Фахівці Касперського нещодавно виявили цілеспрямовані шпигунські кампанії проти фінансових і військових організацій.
Використовуючи Kaspersky Threat Attribution Engine, дослідники Kaspersky змогли пов’язати понад 300 зразків бекдора Bisonal з кампанією групи кібершпигунства CactusPete. Ця остання кампанія групи APT зосереджена на військових і фінансових цілях у Східній Європі. Досі незрозуміло, як використаний бекдор потрапляє на пристрої жертв.
CactusPete, також відомий як Karma Panda або Tonto Teaь, є кібершпигунською групою, яка працює принаймні з 2012 року. Їхній бекдор наразі націлений на представників військового та фінансового секторів Східної Європи, які, ймовірно, отримають доступ до конфіденційної інформації.
Перші шпигунські атаки в лютому 2020 року
Цю недавню групову діяльність вперше помітили дослідники Касперського в лютому 2020 року, коли вони виявили оновлену версію бекдору Bisonal. За допомогою Kaspersky Threat Attribution Engine — інструменту аналізу для пошуку подібностей у зловмисному коді від відомих учасників загроз — бекдор було пов’язано з понад 300 іншими зразками, знайденими «в дикій природі». Усі зразки були виявлені в період з березня 2019 року по квітень 2020 року, близько 20 зразків на місяць. Це говорить про те, що CactusPete швидко розвивається. Таким чином, група продовжувала вдосконалювати свої навички і цього року отримала доступ до більш складного коду, такого як ShadowPad.
Функціональність шкідливого корисного навантаження свідчить про те, що група шукає дуже конфіденційну інформацію. Після встановлення бекдора на пристрої жертви група може використовувати Bisonal для тихого запуску різних програм, завершення процесів, завантаження, завантаження або видалення файлів і отримання списку доступних дисків. Коли зловмисники проникають глибше в заражену систему, для збору облікових даних і завантаження зловмисного програмного забезпечення використовується кейлоггер, який надає привілеї та збільшує контроль над системою.
CactusPete використовує фішингові електронні листи
Досі незрозуміло, як бекдор потрапив на пристрій у цій кампанії. Однак у минулому CactusPete здебільшого покладався на фішингові електронні листи, які містили шкідливі вкладення, щоб заражати пристрої.
«CactusPete — цікава група APT, оскільки вона насправді не настільки просунута, включаючи її бізонний бекдор», — говорить Костянтин Зиков, дослідник безпеки в Kaspersky. «Їхній успіх базується не на складних технологіях чи складній тактиці розповсюдження та обфускації, а на успішній соціальній інженерії. Їм вдається заражати цілі високого рівня, змушуючи своїх жертв відкривати шкідливі вкладення у фішингових електронних листах. Це гарний приклад того, чому фішинг продовжує залишатися таким ефективним способом здійснення кібератак і чому компаніям так важливо навчати своїх співробітників тому, як розпізнавати такі електронні листи та як використовувати дані про загрози для моніторингу останніх загроз. »
Рекомендації Kaspersky щодо захисту від APT
- Команда Центру операцій безпеки (SOC) повинна завжди мати доступ до найновіших даних про загрози, щоб бути в курсі нових інструментів, методів і тактик, які використовують загрозливі особи та кіберзлочинці.
- Організації повинні впровадити рішення EDR, наприклад Kaspersky Endpoint Detection and Response, щоб своєчасно виявляти, розслідувати і реагувати на інциденти.
- Співробітники повинні регулярно проходити навчання з кібербезпеки [6], оскільки багато цілеспрямованих атак починаються з фішингу або інших методів соціальної інженерії. Імітація фішингових атак може допомогти перевірити, навчити та попередити співробітників про те, що роблять кіберзлочинці.
- За допомогою Kaspersky Threat Attribution Engine шкідливі зразки можна швидко зв’язати з відомими зловмисниками.
Для отримання додаткової інформації див. SecureList Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/