Badacze z firmy Kaspersky przeanalizowali ewolucję zaawansowanych cyberataków APT w II kwartale 2020 r. Zaobserwowano dalszy rozwój narzędzi cyberprzestępczych na różnych frontach – od atakowania nowych platform i aktywnego wykorzystywania luk w zabezpieczeniach po przechodzenie na całkowicie nowe rozwiązania. Ponadto pandemia wirusa powodującego COVID-19 jest aktywnie wykorzystywana jako przynęta w wielu kampaniach — tak dużych, jak i małych.
Podsumowanie trendów APT w ostatnim kwartale opiera się na prywatnym badaniu firmy Kaspersky obejmującym analizę zagrożeń, jak również na innych źródłach omawiających najważniejsze nowości, które według badaczy firmy powinny być znane podmiotom w sektorze korporacyjnym.
W II kwartale 2020 r. badacze z firmy Kaspersky zaobserwowali wiele nowości w zakresie taktyk, technik i procedur ugrupowań APT na całym świecie. Najistotniejsze zmiany zostały wprowadzone przez następujących graczy:
- Lazarus, który od lat stanowi jedno z najważniejszych profesjonalnych ugrupowań cyberprzestępczych, jeszcze bardziej zwiększył inwestycje w ataki mające na celu korzyści finansowe. Oprócz takich działań jak cyberszpiegostwo oraz cybersabotaż ugrupowanie to atakowało banki oraz inne organizacje finansowe na całym świecie. W badanym kwartale badacze z firmy Kaspersky odkryli również, że Lazarus zaczął wykorzystywać własne oprogramowanie ransomware – co jest dość nietypowe jak na grupę APT – stosując wieloplatformowy zestaw narzędzi o nazwie MATA w celu rozprzestrzeniania szkodnika. Wcześniej ugrupowanie Lazarus kojarzone było z głośnym atakiem WannaCry.
- Chińskojęzyczne ugrupowanie CactusPete obecnie nagminnie wykorzystuje ShadowPad – złożoną, modułową platformę do przeprowadzania ataków, która zawiera wtyczki i moduły oferujące szeroki wachlarz możliwości. Platforma ShadowPad została wcześniej wykorzystana w wielu znaczących cyberatakach.
- Ugrupowanie APT MuddyWater zostało wykryte w 2017 r. i od tego czasu aktywnie działa na Bliskim Wschodzie. W 2019 roku badacze z firmy Kaspersky informowali o aktywności tego cybergangu skierowanej przeciwko firmom telekomunikacyjnym oraz organizacjom rządowym na Bliskim Wschodzie. Firma Kaspersky odkryła niedawno, że ugrupowanie MuddyWater wykorzystywało nowy zestaw narzędzi wraz rozwiązaniami otwartego źródła w celu poruszania się w sieciach ofiar.
- Ugrupowanie APT HoneyMyte przeprowadziło w marcu atak metodą „przy wodopoju” na stronie internetowej rządu państwa z Azji Południowowschodniej. W celu zainfekowania ofiar prawdopodobnie wykorzystano socjotechnikę oraz szereg narzędzi dodatkowych. Ostateczną szkodliwą funkcję stanowiło archiwum ZIP zawierające plik „readme”, który po uruchomieniu instalował w systemie ofiary szkodliwy moduł Cobalt Strike.
- OceanLotus, ugrupowanie stojące za zaawansowaną kampanią mobilną PhantomLance, od drugiej połowy 2019 r. wykorzystuje nowe warianty swojego wieloelementowego modułu ładującego szkodliwe narzędzia. Nowe wersje wykorzystują zdobyte wcześniej specyficzne dla celu ataku informacje (nazwa użytkownika, nazwa serwera itd.), w wyniku czego ostateczny szkodliwy moduł do właściwej ofiary.
Krajobraz zagrożeń nie zawsze obfituje w przełomowe wydarzenia, jednak aktywność cyberprzestępcza z pewnością nie ustała w ostatnich kilku miesiącach. Ugrupowania cyberprzestępcze wciąż inwestują w udoskonalanie swoich zestawów narzędzi, dywersyfikują wektory ataków, a nawet przenoszą uwagę na nowe rodzaje celów. Przykładowo, wykorzystywanie implantów mobilnych nie stanowi już nowości. Kolejnym zaobserwowanym trendem jest polowanie na korzyści finansowe przez niektóre ugrupowania APT, takie jak BlueNoroff czy Lazarus. Geopolityka również pozostaje istotnym motywem dla wielu cyberganów – powiedział Vicente Diaz, badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz firmy Kaspersky. Wszystkie te zmiany podkreślają jedynie, jak istotne jest inwestowanie w analizę krajobrazu zagrożeń. Cyberprzestępcy nie poprzestają na dotychczasowych osiągnięciach, ale nieustannie rozwijają nowe taktyki, techniki i procedury.