Implanti niskog intenziteta, lov na kriptovalute i geopolitički napadi: šta su APT akteri postigli u prvom kvartalu 2022.

Prema najnovijem izveštaju kompanije Kaspersky o APT trendovima za prvi kvartal 2022. godine, Akteri naprednih trajnih pretnji (APT) imali su prometan kvartal. Nedavno otkrivene, kao i već poznate aktivne kampanje koje sprovode novi i dobro poznati operatori su unele značajne promene u celokupan skup APT. Uzimajući u obzir da su najčešća meta njihovog napada bila preduzeća i vladini subjekti, APT akteri su ažurirali već postojeće skupove zlonamernih alata i diverzifikovali svoje tehnike kako bi pospešili svoje napade. Ovi i drugi trendovi su pokriveni u najnovijem kvartalnom izveštaju o uvidima kompanije Kaspersky u aktuelne sajber pretnje.

Tokom prva tri meseca 2022. godine, istraživači kompanije Kaspersky nastavili su da otkrivaju nove alate, tehnike i kampanje koje su pokrenute od strane APT grupa u sajber napadima širom sveta. Tromesečni APT izveštaj o trendovima izveden je iz Kaspersky istraživanja obaveštajnih podataka o pretnjama, velikim promenama i sajber incidenatima sa kojima bi svi trebalo da budu upoznati, smatraju istraživači.

Tokom prvog kvartala 2022. godine, aktivnost APT-a bila je vođena novim kampanjama i brojnim napadima povezanih sa osetljivim geopolitičkim događajima. Među najznačajnijim su:

• Geopolitičke krize kao ključni pokretač razvoja APT-a

Tokom ukrajinske krize primećena je raznolikost u opsegu delovanja pretnji. Napadi poput HermeticRansom, DoubleZero i mnoge nove pretnje, usmerene na ukrajinske entitete prijavljene su tokom februara i marta. Došlo je do značajnog porasta implementacije novih infrastruktura koju su postavile APT grupe Gamaredon i UNC1151 (Ghostwriter). Tokom istrage, istraživači kompanije Kaspersky su identifikovali dva uzorka prototipa WhisperGate-a razvijena u decembru 2021. godine, koji sadrže niz testova i poruke o uceni, ranije uočene tokom revizije, u zajedničkim uzorcima kompanije Microsoft. Njihovo snažno uverenje je da su ovi uzorci varijacije ranije verzije brisača (wiper) koji su navodno korišćeni u Ukrajini.

Istovremeno, istraživači kompanije Kaspersky identifikovali su tri kampanje povezane sa Konni pretnjom, aktivnom od sredine 2021. godine, usmerene na ruske diplomatske entitete. Dok su napadači koristili isti Konni RAT implant u različitim kampanjama, vektori infekcije su varirali u svakoj kampanji: dokumenti koji sadrže ugrađene makroe, program za instalaciju u vidu lažne aplikacije za registraciju COVID-19 i, na kraju, mamac u vidu novogodišnjeg skrinsejvera.

• Povratak napada niskog intenziteta

Prošle godine, istraživači kompanije Kaspersky predvideli su dalji razvoj implanta niskog intenziteta u 2022. godini. Upečatljiv primer ovog trenda je Moonbounce koji je otkrila kompanija Kaspersky, što je bio treći poznati slučaj pokretanja Firmware bootkit-a. Ovaj zlonamerni implant bio je sakriven unutar Unified Ektensible Firmvare Interface (UEFI), esencijalnog dela svakog računara. Implant je pronađen u SPI flash memoriji, eksternoj komponenti za skladištenje na hard disku. Ova kampanja je pripisana poznatom APT akteru APT41.

· APT akteri love kriptovalute

U ovom kvartalu, Kaspersky je takođe primetio da APT akteri nastavljaju lov na kriptovalute. Za razliku od većine APT grupa koje sponzorišu države, Lazarus i drugi akteri koji su povezani ovom vrstom APT-a postavili su finansijsku korist kao jedan od primarnih ciljeva. Ovaj akter je distribuirao trojanske aplikacije za decentralizaciju finansija (DeFi) kako bi povećao profit. Lazarus zloupotrebljava legitimne aplikacije koje se koriste za upravljanje kripto novčanicima tako što distribuira malware, koji omogućava kontrolu nad sistemima žrtava.

