Новости Софт 02.05.2023 в 18:15 comment views icon

Злоумышленники используют легитимный WinRAR как средство кибератаки на украинские госорганы

author avatar
https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg

Вадим Карпусь

Автор новостей

Правительственная команда реагирования на чрезвычайные события Украины CERT-UA исследовала кибератаку, предположительно ассоциированную с группировкой Sandworm. Отмечается, что злоумышленники совершали атаки на украинские государственные органы, пытались вывести из строя серверное оборудование, автоматизированные рабочие места пользователей и системы хранения данных. Для атак они использовали, в том числе и легитимное программное обеспечение.

Злоумышленники получали несанкционированный доступ к информационно-коммуникационной системе объекта атаки и пытались вывести из строя компьютеры с Windows, применяя RoarBat – BAT-скрипт. Скрипт осуществляет рекурсивный поиск файлов по определенному списку расширений. В дальнейшем такие файлы архивировались с помощью легитимной программы WinRAR с опцией «-df». Эта опция предусматривает удаление исходного файла и удаление созданных архивов. Запуск этого скрипта осуществлялся с помощью запланированной задачи, которая, по предварительной информации, была создана и централизованно распространена средствами групповой политики (GPO).

Злоумышленники используют легитимный WinRAR как средство кибератаки на украинские госорганы – CERT-UA

Вывод из строя компьютеров под управлением ОС Linux производился с помощью BASH-скрипта, который, среди прочего, обеспечивал использованием штатной утилиты «dd» для перезаписи файлов нулевыми байтами.

Способ реализации злонамеренного замысла, IP-адреса субъектов доступа и использование модифицированной версии RoarBat свидетельствуют о сходстве с кибератакой на «Укринформ». Информация о ней была опубликована в одном из российских телеграмм-каналов так называемых «хактивистов» 17 января этого года. Эта активность CERT-UA (с умеренным уровнем уверенности) ассоциирует с деятельностью группировки Sandworm, однако для ее точечного отслеживания создан соответствующий идентификатор UAC-0165.

CERT-UA отмечает, что реализации злонамеренного замысла в этой и подобных атаках способствуют отсутствие многофакторной аутентификации при осуществлении удаленных подключений к VPN, а также отсутствие сегментации сети и фильтрации входящих, исходящих и межсегментных информационных потоков.

Онлайн-курс "Клієнтський сервіс" від Laba.
Створіть wow-сервіс, який не лише приведе до повторних покупок, але й виділятиме вашу компанію серед конкурентів.Досвідом поділиться Head of Digital-CRM у «Нова Пошта Україна».
Детальніше про курс

Источник: CERT-UA


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: