Компанії промислового сектору в Східній Європі зазнали атаки зловмисника з використанням передових імплантатів і нових шкідливих програм. Хмарні служби зберігання даних використовувалися для викрадання даних і подальшого поширення зловмисного програмного забезпечення.
Касперський виявив серію цілеспрямованих атак на промислові компанії у Східній Європі, спрямованих на встановлення постійного каналу для викрадання даних. Ці атаки мають суттєву схожість з раніше вивченими атаками, такими як ExCone і DexCone; це свідчить про участь APT31, також відомого як Judgment Panda та Zirconium.
Атаки використовували передові імплантати, призначені для забезпечення віддаленого доступу, що демонструє великі знання та досвід зловмисників щодо уникнення заходів безпеки. Це допомогло налаштувати постійні канали для викрадання даних – навіть із високозахищених систем
Викрадання даних через хмарні служби зберігання
Крім того, широко використовувалися методи викрадення DLL, що дозволяло зловживати законними виконуваними файлами сторонніх розробників, які вразливі до завантаження шкідливих динамічно пов’язаних бібліотек у свою пам’ять. Це має запобігти виявленню під час виконання кількох імплантатів у трьох фазах атаки.
Хмарні служби зберігання, такі як Dropbox і Yandex Disk, і тимчасові платформи для обміну файлами використовувалися для вилучення даних і подальшого поширення шкідливого програмного забезпечення. Крім того, зловмисники розгорнули інфраструктуру командування та контролю (C2) на Yandex Cloud, а також на звичайних віртуальних приватних серверах (VPS), щоб підтримувати контроль над скомпрометованими мережами.
Нові варіанти шкідливого ПЗ FourteenHi націлені на промислові компанії
Атаки також застосовували нові варіанти шкідливого програмного забезпечення FourteenHi, яке було виявлено ще у 2021 році під час кампанії ExCone, націленої на державні установи. З тих пір це еволюціонувало; за останній рік з'явилися нові варіанти, спрямовані саме на інфраструктуру промислових компаній. Фахівці Касперського також знайшли новий тип шкідливого імплантату MeatBall. Це бекдор-імплант, який має широкі можливості віддаленого доступу.
«Ми не повинні недооцінювати ризики, які несуть для галузі цілеспрямовані атаки, — сказав Кирило Круглов, старший дослідник безпеки Kaspersky ICS CERT. «Компанії продовжують оцифровувати свої процеси та залежать від мережевих систем. Потенційні наслідки успішних атак на критичну інфраструктуру значні. Ця кампанія APT, яку ми перевірили, підкреслює критичну важливість комплексних заходів кібербезпеки для захисту промислової інфраструктури від поточних і майбутніх загроз».
Рекомендації Kaspersky щодо захисту операційної техніки
- Проводьте регулярні оцінки безпеки систем OT, щоб виявити та усунути потенційні проблеми кібербезпеки.
- Встановіть постійну оцінку вразливості та сортування як основу для ефективного процесу управління вразливістю. Спеціальні рішення, такі як Kaspersky Industrial CyberSecurity, надають унікальні дієві дані, які не є повністю загальнодоступними та можуть допомогти захистити системи.
- Вчасно оновлюйте ключові компоненти мережі OT. Застосування виправлень безпеки та патчів, а також реалізація контрзаходів якнайшвидше технічно можливе є вирішальним для запобігання серйозного інциденту.
- Використовуйте рішення EDR, наприклад Kaspersky Endpoint Detection and Response, щоб своєчасно виявляти, досліджувати та усувати інциденти.
- Проведіть спеціальний тренінг із безпеки OT для груп безпеки ІТ і персоналу OT, щоб команда могла запобігати, виявляти і реагувати на інциденти.
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/