首页 > 安全 > 正文

俄罗斯联系的Sandworm APT针对乌克兰的能源设施用刮水器

最后更新 :2022.04.12

俄罗斯联系的Sandworm Apt组在乌克兰的乌克兰和Caddywiper刮水器中针对乌克兰的能量设施。

和一个新版本的caddywiper刮水器。

根据CERT-UA,国家演员瞄准高压 具有Industroyer2的电变电站,研究人员分析的变体定制为靶向相应的变电站。

攻击者还采用了CADDYWIPER刮水器要定位基于Windows的系统,而使用OrcShred,Soloshred,AwfulsMed Dessuptive脚本运行Linux操作系统的服务器设备。

通过组策略机制(GPO)实施集中分布和发射CDDDDEWIPER。PowerGAP PowerShell脚本用于添加下载文件析构函数C的组策略来自域控制器的OPonents并在计算机上创建计划任务。阅读乌克兰证书发布的咨询。通过创建SSH隧道链提供局域网段之间水平移动的能力。螺钉用于远程执行命令。

证书,即APT组至少推出了对能源设施的两个攻击波。 初始妥协在2月2022年之前停战。 值得注意的是,在4月8日,2022年4月8日星期五晚上举行了电变电站的断开和公司基础设施的退役;

好消息是通过政府检测到攻击并被政府中和袭击专家借助网络安全公司ESET和Microsoft。

CERT-UA收集了这些攻击的妥协指标,并与雅拉规则共享,其中有限数量的国际部分能源公司。

研究人员证实,该袭击计划于2022-04-08举行,但工件表明,该袭击已计划至少两周

energy facilities Sandworm

我们评估了高度信心,即攻击者使用2016年使用的industroyer恶意软件的新版本,以在乌克兰削减电力读取由ESET发布的报告。您的获奖者在弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客和其他您Cho的Tech Whiz最佳技术博客等方面投票冰。提名,请访问:

https://docs.google.com/borms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/viewform

 

- END -

看更多