Sofisticirana ruska napredna trajna prijetnja (APT) pokrenula je ciljanu kampanju napada PowerShell protiv ukrajinske vojske. Vjeruje se da je ovaj napad djelo skupine povezane s Shuckwormom, koja ima povijest provođenja kampanja protiv Ukrajine iz geopolitičkih razloga, špijunaže i poremećaja. Ova kampanja, poznata kao STEADY#URSA, koristi novootkriveni backdoor temeljen na SUBTLE-PAWS PowerShell za infiltraciju i kompromitiranje ciljanih sustava. Stražnja vrata omogućuju akterima prijetnje neovlašteni pristup, izvršavanje naredbi i održavanje postojanosti unutar ugroženih sustava.

Napad uključuje distribuciju zlonamjernog sadržaja putem komprimiranih datoteka isporučenih putem phishing e-pošte, a distribucija i bočno kretanje zlonamjernog softvera provodi se putem USB pogona. Time se zaobilazi potreba za izravnim pristupom mreži. Izvješće napominje da bi ovaj pristup mogao biti otežan zbog ukrajinskih komunikacija bez zraka kao što je Starlink. Kampanja pokazuje sličnosti sa zlonamjernim softverom Shuckworm i uključuje različite taktike, tehnike i procedure uočene u prethodnim cyber kampanjama protiv ukrajinske vojske.

Oleg Kolesnikov, potpredsjednik za istraživanje prijetnji i podatkovnu znanost/AI za Securonix, navodi da se SUBTLE-PAWS izdvaja po tome što se primarno oslanja na off-disk/PowerShell stagere za izvršenje, izbjegavajući tradicionalna binarna korisna opterećenja. Također koristi dodatne slojeve maskiranja i tehnika izbjegavanja kao što su kodiranje, dijeljenje naredbi i postojanost temeljena na registru kako bi se izbjeglo otkrivanje.

Zlonamjerni softver uspostavlja naredbu i kontrolu (C2) komunicirajući putem Telegrama s udaljenim poslužiteljem, koristeći adaptivne metode kao što su DNS upiti i HTTP zahtjevi s dinamički pohranjenim IP adresama. Također koristi prikrivene mjere kao što su Base64 i XOR kodiranje, tehnike randomizacije i osjetljivost okoline kako bi se poboljšala njegova nedostižna priroda.

SUBTLE-PAWS backdoor se izvršava datotekom zlonamjernog prečaca (.lnk), koja pokreće učitavanje i izvođenje novog PowerShell backdoor korisničkog koda. Ugrađen je unutar druge datoteke koja se nalazi u istoj komprimiranoj arhivi.

Kolesnikov predlaže moguće proaktivne mjere za ublažavanje rizika od takvih napada, što uključuje implementaciju programa edukacije korisnika za prepoznavanje potencijalnog iskorištavanja putem e-pošte, povećanje svijesti o korištenju zlonamjernog .lnk korisnog opterećenja na vanjskim diskovima i provođenje strogih pravila i dekompresiju korisničkih datoteka za ublažavanje rizicima. Također preporučuje implementaciju pravila kontrole uređaja kako bi se ograničilo neovlašteno korištenje USB-a i redovito skeniranje izmjenjivih medija u potrazi za zlonamjernim softverom korištenjem naprednih sigurnosnih rješenja krajnje točke.

Kako bi se povećala pokrivenost detekcijom dnevnika, Securonix savjetuje implementaciju dodatnog evidentiranja na razini procesa, kao što je Sysmon i PowerShell logovanje. Organizacije bi također trebale provoditi stroga pravila o popisu dopuštenih aplikacija i implementirati poboljšano filtriranje e-pošte, pravilno praćenje sustava i rješenja za otkrivanje krajnjih točaka i odgovor za praćenje i blokiranje sumnjivih aktivnosti.

Ovaj kibernetički napad dio je tekućeg kopnenog rata u Ukrajini, koji se također vodi u digitalnom području. Osim napada na ukrajinsku vojsku, Kyivstar, najveći ukrajinski mobilni telekom operater, doživio je kibernetički napad u prosincu, što je dovelo do gubitka mobilnih usluga za više od polovice stanovništva Ukrajine. Microsoft je u lipnju 2023. objavio pojedinosti o ruskom APT Cadet Blizzardu, za koji se smatra da je odgovoran za zlonamjerni softver brisača postavljen prije ruske invazije na Ukrajinu. Nadalje, ruske haktivističke skupine tvrde da su probile ukrajinski vojni sustav upravljanja bojnim poljem DELTA, otkrivajući kretanje trupa u stvarnom vremenu.

Osim sukoba u istočnoj Europi, skupine prijetnji u Iranu, Siriji i Libanonu također pokazuju prijetnju kibernetičkih napada u sukobima diljem Bliskog istoka. Rastuća sofisticiranost ovih prijetnji ukazuje na to da zlonamjerni akteri koje podupire država moderniziraju svoje tehnike zlonamjernog softvera, a višestruke skupine prijetnji udružuju se kako bi pokrenule složenije napade.

Link na izvor