Badacze z firmy Kaspersky identyfikują nową kampanię ukierunkowaną wymierzoną w organizacje finansowe i wojskowe
Przy pomocy narzędzia Kaspersky Threat Attribution Engine badacze z firmy Kaspersky zdołali połączyć ponad 300 próbek szkodliwego programu o nazwie Bisonal z kampanią przeprowadzoną przez CactusPete – zaawansowany cyberszpiegowski gang działający przynajmniej od 2012 r. Najnowsza kampania koncentrowała się na celach z branży wojskowej i finansowej w Europie Wschodniej, co pokazuje szybki rozwój tego ugrupowania.
CactusPete, znany również jako Karma Panda, to ugrupowanie cyberszpiegowskie aktywne od co najmniej 2012 r. Jego członkowie uaktualnili swoje szkodliwe narzędzia w celu atakowania przedstawicieli sektora wojskowego i finansowego w Europie Wschodniej – najprawdopodobniej w celu uzyskania dostępu do informacji poufnych. Ponadto tempo tworzenia nowych próbek szkodliwego oprogramowania sugeruje, że grupa ta szybko się rozwija. Dlatego organizacje z wymienionych branż powinny zachować czujność.
Najnowsza fala aktywności omawianej grupy została po raz pierwszy zauważona przez badaczy z firmy Kaspersky w lutym 2020 r., gdy wykryli uaktualnioną wersję szkodliwego programu Bisonal stosowanego przez ten cybergang. Przy pomocy Kaspersky Threat Attribution Engine – narzędzia służącego do analizowania szkodliwego kodu pod względem podobieństw do narzędzi wykorzystywanych przez znane ugrupowania cyberprzestępcze w celu ustalenia sprawcy ataku – połączyli badaną próbkę z ponad 300 innymi. Wszystkie 300 próbek pojawiło się w okresie od marca 2019 r. do kwietnia 2020 r. (około 20 próbek miesięcznie), co pokazuje, jak szybko rozwija się cybergang CactusPete.
Funkcjonalność szkodliwego narzędzia Bisonal sugeruje, że ugrupowanie poluje na wysoce wrażliwe informacje. Po tym, jak zostanie zainstalowane na urządzeniu ofiary, umożliwia cyberprzestępcom potajemne uruchomienie różnych programów, przerwanie dowolnych procesów, przekazanie/pobranie/skasowanie plików, jak również pobranie listy dostępnych dysków. Ponadto, wnikając coraz głębiej do zainfekowanego systemu, cyberprzestępcy stosują keyloggery w celu przechwytywania danych uwierzytelniających oraz pobierania szkodliwego oprogramowania umożliwiającego zwiększenie uprawnień w celu stopniowego przejęcia coraz większej kontroli nad systemem.
Nie wiadomo, w jaki sposób Bisonal zostaje pierwotnie pobrany przez ofiarę. W przeszłości CactusPete wykorzystywał głównie spersonalizowane wiadomości phishingowe ze szkodliwymi załącznikami. Infekcja urządzenia następowała wraz z uruchomieniem załącznika.
CactusPete stanowi dość interesujące ugrupowanie, ponieważ w rzeczywistości nie jest ono szczególnie zaawansowane – łącznie ze szkodliwym narzędziem Bisonal. Jego sukces nie bierze się z wyrafinowanej technologii czy złożonych taktyk dystrybucji i ukrywania się, a raczej ze skutecznego wykorzystania socjotechniki. Cyberprzestępcom udaje się zainfekować cele wysokiego szczebla, ponieważ ich ofiary klikają odnośniki w wiadomościach phishingowych i otwierają szkodliwe załączniki. To doskonały przykład pokazujący, dlaczego phishing nadal stanowi tak skuteczną metodę przeprowadzania cyberataków – i dlaczego firmy powinny organizować dla swoich pracowników szkolenia, podczas których nauczą się oni rozpoznawać takie wiadomości, oraz być na bieżąco z najnowszą analizą zagrożeń, aby móc zidentyfikować zaawansowane cyberugrupowanie – powiedział Konstantin Żykow, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
Więcej informacji na temat najnowszej aktywności ugrupowania CactusPete znajduje się na stronie https://r.kaspersky.pl/6UYHY.