Cyberataki APT w II kw. 2020 r., czyli wiele nowości

Przeczytaj także: Zaawansowana cyberprzestępczość. Prognozy na 2020 r.

Jak czytamy w najnowszym komunikacie firmy Kaspersky, II kwartał bieżącego roku przyniósł sporo nowości w zakresie przeprowadzanych cyberataków APT. Obserwacje badaczy dowiodły, że cyberprzestępcy sięgnęli po nowe taktyki, techniki i procedury. Poniżej lista ugrupowań, które wprowadziły najbardziej znaczące zmiany.

• Lazarus, który od lat stanowi jedno z najważniejszych profesjonalnych ugrupowań cyberprzestępczych, jeszcze bardziej zwiększył inwestycje w cyberataki mające na celu korzyści finansowe. Oprócz takich działań jak cyberszpiegostwo oraz cybersabotaż ugrupowanie to atakowało banki oraz inne organizacje finansowe na całym świecie. W badanym kwartale badacze z firmy Kaspersky odkryli również, że Lazarus zaczął wykorzystywać własne oprogramowanie ransomware – co jest dość nietypowe jak na grupę APT – stosując wieloplatformowy zestaw narzędzi o nazwie MATA w celu rozprzestrzeniania szkodnika. Wcześniej ugrupowanie Lazarus kojarzone było z głośnym cyberatakiem WannaCry.
• OceanLotus, ugrupowanie stojące za zaawansowaną kampanią mobilną PhantomLance, od drugiej połowy 2019 r. wykorzystuje nowe warianty swojego wieloelementowego modułu ładującego szkodliwe narzędzia. Nowe wersje wykorzystują zdobyte wcześniej specyficzne dla celu ataku informacje (nazwa użytkownika, nazwa serwera itd.), w wyniku czego ostateczny szkodliwy moduł do właściwej ofiary.
• Chińskojęzyczne ugrupowanie CactusPete obecnie nagminnie wykorzystuje ShadowPad – złożoną, modułową platformę do przeprowadzania ataków, która zawiera wtyczki i moduły oferujące szeroki wachlarz możliwości. Platforma ShadowPad została wcześniej wykorzystana w wielu znaczących cyberatakach.
• Ugrupowanie APT MuddyWater zostało wykryte w 2017 r. i od tego czasu aktywnie działa na Bliskim Wschodzie. W 2019 roku badacze z firmy Kaspersky informowali o aktywności tego cybergangu skierowanej przeciwko firmom telekomunikacyjnym oraz organizacjom rządowym na Bliskim Wschodzie. Firma Kaspersky odkryła niedawno, że ugrupowanie MuddyWater wykorzystywało nowy zestaw narzędzi wraz z rozwiązaniami otwartego źródła w celu poruszania się w sieciach ofiar.
• Ugrupowanie APT HoneyMyte przeprowadziło w marcu atak metodą „przy wodopoju” na stronie internetowej rządu państwa z Azji Południowowschodniej. W celu zainfekowania ofiar prawdopodobnie wykorzystano socjotechnikę oraz szereg narzędzi dodatkowych. Ostateczną szkodliwą funkcję stanowiło archiwum ZIP zawierające plik „readme”, który po uruchomieniu instalował w systemie ofiary szkodliwy moduł Cobalt Strike.

Krajobraz zagrożeń nie zawsze obfituje w przełomowe wydarzenia, jednak aktywność cyberprzestępcza z pewnością nie ustała w ostatnich kilku miesiącach. Ugrupowania cyberprzestępcze wciąż inwestują w udoskonalanie swoich zestawów narzędzi, dywersyfikują wektory cyberataków, a nawet przenoszą uwagę na nowe rodzaje celów. Przykładowo, wykorzystywanie implantów mobilnych nie stanowi już nowości. Kolejnym zaobserwowanym trendem jest polowanie na korzyści finansowe przez niektóre ugrupowania APT, takie jak BlueNoroff czy Lazarus. Geopolityka również pozostaje istotnym motywem dla wielu cyberganów – powiedział Vicente Diaz, badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz firmy Kaspersky.

Wszystkie te zmiany podkreślają jedynie, jak istotne jest inwestowanie w analizę krajobrazu zagrożeń. Cyberprzestępcy nie poprzestają na dotychczasowych osiągnięciach, ale nieustannie rozwijają nowe taktyki, techniki i procedury.

Podsumowanie trendów APT w ostatnim kwartale opiera się na prywatnym badaniu firmy Kaspersky obejmującym analizę zagrożeń, jak również na innych źródłach omawiających najważniejsze nowości, które według badaczy firmy powinny być znane podmiotom w sektorze korporacyjnym.