W III kwartale 2020 r. badacze z firmy Kaspersky zauważyli rozbieżność w ogólnym podejściu cyberprzestępców – z jednej strony zaawansowane ugrupowania APT na całym świecie rozwijały swoje taktyki, techniki oraz procedury, a z drugiej – miały miejsce skuteczne kampanie oparte na dość trywialnych wektorach infekcji i zestawach narzędzi.
Jednym z istotniejszych wydarzeń w analizowanym kwartale była kampania przeprowadzona przez nieznanych sprawców, którzy zainfekowali jedną z ofiar z wykorzystaniem niestandardowego szkodliwego narzędzia (bootkita) dla UEFI, czyli niezbędnego komponentu sprzętowego każdego współczesnego urządzenia komputerowego. Ten wektor infekcji wchodził w skład wieloetapowej platformy o nazwie MosaicRegressor. Dzięki zainfekowaniu UEFI zainstalowane na urządzeniu szkodliwe oprogramowanie mogło utrzymać się na nim wyjątkowo długo i było niezwykle trudne do usunięcia. Dodatkowo pozwalało to szkodliwemu oprogramowaniu pobierać na każde urządzenie ofiary inną szkodliwą funkcję – takie elastyczne odejście umożliwiło sprawcom ukrywać obecność szkodliwych modułów.
Cyberprzestępcy stosowali także stenografię. W ataku na europejską firmę telekomunikacyjną wykryto nową metodę wykorzystującą podpisany przy użyciu technologii Authenticode moduł aplikacji Windows Defender. Z kolei w aktywnej kampanii przypisywanej ugrupowaniu Ke3chang użyto nowej wersji backdoora Okrum, która wykorzystuje taki moduł poprzez zastosowanie unikatowej techniki ładowania pośredniego. Atakujący wykorzystali stenografię w celu ukrycia głównej szkodliwej funkcji pliku wykonywalnego Defendera, dbając jednocześnie o zachowanie ważności jego podpisu cyfrowego, by zmniejszyć ryzyko wykrycia.
Inne cybergangi również nieustannie modyfikują swoje zestawy narzędzi, zwiększając ich uniwersalność i zdolność do pozostawania poza radarem. Wciąż pojawiają się różne wieloetapowe platformy, jak na przykład ta stworzona przez cybergang MuddyWater. Tendencja ta dotyczy także innych szkodliwych programów, czego przykładem może być narzędzie zdalnego dostępu (RAT) Dtrack, które zostało uaktualnione o nową funkcję umożliwiającą wykonanie większej liczby rodzajów szkodliwych funkcji.
Z drugiej strony, niektórzy cyberprzestępcy nadal skutecznie stosują łańcuchy infekcji o niskim stopniu zaawansowania technicznego. Przykładem może być ugrupowanie cybernajemników, któremu badacze z firmy Kaspersky nadali nazwę DeathStalker. Gang ten bierze na celownik głównie kancelarie prawne oraz firmy działające w sektorze finansowym, gromadząc wrażliwe i cenne informacje swoich ofiar. Skupiając się na unikaniu wykrycia, stosując techniki, które w większości pozostały niezmienione od 2018 r., DeathStalker zdołał przeprowadzić wiele udanych ataków.
Podczas gdy niektórzy cyberprzestępcy konsekwentnie trzymają się sprawdzonych metod, szukając jedynie nowych gorących tematów, jak np. COVID-19, które mogą wykorzystać, by skłonić ofiary do pobrania szkodliwych załączników, inne ugrupowania przeobrażają siebie i swoje narzędzia. Szerszy zakres atakowanych platform, ciągła praca nad nowymi łańcuchami infekcji oraz wykorzystywanie legalnych usług w ramach infrastruktury ataków to tendencje obserwowane w minionym kwartale. Dla specjalistów zajmujących się cyberbezpieczeństwem oznacza to jedno: konieczność angażowania zasobów w tropienie szkodliwej aktywności w nowych, potencjalnie legalnych, słabo zbadanych środowiskach. Mowa tu między innymi o szkodliwym oprogramowaniu napisanym w mniej znanych językach programowania, jak również rozprzestrzenianym za pośrednictwem legalnych usług chmury. Śledzenie aktywności, technik, taktyk i procedur cyberugrupowań pozwala nam obserwować, w jaki sposób adaptują one nowe techniki i narzędzia, a tym samym przygotować się do reagowania na nowe ataki – powiedział Ariel Jungheit, starszy badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT) w firmie Kaspersky.
Badacze zalecają następujące działania, które pozwalają uchronić się przed atakami ukierunkowanymi znanych i nieznanych cyberprzestępców:
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj niezawodne rozwiązania EDR.
- Oprócz stosowania niezbędnej ochrony punktów końcowych wdróż rozwiązanie bezpieczeństwa klasy korporacyjnej, które potrafi wykrywać zaawansowane zagrożenia na poziomie sieci już na wczesnym etapie.
Zobacz pełny raport poświęcony ewolucji zaawansowanych cyberzagrożeń w III kwartale 2020 r.
Źródło: Kaspersky
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS