Російські кібервійни Trident Ursa або APT Gamaredon залишаються активними після вторгнення в Україну. Крім того, була спроба нападу на великий нафтопереробний завод в країні-члені НАТО.
Україна зіткнулася з ескалацією кіберзагроз з боку Росії з початку лютого, коли підрозділ Palo Alto Networks Unit 42 широко повідомив про групу APT Trident Ursa (така ж Gamaredon, UAC-0010, Primitive Bear, Shuckworm). Trident Ursa – це група, пов’язана з російською внутрішньою розвідкою ФСБ. Оскільки конфлікт триває на землі та в кіберпросторі, Trident Ursa залишається одним із найпоширеніших, безперервно активних і цільових ППТ, націлених на Україну.
500 нових доменів як платформа для атаки
Враховуючи поточну геополітичну ситуацію та конкретну цільову спрямованість цієї групи APT, дослідники Блоку 42 продовжують активно шукати показники операцій. При цьому вони визначили понад 500 нових доменів, 200 зразків та інші IoC (індикатори компрометації), що підтримують різні цілі Trident Ursa для фішингу та зловмисного програмного забезпечення за останні десять місяців. Під час моніторингу цих доменів, а також інформації з відкритих джерел дослідники помітили кілька помітних дій:
- Невдала спроба 30 серпня 2022 року скомпрометувати великий нафтопереробний завод в країні-члені НАТО.
- Особа, очевидно пов’язана з Trident Ursa, погрожувала українському досліднику з кібербезпеки одразу після першого вторгнення.
- Кілька змін у тактиці, техніці та процедурах (TTP).
Висновки розслідування
Trident Ursa залишається гнучким і адаптивним APT, який не використовує надто витончених або складних методів у своїх операціях. У більшості випадків група покладається на загальнодоступні інструменти та сценарії, разом із значним ступенем обфускації, а також на звичайні спроби фішингу для успішного проведення операцій.
Їх регулярно виявляють дослідники та урядові організації, що групу, здається, не хвилює. Він просто додає додаткові обфускації, нові домени та нові методи, і намагається знову, часто навіть повторно використовуючи попередні шаблони. Trident Ursa працює таким чином принаймні з 2014 року і не демонструє жодних ознак сповільнення протягом цього конфлікту. З усіх цих причин він залишається значною загрозою для України та її союзників.
Захисні та відновлювальні дії
Найкращий захист від Trident Ursa — це позиція безпеки, яка сприяє запобіганню. Підрозділ 42 рекомендує компаніям вжити таких заходів:
- Пошук у журналах мережі та кінцевих точок індикаторів індикаторів компрометації, пов’язаних із цією групою загроз.
- Переконайтеся, що рішення з кібербезпеки ефективно блокують IoC активної інфраструктури.
- Впровадження рішення безпеки DNS для виявлення та пом’якшення запитів DNS для відомих інфраструктур C2. Якщо компанія не має конкретного випадку використання таких служб, як обмін повідомленнями Telegram і інструменти пошуку доменів у своєму бізнес-середовищі, ці домени слід додати до списку блокування. У випадку мереж із нульовою довірою домени не повинні включатися в список дозволених доменів.
- Застосування додаткової перевірки всього мережевого трафіку, що зв’язується з AS 197695(Reg[.]ru).
Про Palo Alto Networks Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.