edukimit të përdoruesve për të njohur shfrytëzimin e mundshëm përmes emailit, rritjen e ndërgjegjësimit rreth përdorimit të ngarkesave me qëllim të keq .lnk në disqet e jashtme dhe zbatimin e politikave strikte dhe dekompresimin e skedarëve të përdoruesit për të zbutur rreziqet. Ai rekomandon gjithashtu zbatimin e politikave të kontrollit të pajisjes për të kufizuar përdorimin e paautorizuar të USB-së dhe skanimin e rregullt të mediave të lëvizshme për malware duke përdorur zgjidhje të avancuara të sigurisë së pikës fundore.

Për të përmirësuar mbulimin e zbulimit të regjistrave, Securonix këshillon vendosjen e regjistrimeve shtesë të nivelit të procesit, të tilla si logging Sysmon dhe PowerShell. Organizatat duhet gjithashtu të zbatojnë politika strikte të listës së bardhë të aplikacioneve dhe të zbatojnë filtrimin e përmirësuar të emailit, monitorimin e duhur të sistemit dhe zgjidhjet e zbulimit dhe përgjigjes së pikës fundore për të monitoruar dhe bllokuar aktivitetin e dyshimtë.

Ky sulm kibernetik është pjesë e një lufte të vazhdueshme tokësore në Ukrainë, e cila është zhvilluar edhe në fushën dixhitale. Përveç sulmit ndaj ushtrisë ukrainase, Kyivstar, operatori më i madh i telekomunikacionit celular në Ukrainë, përjetoi një sulm kibernetik në dhjetor, duke çuar në humbjen e shërbimit celular për më shumë se gjysmën e popullsisë së Ukrainës. Microsoft lëshoi detaje të APT Cadet Blizzard ruse në qershor 2023, i cili mendohet të jetë përgjegjës për malware të fshirësve të vendosur përpara pushtimit rus të Ukrainës. Për më tepër, grupet haktiviste ruse kanë pretenduar se kanë shkelur sistemin e menaxhimit të fushëbetejës së ushtrisë ukrainase DELTA, duke zbuluar lëvizjet e trupave në kohë reale.

Përtej konfliktit në Evropën Lindore, grupet e kërcënimit në Iran, Siri dhe Liban demonstrojnë gjithashtu kërcënimin e sulmeve kibernetike në konfliktet në të gjithë Lindjen e Mesme. Sofistikimi në rritje i këtyre kërcënimeve tregon se aktorët keqdashës të mbështetur nga shteti po modernizojnë teknikat e tyre të malware dhe grupe të shumta kërcënimi po bashkohen për të nisur sulme më komplekse.

Lidhja e burimit