Russische Hacker nach sich ziehen während des Ukraine-Krieges eine Erdölraffinerie in einem North Atlantic Treaty Organization-Nation angegriffen
[ad_1]
20. Monat des Winterbeginns 2022Ravie LakshmananCyberkrieg / Cyberangriff
Die mit Russland verbundene Gamaredon-Typ versuchte Entstehen dieses Jahres vergeblich, zwischen des andauernden russisch-ukrainischen Krieges in ein großes Erdölraffinerieunternehmen in einem North Atlantic Treaty Organization-Mitgliedsstaat einzudringen.
Welcher Offensive, jener am 30. August 2022 stattfand, ist nur einer von mehreren Angriffen, die von jener Advanced Persistent Threat (APT) orchestriert werden, die dem russischen Föderalen Sicherheitsdienst (FSB) zugeschrieben wird.
Gamaredon, nebensächlich veröffentlicht unter den Spitznamen Actinium, Katastrophe, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa und Winterflunder, hat in jener Vergangenheit in erster Linie ukrainische Einheiten und in geringerem Metrik North Atlantic Treaty Organization-Verbündete verfolgt, um sensible Information zu zusammenschließen.
„Während jener Konflikt unter und im Cyberspace andauert, hat Trident Ursa qua engagierter Zugangsersteller und Informationssammler gearbeitet“, sagte Palo Alto Networks Unit 42 in einem Nachricht, jener The Hacker News mitgeteilt wurde. „Trident Ursa bleibt einer jener entfernteste verbreiteten, aufdringlichsten, kontinuierlich aktiven und konzentriertesten APTs, die aufwärts die Ukraine abzielen.“
Die kontinuierliche Überwachung jener Aktivitäten jener Typ durch Unit 42 hat mehr qua 500 neue Domains, 200 Schadsoftware-Beispiele und mehrere Änderungen in ihren Taktiken in den letzten 10 Monaten qua Reaktion aufwärts sich ständig ändernde und wachsende Prioritäten aufgedeckt.
Ausgenommen von Cyberangriffen soll die größere Sicherheitsgemeinschaft Empfänger von bedrohlichen Tweets eines angeblichen Gamaredon-Mitarbeiters gewesen sein, in denen die Einschüchterungstechniken des Gegners hervorgehoben wurden.
Andere bemerkenswerte Methoden zusammenfassen die Verwendung von Telegram-Seiten zum Nachschlagen von Command-and-Control-Servern (C2) und So gut wie-Flux-DNS zum Rotieren durch viele IP-Adressen in kurzer Zeit, um IP-basierte Denylisting- und Takedown-Bemühungen zu verschlimmern.
Die Angriffe selbst nach sich ziehen die Lieferung von bewaffneten Anhängen, die in Spear-Phishing-E-Mails eingebettet sind, um eine VBScript-Hintertür aufwärts dem kompromittierten Host bereitzustellen, die in jener Position ist, Persistenz herzustellen und zusätzlichen VBScript-Quellcode auszuführen, jener vom C2-Server bereitgestellt wird.
Es wurden nebensächlich Gamaredon-Infektionsketten beobachtet, die Geoblocking nutzen, um die Angriffe aufwärts bestimmte Standorte zu einschränken, und Dropper-Ausführungsdateien verwenden, um VBScript-Payloads jener nächsten Stufe zu starten, die sich anschließend mit dem C2-Server verbinden, um weitere Befehle auszuführen.
Welcher Geoblocking-Zusammenhang fungiert qua Sicherheitsblindpunkt, da er die Visibilität jener Angriffe des Angreifers extrinsisch jener Zielländer verringert und die Nachverfolgung seiner Aktivitäten erschwert.
„Trident Ursa bleibt ein agiles und anpassungsfähiges APT, dies in seinem Firma keine bombastisch ausgefeilten oder komplexen Techniken verwendet“, sagten die Forscher. „In den meisten Fällen verlassen sie sich aufwärts publik verfügbare Tools und Skripte – zusammen mit einem erheblichen Vermessung an Verschleierung – sowie aufwärts routinemäßige Phishing-Versuche, um ihre Operationen triumphierend auszuführen.“
[ad_2]