Publicat: 18 Octombrie, 2019 - 13:51

Activitatea grupurilor APT (Advanced Persistent Threat), pe parcursul celui de-al treilea trimestru din 2019, a indicat o creștere a utilizării și a numărului de instrumente noi de atac. Acesta este un semn al unei tendințe constante privind eforturile atacatorilor pentru a evita să fie detectați. Principalele tendințe APT din întreaga lume sunt incluse în ultimul rezumat trimestrial al informațiilor Kaspersky despre amenințări.
Raportul tendințelor APT pe acest trimestru sintetizează cercetările Kaspersky private în domeniul informațiilor despre amenințări, dar se bazează și pe alte surse ce acoperă tendințele majore, de care cercetătorii cred că toată lumea ar trebui să fie conștientă.
În trimestrul al treilea din 2019, cercetătorii Kaspersky au observat o tendință de diversificare a seturilor de instrumente APT, în întreaga lume. Cele mai semnificative modificări au fost făcute de:
•    Turla (grupare cunoscută și ca Venomous Bear, Uroburos și Waterbug) a adus schimbări importante setului de instrumente utilizate. În timp ce investiga activități din Asia Centrală, Kaspersky a identificat un nou backdoor care i-a fost atribuit acestui grup APT. Programul malware, denumit „Tunnus” este un backdoor .NET, cu posibilitatea de a rula comenzi sau de a efectua acțiuni asupra fișierelor pe un sistem infectat și de a trimite rezultatele către serverele sale de comandă și control. Până în prezent, infrastructura a fost construită folosind site-uri compromise cu instalații Wordpress vulnerabile. Conform telemetriei companiei, activitatea Tunnus a început în martie și continuă.
•    Tot Turla și-a camuflat faimosul malware JavaScript KopiLuwak într-un nou dropper denumit Topinambour. Acesta este un fișier .NET pe care grupul îl folosește pentru a distribui JavaScript KopiLuwak prin pachete de instalare infectate pentru programe software legitime precum VPN-uri. Unele dintre modificări sunt menite să ajute Turla să evite detecția. Troienii .NET „RocketMan” și PowerShell „MiamiBeach” sunt utilizați pentru spionaj cibernetic. Este posibil ca un atacator să implementeze aceste versiuni atunci când țintele lor sunt protejate cu un software de securitate capabil să detecteze KopiLuwak. Toate cele trei implanturi pot să adune informații despre sistem și adaptoarele de rețea, să fure fișiere, să descarce și să lanseze programe malware suplimentare.

•    HoneyMyte (cunoscut și ca Temp.Hex și Mustang Panda), care este activ de câțiva ani, a adoptat diferite tehnici pentru a-și efectua atacurile în ultimii doi ani și s-a concentrat pe diverse profiluri de victime. Această campanie a vizat entități guvernamentale din Myanmar, Mongolia, Etiopia, Vietnam și Bangladesh. Atacurile s-au bazat pe un număr variat de instrumente. Pentru că vizau organizații guvernamentale legate de gestionarea resurselor naturale din Myanmar și o mare organizație din Africa, este posibil ca una dintre principalele motivații ale HoneyMyte să fie colectarea de informații geo-politice și economice.

•    În august, Dragos a publicat o perspectivă de ansamblu asupra atacurilor, denumită „Rezumatul amenințărilor din domeniul petrol și gaze”, care face referire la un presupus nou grup de atacatori, pe care îl numesc „Hexane”. Dragos susține că a identificat grupul în mai 2019, asociindu-l cu OilRig și CHRYSENE. Analiza Kaspersky dezvăluie unele asemănări cu OilRig bazate pe TTP-uri, ceea ce menționează și Dragos în cercetările sale.
„Așa cum am estimat anul trecut, căutând să evite detecția, grupurile își reîmprospătează seturile de atac și merg către ape mai adânci”, explică Vicente Diaz, security researcher, Global Research and Analysis Team, Kaspersky. „În trimestrul al treilea, am observat acest lucru în mod clar în evoluția mai multor autori și campanii APT de pe tot globul. Aceasta este o provocare pentru cercetători - atunci când este observată o nouă campanie, nu este întotdeauna clar imediat dacă instrumentele utilizate provin de la un grup consacrat care își înnoiește instrumentele, sau de la un actor complet nou, care folosește instrumentele dezvoltate de un grup APT existent. Totuși, un lucru e cert:  importanța investițiilor în informații despre peisajul amenințărilor. Cunoașterea înseamnă putere și nu puteți ști de unde e posibil să vină pericolul decât dacă vă informați în avans.” 
Raportul tendințelor APT pentru T3 rezumă concluziile rapoartelor de informații despre amenințări disponibile doar pentru abonații Kaspersky, care includ indicatorii de compromitere (COI) și reguli YARA pentru a ajuta investigația și vânătoarea de malware. 
Pentru a evita să cădeți victimă unui atac direcționat, din partea unui autor cunoscut sau necunoscut, cercetătorii Kaspersky recomandă punerea în aplicare a următoarelor măsuri:
• Oferiți echipei și centrului de operațiuni de securitate (SOC) acces la cele mai noi informații despre amenințări, pentru a fi la curent cu instrumentele, tehnicile și tacticile noi și emergente utilizate de grupurile APT și de infractorii cibernetici.
• Pentru detecția la nivel endpoint, investigarea și remedierea la timp a incidentelor, implementați soluții EDR (Endpoit Detection Response).
• Pe lângă adoptarea unei protecții endpoint esențiale, implementați o soluție de securitate corporate de calitate, care detectează amenințări avansate la nivelul rețelei, într-un stadiu incipient.

Puteți citi raportul integral APT pe T3 2019, pe Securelist.

Despre Kaspersky 
Kaspersky este o companie globală de securitate cibernetică, fondată în 1997. Informațiile vaste despre amenințările cibernetice și experiența în securitate IT deținute de Kaspersky se materializează în mod constant în soluții de securitate și servicii de ultimă generație pentru a proteja companiile, infrastructura critică, autoritățile guvernamentale și utilizatorii individuali din toată lumea. Portofoliul companiei include protecție endpoint de top și mai multe soluții specializate de securitate și servicii, pentru a combate amenințările digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejați de tehnologiile Kaspersky, precum și 270.000 de companii client, pe care le ajutăm să protejeze ce e mai important pentru ele. Pentru mai multe informații, vizitați www.kaspersky.ro.

Tag-uri Institutii: