Ataki APT w III kw. 2019 r., czyli dywersyfikacj narzędzi

Przeczytaj także: Ataki APT w II kwartale 2019 r., czyli dezinformacja na Bliskim Wschodzie

Jak wynika z najświeższych danych, w trzecim kwartale bieżącego roku zdołali zaobserwować wyraźnie zaznaczającą się dywersyfikację zestawów narzędzi stosowanych w atakach APT. Zakrojonych na szeroką skalę zmian w swoim arsenale dokonał m.in. słynny już gang Turla (znany również jako Venomous Bear, Uroburos oraz Waterbug). Podczas analiz złośliwej aktywności na terytorium Azji Środkowej, badaczom Kaspersky udało się wykryć nowego backdoora (szkodliwe oprogramowanie umożliwiające zdalny dostęp do systemu ofiary), za którym najprawdopodobniej stała właśnie Turla. Szkodnik, nazwany Tunnus, jest w stanie wykonywać polecenia lub działania na plikach ofiary, a także raportować wyniki swoich działań cyberprzestępcom. Dotychczas infrastrukturę opracowywano na bazie zainfekowanych stron zawierających podatne na ataki instalacje platformy Wordpress. Dane telemetryczne Kaspersky wskazują, że Tunnus rozpoczął swą aktywność w marcu i nadal ją kontynuuje.

Ugrupowanie Turla „opakowało” swoje szkodliwe oprogramowanie KopiLuwak w nowego droppera o nazwie Topinambour. Plik ten jest wykorzystywany przez cybergang do rozprzestrzeniania szkodliwych modułów za pośrednictwem zainfekowanych pakietów instalacyjnych legalnych programów, takich jak narzędzia VPN. Niektóre z wprowadzonych zmian mają pomóc ugrupowaniu Turla uniknąć wykrycia. Dwa odpowiedniki KopiLuwaka – trojany RocketMan oraz MiamiBeach – są wykorzystywane do cyberszpiegostwa. Niewykluczone, że Turla stosuje te wersje, gdy jego cele są chronione przy pomocy oprogramowania bezpieczeństwa, które jest zdolne do wykrycia KopiLuwaka. Wszystkie trzy implanty potrafią zbierać informacje dotyczące systemu oraz kart sieciowych, kraść pliki, jak również pobierać i uruchamiać dodatkowe szkodliwe oprogramowanie.

Ugrupowanie HoneyMyte (znane również jako Temp.Hex oraz Mustang Panda), które jest aktywne od kilku lat, stosowało dotychczas rozmaite techniki w celu przeprowadzania swoich ataków, koncentrując się na różnych profilach celów. Obejmowały one podmioty rządowe w Birmie, Mongolii, Etiopii, Wietnamie oraz Bangladeszu. Podczas swoich działań gang wykorzystywał bardzo zróżnicowane narzędzia. Ataki na organizacje rządowe związane z gospodarką zasobami naturalnymi w Birmie oraz główną organizację na kontynencie afrykańskim wskazują, że jednym z głównych motywów ugrupowania HoneyMyte jest gromadzenie informacji geopolitycznych i ekonomicznych.

Tak, jak przewidywaliśmy w zeszłym roku, cyberprzestępcy, chcąc uniknąć wykrycia, odświeżają swoje zestawy narzędzi i wypływają na szersze wody. W badanym kwartale zostało to wyraźnie potwierdzone przez aktywność wielu ugrupowań APT oraz ich kampanie na całym świecie. Stanowi to pewne wyzwanie dla badaczy – gdy zostanie zidentyfikowana nowa kampania, nie od razu wiadomo, czy wykorzystane narzędzia są wynikiem udoskonalenia warsztatu przez działające już wcześniej ugrupowanie czy też całkowicie nowy gracz wykorzystał narzędzia stworzone przez istniejącą grupę APT. To pokazuje, jak ważne jest badanie krajobrazu zagrożeń. Wiedza to potęga. W tym przypadku pozwala przewidzieć, skąd może pochodzić zagrożenie – powiedział Vicente Diaz, badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Raport dotyczący trendów APT w trzecim kwartale stanowi podsumowanie ustaleń przedstawionych w dostępnych wyłącznie dla subskrybentów raportach firmy Kaspersky opracowanych na podstawie analizy zagrożeń, które zawierają również wskaźniki infekcji (IoC) oraz reguły YARA mogące pomoc w informatyce śledczej i wyszukiwaniu szkodliwego oprogramowania. Dalsze informacje można uzyskać, kontaktując się pod adresem: intelreports@kaspersky.com.

Porady bezpieczeństwa

Badacze z firmy Kaspersky zalecają następujące działania pozwalające uchronić się przed atakiem ukierunkowanym zarówno znanego, jak i nieznanego cyberugrupowania:

• Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń, aby mógł być na bieżąco z nowymi i wyłaniającymi się narzędziami, technikami oraz taktykami stosowanymi przez cyberprzestępców.
• W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.
• Oprócz niezbędnej ochrony punktów końcowych stosuj rozwiązanie zabezpieczające klasy enterprise, takie jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.