Złośliwe oprogramowanie RoarBAT wykryte przez ukraiński CERT

russia ukraine cyberattacks

Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) zgłosił trwającą kampanię phishingową, która wykorzystuje przynęty o tematyce fakturowej do rozprzestrzeniania szkodliwego oprogramowania SmokeLoader. Wiadomości e-mail są wysyłane z zaatakowanych kont i zawierają archiwum ZIP, które w rzeczywistości jest plikiem poliglot z dokumentem wabikiem i plikiem JavaScript. Ten plik jest używany do uruchamiania złośliwego oprogramowania SmokeLoader, którego celem jest pobranie bardziej efektywnego złośliwego oprogramowania na zainfekowane systemy. CERT-UA przypisał tę aktywność UAC-0006, motywowanemu finansowo ugrupowaniu cyberprzestępczemu, które stara się ukraść dane uwierzytelniające i przesyłać fundusze bez zezwolenia.

Ponadto ukraiński organ ds. cyberbezpieczeństwa ujawnił niszczycielski atak na organizacje sektora publicznego przeprowadzony przez UAC-0165, grupę, którą CERT-UA w umiarkowany sposób przypisuje grupie Sandworm. Atak obejmował złośliwe oprogramowanie czyszczące oparte na skrypcie wsadowym o nazwie RoarBAT, które rekurencyjnie wyszukiwało pliki z określonymi rozszerzeniami i usuwało je za pomocą legalnego narzędzia WinRAR. Grupa włamała się również do systemów Linux za pomocą skryptu bash, który nadpisywał pliki zerowymi bajtami, aby uniknąć wykrycia.

Atak ułatwił brak MFA podczas nawiązywania zdalnych połączeń z VPN. Destrukcyjny wpływ ataku spowodował uszkodzenia komputerów elektronicznych, sprzętu serwerowego, zautomatyzowanych miejsc pracy użytkowników i systemów przechowywania danych.

Co to są zaawansowane trwałe podmioty stanowiące zagrożenie?

Aktorzy Advanced Persistent Threat (APT) to wysoko wykwalifikowani i zmotywowani cyberprzestępcy, którzy prowadzą długoterminowe, ukierunkowane kampanie cyberszpiegowskie przeciwko określonym celom, takim jak agencje rządowe, infrastruktura krytyczna lub duże korporacje. Napastnicy ci wykorzystują wyrafinowane techniki w celu uzyskania nieautoryzowanego dostępu do poufnych informacji i systemów w celu kradzieży cennej własności intelektualnej, informacji niejawnych lub danych finansowych.

APT zazwyczaj wykorzystują kombinację taktyk, takich jak spear-phishing, socjotechnika, złośliwe oprogramowanie i narzędzia zdalnego dostępu, aby uzyskać dostęp do atakowanych systemów. Po uzyskaniu dostępu, aktorzy APT mogą ustanowić przyczółek w sieci, przemieszczać się poprzecznie w docelowym środowisku i pozostawać niewykrytymi przez długi czas podczas eksfiltracji danych.

Aktorzy APT są często sponsorowani przez państwo, przy wsparciu państw narodowych lub innych dużych organizacji, które dysponują znacznymi środkami na wspieranie swoich operacji cybernetycznych. Jednak mogą być również motywowani finansowo, pracując w imieniu organizacji przestępczych, które chcą ukraść cenne dane dla zysku.

Obrona przed atakami APT wymaga wielopłaszczyznowego podejścia, które obejmuje zaawansowane wykrywanie zagrożeń i możliwości reagowania, solidne praktyki higieny bezpieczeństwa oraz ciągłe monitorowanie aktywności sieciowej pod kątem oznak podejrzanego zachowania.

May 10, 2023
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.