Спецпроекты

Безопасность Стратегия безопасности Маркет

Никакого локдауна: «Лаборатория Касперского» о сложных атаках во II квартале 2020 года

По данным «Лаборатории Касперского», во II квартале 2020 г. группы, занимающиеся проведением кампаний кибершпионажа и сложных целевых атак, не снижали активность и продолжали совершенствовать свои тактики, техники и инструменты.

Так, в мае 2020 г. был зафиксирован ряд атак на суперкомпьютеры, расположенные в Европе. По некоторым предположениям, они совершались с целью заполучить данные исследований, связанных с коронавирусом. Тема COVID-19 активно используется для совершения вредоносных операций. Так, например, была проведена кибератака, предположительно нацеленная на индийских военных. Злоумышленники распространяли троянские программы под видом приложения для контроля распространения коронавируса, обязательного для установки в Индии. Вскоре после этого мы обнаружили аналогичную атаку, нацеленную уже на пакистанских пользователей мобильных устройств.

Одним из ключевых событий прошедшего периода стало то, что группа Lazarus начала вести свою деятельность и в России. Кроме того, в ее арсенале появились программы-вымогатели — не типичный для APT-кампаний инструмент. Также эксперты обнаружили, что целями Lazarus являются не только кибершпионаж и киберсаботаж, но и кража денег. В числе жертв этой группы в прошлом квартале оказались различные банки и финансовые институты по всему миру.

Группа Microcin тоже расширила свой инструментарий и использовала необычный троянец. Его внедряли в память системного процесса на устройстве жертвы. Злоумышленники использовали при разработке усовершенствования, которые позволяют затруднить обнаружение и анализ вредоносного ПО.

Также в прошедшем квартале был обнаружен неизвестный ранее сложный фреймворк, который закреплялся в ядре Windows с помощью уязвимости в драйвере VirtualBox. Эксперты дали ему названиеMagicScroll (он же AcidBox).

В марте 2020 г. были обнаружены атаки типа watering hole («атака на водопое») группы HoneyMyte на государственные сайты в Юго-Восточной Азии. В них применялись метод белых списков и техники социальной инженерии. Злоумышленники загружали на устройство обычный ZIP-архив, в состав которого входил файл, активирующий утилиту Cobalt Strike. Для этого они устанавливали DLL-библиотеку, которая шифровала и выполняла код запуска оболочки.

Также во II квартале 2020 г. были отмечены атаки зловреда LightSpy, вобравшего в себя функциональность множества общедоступных эксплойтов, на пользователей iOS-устройств. Вредоносное ПО распространялось через Telegram и Instagram.

«Ландшафт угроз во II квартале 2020 г. был полон громких событий. Группы, занимающиеся целевыми атаками, активно развивали инструментарий и проводили операции, нацеленные на пользователей не только Windows, но и macOS, Linux, Android и iOS. Мы видим, что они продолжают инвестировать в разработку инструментов, диверсифицировать векторы атак и расширять список жертв, в которые в прошедшем квартале попали даже суперкомпьютерные центры. Еще один тренд, который мы видим, — это охота за большими деньгами, например со стороны Lazarus и Deceptikons. И по-прежнему мощным двигателем остается геополитика. Вот почему важно инвестировать в аналитику данных об угрозах. Эффективная защита подразумевает постоянное развитие и актуализацию систем защиты компаний. Но, чтобы верно инвестировать ресурсы, принимать решения нужно на основе данных о том, какие угрозы являются актуальными и какие техники сейчас применяют вероятные атакующие», — сказал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

Отчет «Лаборатории Касперского» основан на потоках данных, доступ к которым предоставляется по подписке. Эти потоки включают в том числе данные индикаторов взлома и правила YARA, помогающие опознавать и анализировать вредоносное ПО.

Чтобы избежать риска стать жертвой целевой атаки, «Лаборатория Касперского» рекомендует компаниям: предоставить команде SOC-центра доступ к сервису Kaspersky Threat Intelligence, позволяющему получать актуальную информацию о новых и уже известных инструментах, техниках и тактиках, используемых злоумышленниками; внедрить EDR-решение для обнаружения и изучения угроз, атакующих конечные устройства, и своевременного устранения последствий инцидентов, например Kaspersky Endpoint Detection andResponse; внедрить корпоративное защитное решение, которое обнаруживает сложные угрозы на уровне сети на ранней стадии, например Kaspersky Anti Targeted Attack Platform; проводить тренинги, которые позволяют повышать киберосведомленность сотрудников и отрабатывать практические навыки, например с помощью платформы Kaspersky Automated SecurityAwareness Platform, ведь часто целевые атаки начинаются с применения фишинга или других техник социальной инженерии.

Эльяс Касми

Короткая ссылка