Atacatorii cibernetici devin mai creativi, folosind tehnici noi, alaturi de cele clasice
Activitatea grupurilor APT (advanced persistent threat) din al treilea trimestru al anului 2020 a indicat o tendinta interesanta: in timp ce multi atacatori cibernetici avanseaza si continua sa isi diversifice seturile de instrumente, recurgand uneori la unele extrem de bine personalizate si persistente, altii isi ating obiectivele prin utilizarea unor metode de atac bine cunoscute, testate in timp. Aceasta si alte tendinte APT din diferite parti ale lumii sunt prezentate in cel mai recent raport trimestrial de informatii despre amenintarile cibernetice, realizat de Kaspersky.
In al treilea trimestru al anului 2020, cercetatorii Kaspersky au observat o divizare a abordarii generale folosite de atacatori – multiple evolutii in tacticile, tehnicile si procedurile (TTP) grupurilor APT din intreaga lume au fost analizate alaturi de campanii eficiente care au folosit vectori si instrumente de infectare destul de banale.
Una dintre cele mai relevante descoperiri ale trimestrului a fost o campanie desfasurata de un actor necunoscut, care a decis sa distruga sistemul de securitate al uneia dintre victime, folosind un bootkit personalizat pentru UEFI – o componenta hardware esentiala a oricarui dispozitiv computerizat modern. Acest vector a facut parte dintr-un plan in mai multe etape, denumit MosaicRegressor. Raspandirea UEFI a facut ca malware-ul plantat pe dispozitiv sa fie extrem de persistent si extrem de greu de eliminat. In plus, informatia descarcata de malware pe dispozitivul fiecarei victime putea fi diferita – aceasta abordare flexibila i-a permis actorului sa se ascunda si mai multa vreme.
Alti infractori cibernetici folosesc steganografia. O noua metoda care foloseste binarul Windows Defender semnat Authenticode, un program aprobat, parte integranta pentru solutia de securitate Windows Defender, a fost detectata intr-un atac asupra unei companii de telecomunicatii din Europa. O campanie in curs atribuita lui Ke3chang a folosit o noua versiune a backdoor-ului Okrum. Aceasta versiune actualizata a Okrum foloseste un binar Windows Defender semnat Authenticode prin utilizarea unei tehnici unice de incarcare laterala. Atacatorii au folosit steganografia pentru a ascunde informatia principala in executabilul Defender, pastrand in acelasi timp semnatura digitala valida, si reducand astfel sansele de detectare.
Multi alti atacatori cibernetici continua, de asemenea, sa isi actualizeze seturile de instrumente pentru a le face mai flexibile si mai greu de detectat. Diverse planuri organizate in mai multe etape, precum cel dezvoltat de grupul MuddyWater APT continua sa apara. Aceasta tendinta este valabila si pentru alte programe malware – de exemplu, Dtrack RAT (instrument de acces la distanta), care a fost actualizat cu o noua caracteristica care permite atacatorului sa foloseasca mai multe tipuri de informatie utila.
Cu toate acestea, unii atacatori inca folosesc cu succes instrumente cu tehnologie rudimentara. Un exemplu este un grup de mercenari numit DeathStalker de catre cercetatorii Kaspersky. Acest APT se concentreaza in principal pe firme de avocatura si companii care activeaza in sectorul financiar, colectand informatii importante de la victime. Folosind tehnici care au fost in mare parte aceleasi din 2018, concentrarea pe evitarea detectarii a permis DeathStalker sa continue sa efectueze o serie de atacuri de succes.
„In timp ce unii atacatori cibernetici raman consecventi in timp si pur si simplu cauta sa foloseasca subiecte interesante precum COVID-19 pentru a atrage victimele sa descarce atasamente rau intentionate, alte grupuri se reinventeaza si isi perfectioneaza seturile de instrumente”, comenteaza Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team, Kaspersky. „Diversificarea platformelor atacate, concentrarea asupra unor noi lanturi de compromitere a securitatii si utilizarea serviciilor legitime ca parte a infrastructurii lor de atac, este ceva la care am asistat in ultimul trimestru. In general, pentru specialistii in securitate cibernetica acest lucru inseamna ca multe companii care se concentreaza pe securitatea datelor trebuie sa investeasca resurse in detectarea de activitati periculoase in medii noi, posibil legitime, care au fost examinate mai putin in trecut. Aici facem referire la programe malware scrise in limbaje de programare mai putin cunoscute, sau transmise prin servicii cloud legitime. Urmarirea activitatilor atacatorilor si a TTP-urilor ne permite sa detectam, pe masura ce se dezvolta, noile tehnici si instrumente si astfel sa ne pregatim sa reactionam la noi atacuri in timp util.”
Un rezumat al tendintelor APT din ultimul trimestru prezinta concluziile rapoartelor de informatii despre amenintari, care pot fi accesate exclusiv de abonatii Kaspersky, precum si alte surse care acopera evolutiile majore pe care ar trebui sa le cunoasca sectorul corporativ. Rapoartele de informatii despre amenintari ale Kaspersky includ, de asemenea, date cu indicatori de compromitere (IoC), precum si reguli Yara si Suricata, pentru a ajuta la vanatoarea de malware. Pentru mai multe informatii, va rugam sa contactati: intelreports@kaspersky.com
Pentru a va proteja impotriva unui atac directionat din partea unui atacator cibernetic cunoscut sau necunoscut, cercetatorii Kaspersky recomanda implementarea urmatoarelor masuri:
- Oferiti echipei dumneavoastra SOC acces la cele mai recente informatii privind amenintarile asupra securitatii datelor (TI). Kaspersky Threat Intelligence Portal este un punct unic de acces pentru TI-ul companiei, oferind date in timp real despre un atac cibernetic si informatii colectate de Kaspersky de mai bine de 20 de ani. Accesul gratuit la functiile sale care permit utilizatorilor sa verifice fisiere, adrese URL si adrese IP este disponibil aici.
- Pentru detectarea la nivel endpoint, investigarea si remedierea la timp a incidentelor, implementati solutii EDR, cum ar fi Kaspersky Endpoint Detection and Response.
- Pe langa adoptarea protectiei esentiale la nivel endpoint, implementati o solutie de securitate pentru intreaga companie, care sa detecteze amenintarile avansate la nivel de retea intr-un stadiu incipient, cum ar fi Kaspersky Anti Targeted Attack Platform.
Cititi raportul complet despre tendintele APT din trimestrul 3 pe Securelist.com.
Despre Kaspersky
Kaspersky este o companie globala de securitate cibernetica fondata in 1997. Informatiile vaste despre amenintarile cibernetice si experienta in securitate IT detinute de Kaspersky se materializeaza in mod constant in solutii de securitate si servicii inovatoare pentru a proteja companiile, infrastructura critica, autoritatile guvernamentale si utilizatorii individuali din toata lumea. Portofoliul vast al companiei include protectie endpoint de top si mai multe solutii specializate de securitate si servicii, pentru a combate amenintarile digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky, precum si 250.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.com.