Aktywność dotycząca zaawansowanych długotrwałych zagrożeń (APT) w trzecim kwartale 2019 r. wskazywała na wzrost liczby nowych i wcześniej nieznanych zestawów szkodliwych narzędzi. To pokazuje trwałą tendencję wśród cyberprzestępców, którzy w celu uniknięcia wykrycia wypływają na szersze wody. Te i inne trendy dotyczące zagrożeń APT na świecie zostały przedstawione w kwartalnej analizie zagrożeń opracowanej przez firmę Kaspersky.
W trzecim kwartale 2019 r. badacze z firmy Kaspersky zaobserwowali na całym świecie tendencję do dywersyfikacji zestawów narzędzi APT. Ugrupowanie Turla (znane również jako Venomous Bear, Uroburos oraz Waterbug) dokonało znaczących zmian w swoim arsenale. Badając szkodliwą aktywność w Azji Środkowej, firma Kaspersky zidentyfikowała nowego backdoora (szkodliwy program dający zdalny dostęp do systemu ofiary), którego autorstwo z wysokim stopniem prawdopodobieństwa przypisano temu właśnie ugrupowaniu. Szkodnik, któremu nadano nazwę Tunnus, potrafi wykonywać polecenia lub działania na plikach w zainfekowanym systemie, a także wysyłać wyniki do cyberprzestępców. Jak dotąd infrastruktura została stworzona przy pomocy zainfekowanych stron zawierających podatne na ataki instalacje platformy WordPress. Z danych telemetrycznych firmy Kaspersky wynika, że aktywność szkodnika Tunnus została zapoczątkowana w marcu i nadal jest kontynuowana.
Ugrupowanie Turla „opakowało” swoje szkodliwe oprogramowanie KopiLuwak w nowego droppera o nazwie Topinambour. Plik ten jest wykorzystywany przez cybergang do rozprzestrzeniania szkodliwych modułów za pośrednictwem zainfekowanych pakietów instalacyjnych legalnych programów, takich jak narzędzia VPN. Niektóre z wprowadzonych zmian mają pomóc ugrupowaniu Turla uniknąć wykrycia. Dwa odpowiedniki KopiLuwaka – trojany RocketMan oraz MiamiBeach – są wykorzystywane do cyberszpiegostwa. Niewykluczone, że Turla stosuje te wersje, gdy jego cele są chronione przy pomocy oprogramowania bezpieczeństwa, które jest zdolne do wykrycia KopiLuwaka. Wszystkie trzy implanty potrafią zbierać informacje dotyczące systemu oraz kart sieciowych, kraść pliki, jak również pobierać i uruchamiać dodatkowe szkodliwe oprogramowanie.
Ugrupowanie HoneyMyte (znane również jako Temp.Hex oraz Mustang Panda), które jest aktywne od kilku lat, stosowało dotychczas rozmaite techniki w celu przeprowadzania swoich ataków, koncentrując się na różnych profilach celów. Obejmowały one podmioty rządowe w Birmie, Mongolii, Etiopii, Wietnamie oraz Bangladeszu. Podczas swoich działań gang wykorzystywał bardzo zróżnicowane narzędzia. Ataki na organizacje rządowe związane z gospodarką zasobami naturalnymi w Birmie oraz główną organizację na kontynencie afrykańskim wskazują, że jednym z głównych motywów ugrupowania HoneyMyte jest gromadzenie informacji geopolitycznych i ekonomicznych.
– Tak, jak przewidywaliśmy w zeszłym roku, cyberprzestępcy, chcąc uniknąć wykrycia, odświeżają swoje zestawy narzędzi i wypływają na szersze wody. W badanym kwartale zostało to wyraźnie potwierdzone przez aktywność wielu ugrupowań APT oraz ich kampanie na całym świecie. Stanowi to pewne wyzwanie dla badaczy – gdy zostanie zidentyfikowana nowa kampania, nie od razu wiadomo, czy wykorzystane narzędzia są wynikiem udoskonalenia warsztatu przez działające już wcześniej ugrupowanie czy też całkowicie nowy gracz wykorzystał narzędzia stworzone przez istniejącą grupę APT. To pokazuje, jak ważne jest badanie krajobrazu zagrożeń. Wiedza to potęga. W tym przypadku pozwala przewidzieć, skąd może pochodzić zagrożenie – powiedział Vicente Diaz, badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
Raport dotyczący trendów APT w trzecim kwartale stanowi podsumowanie ustaleń przedstawionych w dostępnych wyłącznie dla subskrybentów raportach firmy Kaspersky opracowanych na podstawie analizy zagrożeń, które zawierają również wskaźniki infekcji (IoC) oraz reguły YARA mogące pomoc w informatyce śledczej i wyszukiwaniu szkodliwego oprogramowania. Dalsze informacje można uzyskać, kontaktując się pod adresem: intelreports@kaspersky.com.
Porady bezpieczeństwa
Badacze z firmy Kaspersky zalecają następujące działania pozwalające uchronić się przed atakiem ukierunkowanym zarówno znanego, jak i nieznanego cyberugrupowania:
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń, aby mógł być na bieżąco z nowymi i wyłaniającymi się narzędziami, technikami oraz taktykami stosowanymi przez cyberprzestępców.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
- Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie