Liam Tung Bidragyder
Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.
Fuld bio den 7. februar 2022 | Emne: Sikkerhed 
Cybersikkerhed: Lad os blive taktiske. Se nu
Microsoft har detaljeret den seneste hacking-aktivitet af cyberaktører, højst sandsynligt på linje med den russiske føderale sikkerhedstjeneste (FSB), som har angrebet Ukraines regering, sikkerhedsagenturer og hjælpeorganisationer.
Microsoft siger, at hackergruppen, som den kalder Actinium, har “målrettet eller kompromitteret konti” hos Ukraines beredskabsorganisationer siden oktober. Actinium-hackere målrettede også organisationer, der ville koordinere international og humanitær bistand til Ukraine, hedder det i en ny rapport.
“Siden oktober 2021 har Actinium målrettet eller kompromitteret konti hos organisationer, der er afgørende for nødberedskab og sikring af sikkerheden på ukrainsk territorium, samt organisationer, der ville være involveret i at koordinere distributionen af international og humanitær bistand til Ukraine i en krise,” sagde Microsoft.
SE: Cybersikkerhed: Lad os være taktiske(ZDNet-særrapport)
Sikkerhedstjenesten i Ukraine (SSU), som står i spidsen for Ukraines kontra-efterretningsindsats, kalder gruppen Armageddon. SSU har sporet gruppens tidligste aktivitet til mindst 2014 og siger, at den fokuserer på efterretningsindsamling på Krim, hovedsageligt gennem phishing og malware.
Armageddon er kendt for grove, men frekke cyberangreb, der har til formål at indsamle oplysninger fra Ukraines sikkerheds-, forsvars- og retshåndhævende myndigheder.
Microsoft prioriterede sin rapport om Actiniums seneste aktivitet, da bekymringerne stiger over Ruslands tilsyneladende forberedelser til at invadere Ukraine.
Selvom det måske ikke er så sofistikeret eller snigende, udvikler gruppens taktik sig konstant og prioriterer anti-malware-unddragelse, ifølge Microsoft. Den bruger en række målrettede “spyd-phishing”-e-mails, der anvender eksterne dokumentskabeloner og eksterne makroscripts til kun at inficere udvalgte mål, samtidig med at risikoen for opdagelse minimeres gennem anti-malware-systemer til scanning af vedhæftede filer.
“Levering ved hjælp af ekstern skabeloninjektion sikrer, at skadeligt indhold kun indlæses, når det kræves (for eksempel når brugeren åbner dokumentet),” siger Microsofts Threat Intelligence Center (MSTIC).
“Dette hjælper angribere med at undgå statiske registreringer, for eksempel af systemer, der scanner vedhæftede filer for ondsindet indhold. At have den ondsindede makro hostet eksternt giver også en angriber mulighed for at kontrollere, hvornår og hvordan den ondsindede komponent leveres, hvilket yderligere undgår registrering ved at forhindre automatiserede systemer i at indhentning og analyse af den ondsindede komponent.”
Gruppen anvender også 'webbugs', der tillader afsenderen at spore, hvornår en besked er blevet åbnet og gengivet. Lure-dokumenter inkluderer dem, der efterligner Verdenssundhedsorganisationen, der indeholder opdateringer om COVID-19.
Phishing-vedhæftningen indeholder en nyttelast, der udfører sekundære nyttelaster på en kompromitteret enhed. Den bruger en række 'iscenesættelse'-scripts såsom stærkt slørede VBScripts, slørede PowerShell-kommandoer, selvudpakkende arkiver og LNK-filer, sikkerhedskopieret af mærkeligt navngivne planlagte opgaver i scripts for at opretholde persistens.
I løbet af en måneds periode så Microsoft Actinium bruge over 25 unikke domæner og over 80 unikke IP-adresser til at understøtte nyttelastinddeling og dens kommando- og kontrolinfrastruktur (C2), hvilket indikerer, at de ofte ændrer deres infrastruktur for at frustrere undersøgelser. De fleste af dets DNS-registreringer for domænerne ændres også en gang om dagen, hvor domænerne er registreret gennem den legitime virksomhedsregistrator REG.RU.
Microsoft bekræftede, at det har observeret gruppen, der bruger Pterodo-malware til at få interaktiv adgang til målet. netværk. I nogle tilfælde brugte den også det legitime UltraVNC-program til interaktive forbindelser til et mål. Actiniums anden nøgledel af malware er QuietSieve, der bruges til at eksfiltrere data fra den kompromitterede vært og til at modtage og udføre en ekstern nyttelast fra operatøren.
Microsoft bemærker, at Actinium hurtigt udvikler en række nyttelaster med letvægtsfunktioner via slørede scripts, der bruges til at implementere mere avanceret malware på et senere tidspunkt. Agil udvikling af disse scripts, som Microsoft beskriver som “hurtigt bevægende mål med en høj grad af varians”, hjælper med at undgå antivirus-detektion. Eksempler på disse downloadere omfatter DinoTrain, DilongTrash, Obfuberry, PowerPunch, DessertDown og Obfumerry.
US, europæiske og britiske cybersikkerhedsembedsmænd opfordrede alle organisationer til at styrke deres forsvar efter Microsofts advarsel i januar om, at de havde opdaget destruktiv visker malware på flere Ukraine-systemer.
Sikkerhed
Flere virksomheder bruger multifaktorgodkendelse. Hackere forsøger at slå det Microsoft: Denne Mac-malware bliver smartere og farligere Sådan finder og fjerner du spyware fra din telefon Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Sikkerheds-tv | Datastyring | CXO | Datacentre