Operacja GhostEmperor: zaawansowane cyberataki na chińskojęzyczne cele przy użyciu nieznanego rootkita
Zaawansowane cybergangi nieustannie szukają nowych, bardziej wyrafinowanych sposobów przeprowadzania ataków. Dlatego badacze z firmy Kaspersky monitorują ich działania mające na celu odświeżanie i uaktualnianie szkodliwych zestawów narzędzi. W najnowszym raporcie poświęconym ewolucji ataków APT badacze z firmy Kaspersky ujawniają m.in. szczegóły unikatowej, długotrwałej operacji GhostEmperor, w której wykorzystano luki w zabezpieczeniach Microsoft Exchange w celu atakowania dużych podmiotów. W operacji użyto zaawansowanych narzędzi i nie wykazywała ona podobieństwa do działania żadnego znanego ugrupowania cyberprzestępczego.
GhostEmperor to chińskojęzyczne ugrupowanie przestępcze wykryte przez badaczy z firmy Kaspersky, które skupia się głównie na celach zlokalizowanych w Azji Południowowschodniej, łącznie z kilkoma podmiotami rządowymi oraz firmami telekomunikacyjnymi.
Ugrupowanie to wyróżnia się ze względu na wykorzystywanie nieznanego wcześniej rootkita trybu jądra systemu Windows. Rootkity to narzędzia zapewniające zdalny dostęp do atakowanych serwerów charakteryzujące się możliwościami w zakresie unikania wykrycia. W celu obejścia mechanizmu kontroli certyfikatów cyfrowych systemu Windows szkodnik GhostEmperor stosuje komponent projektu open-source o nazwie “Cheat Engine”. Ten zaawansowany zestaw narzędzi jest unikatowy i badacze z firmy Kaspersky nie widzą żadnego podobieństwa między nim a znanymi ugrupowaniami cyberprzestępczymi. Przypuszcza się, że był on stosowany co najmniej od lipca 2020 r.
Wraz z ewolucją technik wykrywania i ochrony ewoluują również ugrupowania APT, które na bieżąco odświeżają i aktualizują swoje zestawy narzędzi. GhostEmperor jest dobrym przykładem tego, w jaki sposób cyberprzestępcy szukają nowych technik ataków oraz nowych luk w zabezpieczeniach, które mogą wykorzystać. Stosując nieznanego wcześniej, wyrafinowanego rootkita, cyberprzestępcy dołączyli nowe problemy do istniejącego już trendu ataków na serwery Microsoft Exchange – powiedział David Emm, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.
W drugim kwartale 2021 r., oprócz wzrostu liczby ataków na serwery Microsoft Exchange, eksperci z firmy Kaspersky zidentyfikowali również następujące trendy w krajobrazie zagrożeń APT:
- Wzrosła liczba ugrupowań APT, które w celu uzyskania dostępu do atakowanych sieci wykorzystują exploity, czyli narzędzia wykorzystujące luki w zabezpieczeniach (także dnia zerowego, dla których nie istnieją jeszcze poprawki bezpieczeństwa) do wykonywania szkodliwych działań.
- Ugrupowania APT wciąż inwestują w odświeżanie swoich zestawów narzędzi: nie tylko włączają do nich nowe platformy, ale również wykorzystują dodatkowe języki, jak w przypadku szkodliwego oprogramowania stworzonego przez cybergang WildPressure w języku Python dla systemu macOS.
- Oprócz głośnych ataków na łańcuch dostaw eksperci z firmy Kaspersky zaobserwowali równie skuteczne, mniej zaawansowane ataki, które wskazują na to, że niepozorne kampanie nadal stanowią znaczące zagrożenie dla bezpieczeństwa.
Więcej informacji na temat operacji GhostEmperor oraz trendów w zaawansowanych atakach APT w drugim kwartale 2021 r. znajduje się na stronie https://r.kaspersky.pl/6kVRT. Raport stanowi podsumowanie zestawień analizy zagrożeń dostępnych wyłącznie dla subskrybentów firmy Kaspersky i zawierających m.in. wskaźniki infekcji oraz reguły YARA pomocne w przeprowadzaniu śledztw cyfrowych oraz wyszukiwaniu szkodliwego oprogramowania.
Porady bezpieczeństwa
Badacze z firmy Kaspersky zalecają wdrożenie następujących środków pozwalających zabezpieczyć swoją firmę przed atakiem ukierunkowanym przeprowadzonym przez znane lub nieznane ugrupowanie cyberprzestępcze:
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa (SOC) dostęp do najnowszych danych analizy zagrożeń. Kaspersky Threat Intelligence Portal oferuje dostęp do analizy zagrożeń obejmującej dane dotyczące cyberataków oraz szczegółowe informacje zebrane przez firmę Kaspersky na przestrzeni ponad 20 lat. Część funkcjonalności usługi, łącznie z analizą podejrzanych plików, adresów URL oraz adresów IP, jest dostępna bezpłatnie.
- Zadbaj o podniesienie kwalifikacji swojego zespołu ds. cyberbezpieczeństwa, tak aby mógł poradzić sobie z najnowszymi zagrożeniami ukierunkowanymi. Możesz skorzystać w tym celu z profesjonalnego szkolenia opracowanego przez ekspertów z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.
- W celu zapewnienia wykrywania incydentów na poziomie punktów końcowych, badania ich oraz łagodzenia ich skutków wdróż rozwiązanie EDR takie jak Kaspersky Endpoint Detection and Response.
- Oprócz stosowania podstawowej ochrony punktów końcowych wdróż rozwiązanie bezpieczeństwa klasy korporacyjnej, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
- Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innych metod socjotechniki, wprowadź szkolenie podnoszące świadomość cyberbezpieczeństwa i naucz swój zespół praktycznych umiejętności, wykorzystując do tego np. usługę Kaspersky Automated Security Awareness Platform.