Już 13 września zapraszamy Was na wielki finał Ligi Cyber Twierdzy podczas konferencji Security Case Study 2023 w samym centrum Warszawy.
Pierwsze wskazówki już są:
Badacze bezpieczeństwa Cyber Grzmot wykryli kampanię wymierzoną w sektor ochrony zdrowia. Wiele szpitali w całym kraju zostało zainfekowanych oprogramowaniem typu wiper, a następnie utraciło dane w wyniku jego działania. Celem atakującego jest destabilizacja kraju.
Większość ataków w obserwowanej kampanii rozpoczyna się od wykorzystania znanych podatności serwerów pocztowych, serwerów Confluence, serwerów WWW i systemów zarządzania. Grupa APT może wykorzystywać różne narzędzia do tunelowania (IVPN, NGROK, SurfShark, Teamviewer i Tor), struktury ataków (Meterpreter) i gotowe binaria (Impacket, PowerShell i procdump). Celem atakującego jest eksfiltracja danych i czasem ich późniejsze upublicznienie za pośrednictwem fikcyjnej osoby Free Civilian (przez Internet lub Telegram). Atakujący był również zaangażowany w działania zakłócające funkcjonowanie swych ofiar oraz działania destruktywne, w tym podmianę witryn WWW i wymazywanie danych z wykorzystaniem oprogramowania typu wiper np. przy użyciu malware o nazwie WhisperGate. Przykładem takiej aktywności grupy jest atak na ukraińskie organizacje rządowe na przełomie 2022 i 2023 roku. Wiper ten jest także stosowany w niniejszej kampanii.
Jak dotąd grupa APT atakowała organizacje rządowe, organy ścigania, organizacje non-profit i pozarządowe, dostawców usług IT, firmy konsultingowych i służby ratunkowe na Ukrainie, w Europie, Azji Środkowej i Ameryce Łacińskiej.
Działania threat aktora odpowiedzialnego za tę kampanię i dobór celów (ataki uderzające głównie w zaplecze Ukrainy oraz państw wspierających Ukrainę), świadczą o jego powiązaniu z rosyjskimi służbami, zwłaszcza w kontekście trwającej już drugi rok agresji Rosji na Ukrainę.
Zalecamy administratorom sieci ciągłe monitorowanie i analizę ruchu sieciowego, a także szczególne zwrócenie uwagi na podejrzaną aktywność konsoli PowerShell, wiersza poleceń Windows, a także zestawu narzędzi Impacket.
Monitoruj swoje systemy, by szybko wykryć potencjalny atak!!!
Jeżeli odkryłeś nietypową aktywność w swojej sieci – poinformuj nas o tym.
Zespół CERT Cyber Grzmot
