Angara Professional Assistance | Новые веяния

Новые веяния

Отчет Лаборатории Касперского за третий квартал 2021 года раскрывает новые векторы APT-группировок предположительно корейского и китайского происхождения.

Согласно опубликованному отчету, некоторые хакерские группировки стали присматриваться к атакам на цепочки поставок и даже пробовать силы в этом направлении. Среди таких группировок упоминаются китайскоязычная HoneyMyte и северокорейская Lazarus.

APT-группировка HoneyMyte ведет активную деятельность уже несколько лет.  Как правило, ее жертвами становятся правительственные организации и иностранные посольства определенных стран с целью сбора геополитической и экономической информации. По предположениям специалистов Лаборатории Касперского эта группировка изменила распространяемый установочный пакет ПО сканера отпечатков пальцев на сервере-источнике в одной из стран Южной Азии. APT изменила конфигурационный файл, добавив DLL с инжектором (загрузчиком) PlugX в пакет установщика. Таким образом, во время установки без необходимости подключения к сети Интернет инжектор расшифровывает и вводит полезную нагрузку бэкдора PlugX в новый системный процесс svchost и пытается передать сигнал на управляющий сервер злоумышленника. Уточняется, что сотрудники центрального правительства одной из стран Южной Азии должны использовать этот установочный пакет для поддержки механизма регистрации посещаемости. Предполагается, что вредоносный установщик размещался на исходном сервере с марта по июнь 2021 года.

Другая широко известная кибергруппировка Lazarus также была замечена в попытках испробовать возможности в атаках на цепочки поставок. В первом случае был атакован аналитический центр в Южной Корее. Цепочка заражения происходила от легитимного южнокорейского программного обеспечения безопасности, выполняющего вредоносную нагрузку. Вторым было нападение на поставщика решения для мониторинга ИТ-активов в Латвии. Обе кампании проводились с использованием обновленного кластера DeathNote: улучшенного варианта вредоносного ПО BLINDINGCAN (RAT - троян удаленного доступа), использовавшегося для доставки нового варианта COPPERHEDGE (инструмента для удаленного доступа). В рамках цепочки заражения Lazarus применила загрузчик под названием Racket, который они подписали с использованием украденного сертификата, скомпрометировав в результате уязвимые веб-серверы.

Эксперты упоминают в отчете и другую вредоносную активность, не связанную с атаками на цепочки поставок. В частности, в сообщении говорится о шпионском имплантате FinSpy для ПК, который применим как для операционной системы Windows, так и для Linux и macOS. FinSpy - это набор инструментов для слежки, известных в использовании против журналистов, политических диссидентов и правозащитников. Исторически имплант Windows представлял собой одноэтапную программу установки шпионского ПО, однако его обновленная версия устанавливается наряду с бэкдором, таким образом перерастая в имплантат первого уровня, который используется для загрузки и развертывания дополнительных полезных нагрузок перед развертыванием трояна FinSpy. Помимо троянских установщиков специалисты наблюдали заражения трояном FinSpy, связанные с использованием буткита UEFI или MBR.

«Отчеты об активности APT-группировок позволяют выделить тренды и новые веяния в киберпреступной сфере. Эта информация помогает некоторым компаниям сориентироваться на ландшафте угроз в собственной IT-инфраструктуре и подобрать наиболее подходящий продукт и эффективное решение для предотвращения инцидентов ИБ, а нам, как поставщику услуг по обеспечению информационной безопасности, обеспечить клиентов возможностью получить качественный надежный сервис, отвечающий современным требованиям в вопросах кибербезопасности», – подчеркивает Никита Струков, руководитель группы анализа и расследований Центра киберустойчивости Angara Professional Assistance.

Желая уберечь ценные активы наших клиентов от разрушительных целевых вредоносных кампаний, Angara Professional Assistance предлагает услугу защиты от APT-атак и реагирования на сложные угрозы без необходимости изменения инфраструктуры заказчика. Ее основу составляют качественная аналитика и расследование киберинцидентов нашими экспертами команды SOC с применением технологий всемирно известного производителя в сфере информационной безопасности – Лаборатории Касперского. При этом объекты защиты не ограничиваются исключительно рабочими местами под управлением ОС Windows, а включают также машины под управлением ОС Linux, почтовый и интернет-трафик.

За подробностями об услуге можно обратиться к разделам нашего сайта: « Сервисы по модели Managed Security Services (MSS)» (блок «Защита от APT-атак»). Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.