· Zloupotreba onlajn usluga i ažuriranja

APT akteri kontinuirano traže nove načine kojima bi povećali efikasnost svojih napada. Plaćenička sajber grupa pod nazivom DeathStalker nastavlja da ažurira svoje nesofisticirane alate kako bi napade učinila efikasnijim. Janicab, njihov najstariji malware, koji se prvi put pojavio 2013. godine, odličan je primer ovog trenda. Zaključak je da Janicab pokazuje iste funkcionalnosti kao i konkurentni oblici malware-a. Jedina razlika je u tome što Janicob umesto preuzimanja nekoliko alatki u kasnijim pokušajima upada u sisteme, kao što je to grupa učinila sa upadima na EVILNUM i Poversing, novi uzorci imaju većinu alata ugrađenih i sakrivenih unutar dropper-a. Pored toga, DeathStalker koristi najveće online servise, kao što su YouTube, Google+ i WordPress, kao dead-drop resolvers (DDR) za izvršavanje efektivne skrivene komande i kontrole.

- Geopolitika je oduvek bila glavni pokretač APT napada i nikada to nije bilo tako očigledno kao sada. Živimo u turbulentnim vremenima i to se jasno može videti kroz prizmu sajber bezbednosti. Istovremeno, možemo videti da je za mnoge APT aktere prvi kvartal bio uobičajen, sa stalnim unapređivanjem alata i novim kampanjama koje ne traže samo informacije, već i novac - komentariše David Emm, glavni istraživač bezbednosti u kompaniji GReAT tima kompanije Kaspersky. - To znači da organizacije moraju da budu opreznije nego ikada i da se postaraju da su naoružane obaveštajnim podacima o pretnjama i pravim alatima za zaštitu od postojećih i novih pretnji.

Izveštaj prvog kvartala o APT Trendovima sumira nalaze Kaspersky izveštaja obaveštajnih podataka o pretnjama dostupnih pretplatnicima, koji takođe uključuju podatke o Pokazateljima Kompromitovanja (IoC) data i YARA pravila koja pomažu u forenzici i lovu na malware. Za više informacija kontaktirajte: [email protected]

Ranije tokom ovog kvartala, Kaspersky’s GReAT je održao prezentaciju o sajber napadima u Ukrajini, uključujući najnoviju APT aktivnost. Snimak vebinara možete pronaći ovde, a rezime ovde.

Ukoliko želite da pročitate ceo izveštaj o trendovima APT K1 2022, posetite Securelist.com

Da biste izbegli ciljani napad poznatog ili nepoznatog APT aktera, istraživači kompanije Kaspersky preporučuju sprovođenje sledećih mera:

• Omogućite svom SOC timu pristup najnovijim obaveštajnim podacima o pretnjama (TI). Kaspersky Threat Intelligence Portal je jedinstvena tačka pristupa za podatke o pretnjama kompanije, koja pruža podatke o sajber napadima i zaključcima koje je Kaspersky prikupljao poslednjih 20 godina. Da bi pomogao preduzećima da imaju efikasnu odbranu u ovim turbulentnim vremenima, Kaspersky je najavio pristup nezavisnim, kontinuirano ažuriranim i globalno pristupnim informacijama o svim aktuelnim sajber napadima i pretnjama, bez ikakve nadoknade. Možete pristupiti ovoj ponudi ovde.

• Osposobite svoj tim za sajber bezbednost da znaju kako da se izbore sa najnovijim ciljanim pretnjama uz Kaspersky onlajn obuku koju su razvili stručnjaci GReAT tima.

• Za endpoint detekciju, pretraživanje i blagovremeno delanje, preporučujemo da primenite EDR rešenja kao što je Kaspersky Endpoint Detection and Response.

• Pored osnovne endpoint zaštite, implementirajte i korporativno bezbednosno rešenje koje detektuje napredne pretnje na čitavoj mreži u ranim fazama. Najbolji primer ovog oblika zaštite je Kaspersky Anti Targeted Attack Platform;

• Kako mnogi ciljani napadi počinju sa fišingom ili drugim tehnikama socijalnog inženjeringa, uvedite obuku o bezbednosti, podignite nivo svesti o potencijalnim pretnjama i podučite svoj tim praktičnim veštinama – na primer, preko Kaspersky Automated Security Awareness Platform.

Kaspersky

Kaspersky

David Emm

Kaspersky’s GReAT

APT trendovi

sajber napadi

akteri naprednih trajnih pretnji

sajber pretnje

HermeticRansom

DoubleZero

WhisperGate

Gamaredon

UNC1151

Moonbounce

DeathStalker

zlonamerni implant

kriptovalute

Lazarus

Janicab

malware

onlajn usluge

bezbednost na internetu

implanti niskog intenziteta