Zaawansowane cyberataki w III kwartale 2020 r.: przestępcy kreatywnie wykorzystują nowe i stare techniki
Badacze z firmy Kaspersky przyjrzeli się ewolucji zaawansowanych cyberataków w trzecim kwartale 2020 r. Podczas gdy wiele cyberprzestępców rozwija się i rozszerza swój arsenał, stosując niekiedy niezwykle zindywidualizowane narzędzia, inni osiągają swoje cele z wykorzystaniem dobrze znanych i sprawdzonych metod ataków.
W III kwartale 2020 r. badacze z firmy Kaspersky zauważyli rozbieżność w ogólnym podejściu cyberprzestępców – z jednej strony zaawansowane ugrupowania APT na całym świecie rozwijały swoje taktyki, techniki oraz procedury, a z drugiej – miały miejsce skuteczne kampanie oparte na dość trywialnych wektorach infekcji i zestawach narzędzi.
Jednym z istotniejszych wydarzeń w analizowanym kwartale była kampania przeprowadzona przez nieznanych sprawców, którzy zainfekowali jedną z ofiar z wykorzystaniem niestandardowego szkodliwego narzędzia (bootkita) dla UEFI, czyli niezbędnego komponentu sprzętowego każdego współczesnego urządzenia komputerowego. Ten wektor infekcji wchodził w skład wieloetapowej platformy o nazwie MosaicRegressor. Dzięki zainfekowaniu UEFI zainstalowane na urządzeniu szkodliwe oprogramowanie mogło utrzymać się na nim wyjątkowo długo i było niezwykle trudne do usunięcia. Dodatkowo pozwalało to szkodliwemu oprogramowaniu pobierać na każde urządzenie ofiary inną szkodliwą funkcję – takie elastyczne odejście umożliwiło sprawcom ukrywać obecność szkodliwych modułów.
Cyberprzestępcy stosowali także stenografię. W ataku na europejską firmę telekomunikacyjną wykryto nową metodę wykorzystującą podpisany przy użyciu technologii Authenticode moduł aplikacji Windows Defender. Z kolei w aktywnej kampanii przypisywanej ugrupowaniu Ke3chang użyto nowej wersji backdoora Okrum, która wykorzystuje taki moduł poprzez zastosowanie unikatowej techniki ładowania pośredniego. Atakujący wykorzystali stenografię w celu ukrycia głównej szkodliwej funkcji pliku wykonywalnego Defendera, dbając jednocześnie o zachowanie ważności jego podpisu cyfrowego, by zmniejszyć ryzyko wykrycia.
Inne cybergangi również nieustannie modyfikują swoje zestawy narzędzi, zwiększając ich uniwersalność i zdolność do pozostawania poza radarem. Wciąż pojawiają się różne wieloetapowe platformy, jak na przykład ta stworzona przez cybergang MuddyWater. Tendencja ta dotyczy także innych szkodliwych programów, czego przykładem może być narzędzie zdalnego dostępu (RAT) Dtrack, które zostało uaktualnione o nową funkcję umożliwiającą wykonanie większej liczby rodzajów szkodliwych funkcji.
Z drugiej strony, niektórzy cyberprzestępcy nadal skutecznie stosują łańcuchy infekcji o niskim stopniu zaawansowania technicznego. Przykładem może być ugrupowanie cybernajemników, któremu badacze z firmy Kaspersky nadali nazwę DeathStalker. Gang ten bierze na celownik głównie kancelarie prawne oraz firmy działające w sektorze finansowym, gromadząc wrażliwe i cenne informacje swoich ofiar. Skupiając się na unikaniu wykrycia, stosując techniki, które w większości pozostały niezmienione od 2018 r., DeathStalker zdołał przeprowadzić wiele udanych ataków.
Podczas gdy niektórzy cyberprzestępcy konsekwentnie trzymają się sprawdzonych metod, szukając jedynie nowych gorących tematów, jak np. COVID-19, które mogą wykorzystać, by skłonić ofiary do pobrania szkodliwych załączników, inne ugrupowania przeobrażają siebie i swoje narzędzia. Szerszy zakres atakowanych platform, ciągła praca nad nowymi łańcuchami infekcji oraz wykorzystywanie legalnych usług w ramach infrastruktury ataków to tendencje obserwowane w minionym kwartale. Dla specjalistów zajmujących się cyberbezpieczeństwem oznacza to jedno: konieczność angażowania zasobów w tropienie szkodliwej aktywności w nowych, potencjalnie legalnych, słabo zbadanych środowiskach. Mowa tu między innymi o szkodliwym oprogramowaniu napisanym w mniej znanych językach programowania, jak również rozprzestrzenianym za pośrednictwem legalnych usług chmury. Śledzenie aktywności, technik, taktyk i procedur cyberugrupowań pozwala nam obserwować, w jaki sposób adaptują one nowe techniki i narzędzia, a tym samym przygotować się do reagowania na nowe ataki – powiedział Ariel Jungheit, starszy badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT) w firmie Kaspersky.
Zestawienie kwartalnych trendów w zakresie zagrożeń APT stanowi podsumowanie ustaleń prezentowanych w dostępnych wyłącznie dla subskrybentów firmy Kaspersky raportach obejmujących analizę zagrożeń, jak również w innych źródłach omawiających główne zagrożenia, których sektor korporacyjny powinien być świadomy. Raporty firmy Kaspersky na temat analizy zagrożeń zawierają ponadto dane dotyczące wskaźników infekcji (IoC), jak również reguły Yara oraz Suricata, które mogą być przydatne w kryminalistyce oraz wyszukiwaniu szkodliwego oprogramowania. Więcej informacji można uzyskać pod adresem intelreports@kaspersky.com.
Porady bezpieczeństwa Badacze z firmy Kaspersky zalecają następujące działania, które pozwalają uchronić się przed atakami ukierunkowanymi znanych i nieznanych cyberprzestępców:
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń. Kaspersky Threat Intelligence Portal to pojedynczy punkt dostępu do analizy zagrożeń dostarczający szczegółowe dane dotyczące cyberataków zgromadzone przez firmę Kaspersky na przestrzeni ponad 20 lat. Bezpłatny dostęp do wybranych funkcji portalu umożliwiających sprawdzenie plików, adresów URL oraz IP można uzyskać na stronie https://opentip.kaspersky.com.
- W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj niezawodne rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
- Oprócz stosowania niezbędnej ochrony punktów końcowych wdróż rozwiązanie bezpieczeństwa klasy korporacyjnej, które potrafi wykrywać zaawansowane zagrożenia na poziomie sieci już na wczesnym etapie, takie jak np. Kaspersky Anti Targeted Attack Platform.
Pełny raport poświęcony ewolucji zaawansowanych cyberzagrożeń w III kwartale 2020 r. jest dostępny na stronie https://r.kaspersky.pl/1KfVF.