Cyberataki APT w III kw. 2020 r. Atakujący (nie)przewidywalni

Przeczytaj także: Wojna w Ukrainie wzmaga cybearataki APT

Nowe narzędzia w cyberatakach APT...

Jak czytamy w najnowszym komunikacie Kaspersky, wydarzeniem III kwartału br., które w szczególności zasługuje na wspomnienie, była zrealizowana przez nieznanych sprawców kampania, w efekcie której doszło do zainfekowania ofiary za pomocą niestandardowego, szkodliwego narzędzia (bootkita) dla UEFI (Unified Extensible Firmware Interface).

Ten wektor infekcji wchodził w skład wieloetapowej platformy o nazwie MosaicRegressor. Dzięki zainfekowaniu UEFI zainstalowane na urządzeniu szkodliwe oprogramowanie było w stanie zagnieździć się w nim na bardzo długi czas. Co gorsza, okazywało się niezwykle trudne do usunięcia. Dodatkowo pozwalało to szkodliwemu oprogramowaniu pobierać na każde urządzenie ofiary inną szkodliwą funkcję – takie elastyczne odejście umożliwiło sprawcom ukrywać obecność szkodliwych modułów.

Cyberprzestępcy stosowali także stenografię. W ataku na europejską firmę telekomunikacyjną wykryto nową metodę wykorzystującą podpisany przy użyciu technologii Authenticode moduł aplikacji Windows Defender. Z kolei w aktywnej kampanii przypisywanej ugrupowaniu Ke3chang użyto nowej wersji backdoora Okrum, która wykorzystuje taki moduł poprzez zastosowanie unikatowej techniki ładowania pośredniego. Atakujący wykorzystali stenografię w celu ukrycia głównej szkodliwej funkcji pliku wykonywalnego Defendera, dbając jednocześnie o zachowanie ważności jego podpisu cyfrowego, by zmniejszyć ryzyko wykrycia.

Inne cybergangi również nieustannie modyfikują swoje zestawy narzędzi, zwiększając ich uniwersalność i zdolność do pozostawania poza radarem. Wciąż pojawiają się różne wieloetapowe platformy, jak na przykład ta stworzona przez cybergang MuddyWater. Tendencja ta dotyczy także innych szkodliwych programów, czego przykładem może być narzędzie zdalnego dostępu (RAT) Dtrack, które zostało uaktualnione o nową funkcję umożliwiającą wykonanie większej liczby rodzajów szkodliwych funkcji.

... i zupełnie stare techniki

Z drugiej strony, niektórzy cyberprzestępcy nadal skutecznie stosują łańcuchy infekcji o niskim stopniu zaawansowania technicznego. Przykładem może być ugrupowanie cybernajemników, któremu badacze z firmy Kaspersky nadali nazwę DeathStalker. Gang ten bierze na celownik głównie kancelarie prawne oraz firmy działające w sektorze finansowym, gromadząc wrażliwe i cenne informacje swoich ofiar. Skupiając się na unikaniu wykrycia, stosując techniki, które w większości pozostały niezmienione od 2018 r., DeathStalker zdołał przeprowadzić wiele udanych cyberataków.

Podczas gdy niektórzy cyberprzestępcy konsekwentnie trzymają się sprawdzonych metod, szukając jedynie nowych gorących tematów, jak np. COVID-19, które mogą wykorzystać, by skłonić ofiary do pobrania szkodliwych załączników, inne ugrupowania przeobrażają siebie i swoje narzędzia. Szerszy zakres atakowanych platform, ciągła praca nad nowymi łańcuchami infekcji oraz wykorzystywanie legalnych usług w ramach infrastruktury cyberataków to tendencje obserwowane w minionym kwartale. Dla specjalistów zajmujących się cyberbezpieczeństwem oznacza to jedno: konieczność angażowania zasobów w tropienie szkodliwej aktywności w nowych, potencjalnie legalnych, słabo zbadanych środowiskach. Mowa tu między innymi o szkodliwym oprogramowaniu napisanym w mniej znanych językach programowania, jak również rozprzestrzenianym za pośrednictwem legalnych usług chmury. Śledzenie aktywności, technik, taktyk i procedur cyberugrupowań pozwala nam obserwować, w jaki sposób adaptują one nowe techniki i narzędzia, a tym samym przygotować się do reagowania na nowe cyberataki – powiedział Ariel Jungheit, starszy badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT) w firmie Kaspersky.