Поделиться
«Лаборатория Касперского» обнаружила APT-кампанию, нацеленную на государственные организации Азиатско-Тихоокеанского региона
Эксперты «Лаборатории Касперского» обнаружили действующую APT-кампанию с использованием скомпрометированного защищенного USB-накопителя определенного типа, который применяется для безопасного хранения данных. Эта кампания кибершпионажа, получившая название TetrisPhantom, направлена на государственные организации в Азиатско-Тихоокеанском регионе. Найденные в ходе расследования артефакты не позволяют однозначно отнести ее к какой-либо известной кибергруппе злоумышленников. Эти и другие выводы подробно описаны в новом ежеквартальном отчете «Лаборатории Касперского» о ландшафте APT-угроз. Об этом CNews сообщили представители «Лаборатории Касперского».
Кампания была обнаружена в начале 2023 г. Злоумышленники тайно шпионили и собирали конфиденциальные данные государственных структур Азиатско-Тихоокеанского региона. Атакуемые защищенные USB-накопители используются в государственном секторе по всему миру, а это означает, что потенциально жертвами подобных методов могут стать еще больше организаций.
Злоумышленники использовали различное вредоносное ПО, с помощью которого могли получить контроль над устройством жертвы. Это позволило им запускать процессы, выполнять команды, взаимодействовать с файловой системой, собирать данные со скомпрометированных машин и передавать их на другие компьютеры, используя в качестве носителей те же или другие защищенные USB-накопители.
По данным «Лаборатории Касперского», число атакованных жертв было небольшим, и это подтверждает целенаправленный характер атаки.
«Наше расследование выявило высокий уровень сложности данной кампании, так как в ней использовались такие техники, как программная обфускация через виртуализацию, низкоуровневое общение с USB-накопителями и самораспространение через подключенные защищенные USB. Данная кибератака проводилась высококвалифицированными злоумышленниками, проявляющими интерес к шпионской деятельности в правительственных сетях», — комментирует Нушин Шабаб, старший эксперт по кибербезопасности Глобального центра исследований и анализа угроз (GReAT).
Эксперты «Лаборатории Касперского» не обнаружили пересечений с ранее известными APT-группами, но исследование данной кампании продолжается, и, учитывая ее длительный характер, ожидаются более сложные атаки в будущем.
Чтобы защитить компанию от кибератак, специалисты «Лаборатории Касперского» рекомендуют следующие меры: регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей; сохранять бдительность при получении электронных писем, сообщений и звонков с просьбой предоставить конфиденциальную информацию. Уточнять личность отправителя, прежде чем делиться какими-либо персональными данными или переходить по подозрительным ссылкам; предоставить команде SOC доступ к актуальной информации об угрозах (TI); проводить тренинги для специалистов по безопасности об актуальных угрозах; для защиты конечных точек, расследования и реагирования на инциденты внедрить EDR-решение.
Поделиться
Короткая ссылка
