به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این آژانس در حال ردیابی فعالیت گروهی با نام یو ای سی-0165 (UAC-0165) است و بیان می کند که نفوذها منجر به وقفه در خدمات برای مشتریان شده است.
نقطه شروع حملات یک مرحله شناسایی است که در آن شبکه یک شرکت مخابراتی برای شناسایی رابطهای آر دی پی (RDP) یا اس اس اچ (SSH) در معرض خطر و نقاط ورودی احتمالی اسکن میشود.
تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) گفت:
لازم به ذکر است که فعالیتهای شناسایی و بهرهبرداری از سرورهایی که قبلاً در معرض خطر قرار داشتند، به ویژه در بخش اوکراینی اینترنت، در حال انجام است. برای مسیریابی ترافیک از طریق چنین گره هایی، از دانته (Dante)، ساکس 5 (SOCKS5) و سایر سرورهای پراکسی استفاده می شود.
این حملات به دلیل استفاده از دو برنامه تخصصی به نامهای پئومگیت (POEMGATE) و پوزیدون (POSEIDON) قابل توجه هستند که سرقت اعتبار و کنترل از راه دور میزبانهای آلوده را امکانپذیر میکنند.
به منظور پاک کردن دنباله قانونی، از ابزاری به نام وایت کت (WHITECAT) نیز در این حملات استفاده می شود.
علاوه بر این، دسترسی غیرمجاز مداوم به زیرساخت ارائهدهنده با استفاده از حسابهای وی پی ان (VPN) معمولی که با استفاده از احراز هویت چند عاملی محافظت نمیشوند، به دست میآید.
یک سرقت موفقیت آمیز با تلاش برای غیرفعال کردن تجهیزات شبکه و سرور، به ویژه تجهیزات میکروتیک و همچنین سیستم های ذخیره سازی داده دنبال می شود.
این توسعه در حالی صورت میگیرد که آژانس اعلام کرد که چهار موج فیشینگ را مشاهده کرده است که توسط یک گروه هکری به نام یو ای سی-0006 (UAC-0006) با استفاده از بدافزار اسموک لودر (SmokeLoader) در هفته اول اکتبر 2023، انجام شده است.
تیم واکنش اضطراری رایانه ای اوکراین گفت:
آدرسهای ایمیل به خطر افتاده قانونی برای ارسال ایمیلها استفاده میشود و اسموک لودر به روشهای مختلفی به رایانههای شخصی تحویل داده میشود.
هدف مهاجمان حمله به رایانههای حسابداران به منظور سرقت دادههای احراز هویت (ورودی، رمز عبور، کلید و گواهینامه) و یا تغییر جزئیات اسناد مالی در سیستمهای بانکی از راه دور به منظور ارسال پرداختهای غیرمجاز است.
