W listopadzie 2019 r. technologie firmy Kaspersky wykryły nowe szkodliwe oprogramowanie atakujące przede wszystkim placówki dyplomatyczne w Europie.
Związane z nim narzędzie pobierające pliki cyberprzestępców było rozprzestrzeniane poprzez fałszywy wniosek o wizę. Dalsza analiza wykazała, że nowe oprogramowanie szpiegowskie wykorzystuje tę samą bazę kodu co niesławne narzędzie zdalnej administracji COMPFun.
Oprogramowanie spyware rozprzestrzenia się między urządzeniami ofiar w celu gromadzenia danych i przesyłania ich cyberprzestępcom. Jest powszechnie wykorzystywane przez różne ugrupowania cyberprzestępcze, a zagrożenie, jakie stwarza, odpowiada rodzajowi ofiar: niezależnie od tego, czy celem jest rząd, czy infrastruktura krytyczna, przechwycone informacje mogą posiadać ogromną wartość dla osób stojących za szkodnikiem i spowodować wiele zmian w atakowanym środowisku.
Wykryte szkodliwe oprogramowanie wykazuje wyraźne podobieństwa do kodu szkodnika COMPFun, o którym po raz pierwszy usłyszeliśmy w 2014 r. Już w 2019 r. pojawił się jego następca — Reductor. Funkcje nowego trojana obejmują możliwość ustalenia geolokalizacji celu, gromadzenie danych dotyczących maszyn oraz sieci, rejestrowanie znaków wprowadzanych z klawiatury oraz wykonywanie zrzutów ekranu.
Według ekspertów z firmy Kaspersky jest to w pełni funkcjonalny trojan zdolny do rozprzestrzeniania się na urządzeniach przenośnych. Związane z nim narzędzie pobierające szkodliwe moduły, które jest pobierane ze współdzielonej sieci lokalnej, posiada nazwę pliku związaną z procesem składania wniosku o wizę odpowiadającym atakowanym placówkom dyplomatycznym. Właściwy wniosek jest zaszyfrowany i znajduje się wewnątrz modułu wraz ze szkodliwym oprogramowaniem w wersji 32- i 64-bitowej wykorzystywanym w kolejnym etapie.
– Osoby stojące za szkodnikiem wciąż skupiają swoją uwagę na placówkach dyplomatycznych, a ich wybór wniosku o wizę – przechowywanego w katalogu współdzielonym w sieci lokalnej – jako pierwotnego wektora infekcji okazał się skuteczny. Połączenie zindywidualizowanego podejścia do atakowania celów z umiejętnością generowania i realizowania pomysłów świadczy o tym, że osoby odpowiedzialne za COMPFun to silny zespół ofensywny – powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają organizacjom następujące działania pozwalające zabezpieczyć się przed zagrożeniami, takimi jak COMPfun:
- Przeprowadzaj regularne audyty bezpieczeństwa swojej infrastruktury IT.
- Stosuj sprawdzone rozwiązanie zabezpieczające punkty końcowe, takie jak np. Kaspersky Endpoint Security for Business zapewniające ochronę przed zagrożeniami plikowymi. Pamiętaj, że aby rozwiązanie mogło chronić przed najnowszymi szkodliwymi programami, musi być na bieżąco aktualizowane.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązanie EDR, takie jak Kaspersky Endpoint Detection and Response.
- Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
- Zadbaj o to, aby Twój zespół z centrum operacji bezpieczeństwa miał dostęp do najnowszej analizy zagrożeń, aby być na bieżąco z nowymi i pojawiającymi się narzędziami, technikami oraz taktykami stosowanymi przez cyberprzestępców.