Rok 2020 je veľmi špecifický a rovnako to platí aj pre kyberzločincov a APT skupiny, konštatuje spoločnosť Kaspersky v správe za druhý štvrťrok.
Mnohé škodlivé kampane
Pandémiu koronavírusu aktívne využívajú ako návnadu v rámci mnohých škodlivých kampaní, veľkých či malých. Odborníci pozorujú neustály vývoj arzenálu v oblasti pokročilých pretrvávajúcich hrozieb (APT) na rôznych frontoch – od zamerania sa na nové platformy a zneužívanie aktívnych zraniteľností až po prechod na úplne nové nástroje.
Štvrťročné zhrnutie APT trendov čerpá poznatky z vlastného výskumu hrozieb ako aj z iných zdrojov, pričom poukazuje na hlavné trendy, o ktorých by mal podľa odborníkov korporátny sektor vedieť.
Hacker zaútočil na online bohoslužbu, veriacim púšťal pornografické videá
Skupina Lazarus, ktorá je už niekoľko rokov kľúčovým hráčom v oblasti hrozieb teraz investuje ešte viac do útokov, ktoré prinášajú finančný zisk.
Popri cieľoch ako kybernetická špionáž alebo kybernetická sabotáž sa táto skupina zameriavala na banky a ďalšie finančné spoločnosti po celom svete.
Skupinu Lazarus spájali s útokom WannaCry
V druhom štvrťroku sa odborníkom spoločnosti Kaspersky podarilo zistiť, že skupina Lazarus začala prevádzkovať ransomvér, čo je pre APT skupinu netypická aktivita, s využitím multiplatformového nástroja zvaného MATA na distribúciu malvéru. V minulosti skupinu Lazarus spájali s neslávne známym útokom WannaCry.
Skupina CactusPete, čo je čínsky hovoriaca skupina kyberzločincov, teraz bežne používa ShadowPad – komplexnú modulárnu útočnú platformu, ktorá obsahuje pluginy a moduly pre rôzne funkcie. ShadowPad predtým nasadili pri viacerých veľkých kybernetických útokoch, pričom v zaznamenaných prípadoch boli využité iné podskupiny pluginov.
Bezpečnostná chyba v iOS umožnila hackerské útoky, stojí za ním niektorá krajina?
APT hrozbu MuddyWater objavili v roku 2017 a odvtedy je veľmi aktívna na Blízkom východe. V roku 2019 sa spoločnosti Kaspersky podarilo odhaliť jej aktivity proti telekomunikačným spoločnostiam a vládnym organizáciám v tejto oblasti.
Nedávno sa im podarilo zistiť, že MuddyWater využíva nový súbor nástrojov C++ v rámci novej vlny útokov, pri ktorej útočník využil open-source program s názvom Secure Socket Funneling na hlbší prienik do siete.
Na infekciu počítača zneužili dôveryhodné webové stránky
APT hrozba HoneyMyte vykonala útok typu watering hole, keď sa na infekciu počítača zneužijú dôveryhodné webové stránky, na webovú stránku vlády v juhovýchodnej Ázii. Zdá sa, že tento útok, ktorý bol nastražený v marci, využíval na infikovanie svojich cieľov techniku whitelistingu a sociálneho inžinierstva.
Finálnym krokom útoku bol jednoduchý ZIP súbor obsahujúci zložku „read me“, čiže „prečítaj si ma“, ktorým si obeť stiahne takzvaný Cobalt Strike.
Nemecko chce uvaliť sankcie na Rusa, ktorý zosnoval kybernetický útok na parlament
Skupina OceanLotus, ktorá stojí za pokročilou mobilnou kampaňou PhantomLance, začala využívať nové varianty svojho viacstupňového sťahovacieho programu od druhej polovice roka 2019.
Tieto nové varianty využívajú špecifické informácie o vybranom cieli (používateľské meno, hosťujúce meno a podobne), ktoré získali vopred, aby zabezpečili, že vo finálnom kroku bude ich škodlivý program nasadený na tú správnu obeť. Skupina pokračuje v nasadzovaní zadných vrátok, rovnako ako aj Cobalt Strike Beacon, pričom ich konfiguruje pomocou aktualizovanej infraštruktúry.
Dôležitým motívom zostávajú geopolitické ciele
„Prostredie hrozieb nemusí byť vždy plné „prevratných“ udalostí, no aktivity kyberzločincov sa za niekoľko posledných mesiacov určite nezastavili. Vidíme, že kyberútočníci naďalej investujú do vylepšení svojich nástrojov, diverzifikujú oblasti svojich útokov a dokonca sa presúvajú k novým typom cieľov. Napríklad, používanie mobilných škodlivých súborov už nie je novinkou. Ďalším trendom, ktorý pozorujeme, je posun k finančnému zisku u niektorých APT skupín, ako napríklad BlueNoroff alebo Lazarus. Avšak dôležitým motívom APT skupín stále zostávajú geopolitické ciele,“ upozornil generálny riaditeľ spoločnosti Kaspersky pre východnú Európu Miroslav Kořen.
„Vývoj, ktorého sme svedkami, len zdôrazňuje, aké dôležité je investovanie do prehľadu a aktuálnych informácií o kybernetických hrozbách. Kyberzločinci sa totiž nezastavia pri tom, čo už dosiahli, ale neustále vyvíjajú nové taktiky, techniky a postupy útokov – a tak by mali rozmýšľať aj tí, ktorí chcú pred nimi ochrániť seba a svoje organizácie,“ dodal.
Poľsko sa stalo terčom dezinformačného útoku, krajina podozrieva Rusko, no chýbajú im dôkazy
Správa o trendoch APT útokov za druhý štvrťrok 2020 sumarizuje zistenia spoločnosti Kaspersky na základe údajov od používateľov správ v súvislosti s hrozbami, ktoré zahŕňajú aj dáta z Indikátorov kompromitovania (IoC) a pravidlá YARA, ktoré pomáhajú pri forenznej a malvérovej analýze.
Celá správa týkajúca sa APT trendov v Q2 2020 je k dispozícii na stránke Securelist.com. Informácie agentúre SITA poskytol Michal Húska zo spoločnosti Grayling Slovakia.