Rok 2020 je veľmi špecifickým rokom – nič nie je rovnaké, no život ide ďalej, a platí to rovnako aj pre kyberzločincov a APT skupiny. Pandémia koronavírusu sa aktívne využíva ako návnada v rámci mnohých škodlivých kampaní, veľkých či malých. Odborníci spoločnosti Kaspersky pozorujú neustály vývoj arzenálu v oblasti pokročilých pretrvávajúcich hrozieb na rôznych frontoch – od zamerania sa na nové platformy a zneužívanie aktívnych zraniteľností až po prechod na úplne nové nástroje. Tieto a ďalšie trendy v oblasti APT z celého sveta za druhý štvrťrok sú zhrnuté v aktuálnej správe spoločnosti Kaspersky zameranej na oblasť APT hrozieb.
Štvrťročné zhrnutie APT trendov (APT je skratka pre pokročilé pretrvávajúce hrozby) čerpá poznatky z vlastného výskumu hrozieb spoločnosti Kaspersky ako aj z iných zdrojov, pričom poukazuje na hlavné trendy, o ktorých by mal podľa odborníkov korporátny sektor vedieť.
V druhom štvrťroku 2020 analytici spoločnosti Kaspersky zaznamenali nový vývoj v oblasti taktiky, techník a postupov viacerých APT skupín na celom svete. Najvýznamnejšie zmeny implementovali nasledujúce skupiny:
- Skupina Lazarus, ktorá je už niekoľko rokov kľúčovým hráčom v oblasti hrozieb teraz investuje ešte viac do útokov, ktoré prinášajú finančný zisk. Popri cieľoch ako kybernetická špionáž alebo kybernetická sabotáž sa táto skupina zameriavala na banky a ďalšie finančné spoločnosti po celom svete. V druhom štvrťroku sa odborníkom spoločnosti Kaspersky podarilo zistiť, že skupina Lazarus začala prevádzkovať ransomvér – čo je pre APT skupinu netypickou aktivitou – s využitím multiplatformového nástroja zvaného MATA na distribúciu malvéru. V minulosti bola skupina Lazarus spájaná s neslávne známym útokom WannaCry.
- Skupina CactusPete, čo je čínsky hovoriaca skupina kyberzločincov, teraz bežne používa ShadowPad – komplexnú modulárnu útočnú platformu, ktorá obsahuje pluginy a moduly pre rôzne funkcie. ShadowPad bol predtým nasadený pri viacerých veľkých kybernetických útokoch, pričom v zaznamenaných prípadoch boli využité iné podskupiny pluginov.
- APT hrozba MuddyWater bola objavená v roku 2017 a odvtedy je veľmi aktívnou na Blízkom východe. V roku 2019 sa spoločnosti Kaspersky podarilo odhaliť jej aktivity proti telekomunikačným spoločnostiam a vládnym organizáciám v tejto oblasti. Nedávno sa spoločnosti Kaspersky podarilo zistiť, že MuddyWater využíva nový súbor nástrojov C++ v rámci novej vlny útokov, pri ktorej útočník využil open-source program s názvom Secure Socket Funneling na hlbší prienik do siete.
- APT hrozba HoneyMyte vykonala útok typu watering hole (na infekciu počítača sa zneužíjú dôveryhodné webové stránky) na webovú stránku vlády Juhovýchodnej Ázie. Zdá sa, že tento útok, ktorý bol nastražený v marci, využíval na infikovanie svojich cieľov techniku whitelistingu a sociálneho inžinierstva. Finálnym krokom útoku bol jednoduchý ZIP súbor obsahujúci zložku „readme“ (čiže „prečítaj si ma“), ktorým si obeť stiahne tzv. Cobalt Strike.
- Skupina OceanLotus, ktorá stojí za pokročilou mobilnou kampaňou PhantomLance, začala využívať nové varianty svojho viacstupňového sťahovacieho programu od druhej polovice roka 2019. Tieto nové varianty využívajú špecifické informácie o vybranom cieli (používateľské meno, hosťujúce meno a pod.), ktoré získali vopred, aby zabezpečili, že vo finálnom kroku bude ich škodlivý program nasadený na tú správnu obeť. Skupina pokračuje v nasadzovaní zadných vrátok, rovnako ako aj Cobalt Strike Beacon, pričom ich konfiguruje pomocou aktualizovanej infraštruktúry.
„Prostredie hrozieb nemusí byť vždy plné „prevratných“ udalostí, no aktivity kyberzločincov sa za niekoľko posledných mesiacov určite nezastavili. Vidíme, že kyberútočníci naďalej investujú do vylepšení svojich nástrojov, diverzifikujú oblasti svojich útokov a dokonca sa presúvajú k novým typom cieľov. Napríklad, používanie mobilných škodlivých súborov už nie je novinkou. Ďalším trendom, ktorý pozorujeme, je posun k finančnému zisku u niektorých APT skupín, ako napríklad BlueNoroff alebo Lazarus. Avšak dôležitým motívom APT skupín stále zostávajú geopolitické ciele,“ upozorňuje Miroslav Kořen, generálny riaditeľ spoločnosti Kaspersky pre východnú Európu. „Vývoj, ktorého sme svedkami, len zdôrazňuje, aké dôležité je investovanie do prehľadu a aktuálnych informácií o kybernetických hrozbách. Kyberzločinci sa totiž nezastavia pri tom, čo už dosiahli, ale neustále vyvíjajú nové taktiky, techniky a postupy útokov – a tak by mali rozmýšľať aj tí, ktorí chcú pred nimi ochrániť seba a svoje organizácie,“ dodáva.
Správa o trendoch APT útokov za druhý štvrťrok 2020 sumarizuje zistenia spoločnosti Kaspersky na základe údajov od používateľov správ ohľadom hrozieb, ktoré zahŕňajú aj dáta z Indikátorov kompromitovania (IoC) a pravidlá YARA, ktoré pomáhajú pri forenznej a malvérovej analýze. Pre viac informácií kontaktujte intelreports@kaspersky.com.
Na to, aby ste sa nestali obeťou cieleného útoku od či už od známej alebo neznámej skupiny kyberzločincov, odborníci spoločnosti Kaspersky odporúčajú implementovať nasledovné opatrenia:
- Portál Kaspersky Threat Intelligence sústreďuje na jednom mieste všetky informácie o kybernetických hrozbách, ktoré spoločnosť Kaspersky nadobudla za vyše 20 rokov svojej pôsobnosti. Bezplatný prístup k vybraným funkciám, ktoré umožňujú používateľom kontrolovať súbory, linky a IP adresy, je k dispozícii na tomto linku.
- Na detekciu na úrovni koncových bodov, prešetrenie a včasnú nápravu škôd implementujte EDR riešenia, ako napríklad Kaspersky Endpoint Detection and Response.
- Popri nevyhnutnej ochrane koncových bodov implementujte korporátne bezpečnostné riešenie, ktoré dokáže v ranom štádiu detegovať pokročilé hrozby na úrovni siete, napríklad platformu Kaspersky Anti Targeted Attack Platform.
- Keďže veľa cielených útokov začína phishingom alebo inými technikami sociálneho inžinierstva, zaveďte školenia zamerané na zvyšovanie povedomia o bezpečnosti a praktické zručnosti – napríklad prostredníctvom platformy Kaspersky Automated Security Awareness Platform.
Celá správa týkajúca sa APT trendov v Q2 2020 je k dispozícii na stránke Securelist.com.