Дослідники Kaspersky виявили, що китайськомовний актор APT LuoYu розповсюджує зловмисне програмне забезпечення WinDealer за допомогою атак «людина на стороні» [1]. Ця механіка розповсюдження дозволяє суб’єкту загрози змінювати мережевий трафік під час передачі, щоб ін’єктувати зловмисне корисне навантаження. Такі атаки особливо ефективні, тому що для успішного зараження не потрібна взаємодія людини чи іншої людини з ціллю.
Після висновків TeamT5 [2] дослідники Kaspersky виявили новий метод, який використовували актори для поширення шкідливого програмного забезпечення WinDealer. Вони використовують атаку "людина на стороні", щоб читати трафік і вставляти нові повідомлення. Концепція атаки «людина на стороні» полягає в тому, що коли зловмисник бачить запит на певний ресурс у мережі (чи через свої навички підслуховування, чи через власну стратегічну позицію в мережі Інтернет-провайдера), він намагається націлитися на відповідь. швидше, ніж законний сервер. Якщо це так, цільовий комп’ютер використовує інформацію, надану зловмисником, замість звичайних даних. Навіть якщо вони програють більшість цих «гонок», зловмисники завжди можуть продовжувати спроби, доки не заразять пристрій.
Шпигунське програмне забезпечення збирає багато інформації
Після успішної атаки шпигунське програмне забезпечення потрапляє на цільовий пристрій, який може збирати різноманітну інформацію. Це дозволяє зловмисникам переглядати та завантажувати всі файли, що зберігаються на пристрої, і виконувати пошук за ключовими словами в усіх документах. Загалом LuoYu націлений на іноземні дипломатичні організації, розташовані в Китаї, академічні установи, оборонні, логістичні та телекомунікаційні компанії. Актор використовує WinDealer для атаки на машини на базі Windows.
Як правило, зловмисне програмне забезпечення містить один або кілька жорстко закодованих командно-контрольних серверів, з яких зловмисники керують системою. Маючи відповідну інформацію про ці сервери, можна заблокувати IP-адреси цих серверів, з якими взаємодіє зловмисне програмне забезпечення, таким чином нейтралізуючи загрозу. Однак WinDealer покладається на складний алгоритм генерації IP-адреси, щоб визначити, до якої машини звертатися.
Windealer генерує контактні IP-адреси
Це охоплює діапазон із 48.000 XNUMX можливих IP-адрес, що робить майже неможливим для оператора контроль навіть невеликої його частини. Єдиний спосіб пояснити таку, здавалося б, неможливу поведінку мережі — припустити, що зловмисники мають значні можливості підслуховування в цьому діапазоні IP-адрес і можуть навіть читати мережеві пакети, які не досягають пункту призначення.
Така атака «людина на боці» є особливо руйнівною, оскільки для її успішного зараження не потрібна взаємодія з ціллю. Досить активного підключення до Інтернету. Крім того, користувачі не можуть заздалегідь вживати жодних захисних заходів, окрім маршрутизації трафіку даних через іншу мережу. Хоча це можливо за допомогою VPN, він може не використовуватися в деяких країнах і, як правило, недоступний, особливо для громадян Китаю.
Постраждала і Німеччина
Переважна більшість жертв LuoYu знаходиться в Китаї, тому експерти Kaspersky вважають, що LuoYu APT буде націлений насамперед на китайськомовних користувачів і організації, пов’язані з Китаєм. Однак вони також помітили атаки в інших країнах, включаючи Німеччину, Австрію, Сполучені Штати, Чехію, Росію чи Індію.
«LuoYu — це наддосконалий загрозливий актор, який використовує методи, доступні лише найдосконалішим зловмисникам, — коментує Сугуру Ішімару, старший науковий співробітник відділу глобальних досліджень і аналізу Касперського (GReAT). «Ми можемо лише припускати, як вони змогли розвинути такі здібності. Атаки «людина на стороні» надзвичайно ефективні, оскільки єдиною вимогою для атаки на пристрій є його підключення до Інтернету. Навіть якщо атака зазнала невдачі з першого разу, зловмисники можуть постійно повторювати процес, поки не досягнуть успіху. Це дозволяє кіберзлочинцям здійснювати надзвичайно небезпечні та успішні шпигунські атаки, які зазвичай націлені на дипломатів, науковців та співробітників інших ключових секторів. Незалежно від того, як була здійснена атака, єдиний спосіб захистити себе — залишатися дуже пильним і застосовувати надійні методи безпеки. Це включає регулярне антивірусне сканування, аналіз вихідного мережевого трафіку та обширне ведення журналів для виявлення аномалій».
Рекомендації касперського по захисту
- Застосування надійних методів безпеки, які включають регулярне антивірусне сканування, аналіз вихідного мережевого трафіку та комплексний збір файлів затримок для виявлення аномалій.
- Проведення аудиту кібербезпеки всіх мереж і усунення будь-яких уразливостей, виявлених на периметрі мережі або всередині неї.
- Встановлення рішень anti-APT і EDR, які дозволяють виявляти загрози, досліджувати та своєчасно усувати інциденти. Команда SOC повинна завжди мати доступ до останніх даних про загрози та проходити регулярне професійне навчання. Все це можливо в Kaspersky Expert Security [3].
- На додаток до комплексного захисту кінцевих точок, спеціальні служби забезпечують додатковий захист від атак. Kaspersky Managed Detection and Response [4] може допомогти виявити та зупинити компрометацію на ранній стадії, до того, як зловмисники досягнуть своїх цілей.
- Kaspersky's Threat Intelligence Resource Hub [5] пропонує безкоштовний доступ до незалежної, постійно оновлюваної та глобально доступної інформації про поточні кібератаки та загрози для забезпечення високого рівня безпеки.
[2] https://teamt5.org
[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[5] https://go.kaspersky.com/uchub Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/