Skupina Lazarus neútočí jenom na obranný průmysl, vyvíjí prostředky i pro útok na dodavatelské řetězce

Skupina Lazarus neútočí jenom na obranný průmysl, vyvíjí prostředky i pro útok na dodavatelské řetězce

Aktéři pokročilých perzistentních hrozeb (APT) neustále zdokonalují svoje metody práce. Někteří sice zůstávají ve své strategii konzistentní, jiní si však rychle osvojují nové techniky, taktiky a postupy. Ve třetím čtvrtletí výzkumníci společnosti Kaspersky zaznamenali, že skupina Lazarus, velmi aktivní tvůrce pokročilých hrozeb, rozvíjí svoje schopnosti útoku na dodavatelské řetězce a využívá svůj multiplatformní framework MATA pro kybernetickou špionáž. Tento a další trendy APT z celého světa shrnuje nejnovější čtvrtletní zpráva o hrozbách vydaná společností Kaspersky.

Lazarus patří mezi nejaktivnější iniciátory hrozeb na světě a působí přinejmenším od roku 2009. Tato skupina využívající APT stojí za rozsáhlými kybernetickými špionážními a ransomwarovými kampaněmi a byla vystopována při útocích na obranný průmysl a trh s kryptoměnami. Má k dispozici řadu pokročilých nástrojů a zdá se, že se je rozhodla použít k novým cílům.

V červnu 2021 analytici společnosti Kaspersky zaznamenali, že Lazarus útočí na obranný průmysl pomocí malwarového frameworku MATA, který umožňuje napadat tři operační systémy – Windows, Linux a macOS. Skupina Lazarus používala dříve MATA k útokům na různá průmyslová odvětví, například pro krádeže zákaznických databází nebo šíření ransomwaru. Tentokrát však naši výzkumníci vysledovali, že Lazarus využívá MATA i pro kybernetickou špionáž. Útočníci připravili trojanizovanou verzi aplikace, o které věděli, že ji používá jimi vybraná oběť, což je dobře známý charakteristický postup skupiny Lazarus. Za povšimnutí stojí, že to není poprvé, co tato skupina zaútočila na obranný průmysl – její předchozí kampaň ThreatNeedle byla provedena podobným způsobem v polovině roku 2020.

Skupina Lazarus byla také přistižena při vytváření prostředků schopných zaútočit na dodavatelské řetězce pomocí aktualizovaného clusteru DeathNote, který obsahuje mírně upravenou variantu malwaru BLINDINGCAN, o němž již dříve informovala americká agentura CISA (Cybersecurity and Infrastructure Security Agency). Výzkumníci společnosti Kaspersky objevili kampaně zaměřené na jihokorejský think-tank a dodavatele řešení pro monitorování IT prostředků. V prvním odhaleném případě připravila skupina Lazarus infekční řetězec, který byl zabudován do legitimního jihokorejského bezpečnostního softwaru a nasazoval škodlivý payload; ve druhém případě byla cílem společnost vyvíjející řešení pro monitorování aktiv v Lotyšsku, což je pro Lazarus netypická oběť. Jako součást infekčního řetězce použila skupina Lazarus downloader s názvem „Racket“, který podepsala pomocí ukradeného certifikátu. Podařilo se jí kompromitovat zranitelné webové servery a nahrát několik skriptů pro filtrování a ovládání škodlivých implantátů na úspěšně napadených strojích.

„Současný vývoj naznačuje dvě věci: Lazarus se nadále zajímá o obranný průmysl a snaží se také rozšířit svoje schopnosti o útoky na dodavatelské řetězce. Tato skupina zaměřená na APT přitom není jediná, která má takové plány. V uplynulém čtvrtletí jsme sledovali podobné útoky, které provedly skupiny SmudgeX a BountyGlad. Pokud jsou útoky na dodavatelský řetězec úspěšné, mohou mít ničivé následky a zasáhnout mnohem více než jednu organizaci, což jsme jasně viděli při útoku na SolarWinds v loňském roce. Vzhledem k tomu, že se aktéři hrozeb snaží tyto schopnosti stále rozvíjet, musíme zůstat ostražití a zaměřit tímto směrem svoje obranné úsilí,“ říká Ariel Jungheit, bezpečnostní analytik z týmu GReAT společnosti Kaspersky.

Zpráva o trendech v oblasti APT za 3. čtvrtletí shrnuje výsledky samostatných zpráv o hrozbách, které společnost Kaspersky poskytuje pouze předplatitelům a které obsahují také údaje o indikátorech kompromitace (IoC) a pravidla YARA, která pomáhají při forenzní analýze a vyhledávání malwaru. Pro získání dalších informací kontaktujte: intelreports@kaspersky.com.

Pokud se chcete vyhnout cílenému útoku známého nebo neznámého aktéra hrozeb, zvažte následující doporučení bezpečnostních expertů společnosti Kaspersky:

• Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách (TI). Jednotným přístupovým bodem k takovým informacím je Kaspersky Threat Intelligence Portal, který poskytuje data o kybernetických útocích a poznatky nashromážděné společností Kaspersky za více než 20 let. Bezplatný přístup k jeho administrátorským funkcím, které uživatelům umožňují kontrolovat soubory, adresy URL a IP adresy, je k dispozici zde.

• Zvyšujete kvalifikaci svého bezpečnostního týmu, aby dokázal čelit nejnovějším cíleným hrozbám, pomocí online školení Kaspersky vyvinutého odborníky z týmu GReAT (Global Research & Analysis Team).

• Implementujte řešení EDR pro detekci, vyšetřování a včasnou nápravu incidentů na úrovni koncových bodů, například Kaspersky Endpoint Detection and Response.

• Kromě nasazení základní ochrany koncových bodů implementujte firemní bezpečnostní řešení, které detekuje pokročilé hrozby v síti již v rané fázi, například Kaspersky Anti Targeted Attack Platform.

• Vzhledem k tomu, že mnoho cílených útoků začíná phishingem nebo jinými technikami sociálního inženýrství, zaveďte školení o kybernetické bezpečnosti a naučte svůj tým praktickým dovednostem – například prostřednictvím Kaspersky Automated Security Awareness Platform.

Zdroj informací

Kaspersky a NejBusiness.cz

Datum

31. října 2021

Sociální sítě NejBusiness.cz

Doporučujeme

Přihlášení

Přihlášení
E-mail:
Heslo:

Zajímavosti a tiskové zprávy

13. června 2024

Skanska uvádí na trh novou lokalitu, Habitat Malešice nabídne multifázový projekt s více než 1 000 byty

Skanska představuje svůj doposud největší rezidenční projekt s názvem Habitat a spouští prodej první...

24. května 2024

NOBO AUTOMOTIVE bude vyrábět sedladla pro BMW v GARBE PARKU České Budějovice

Společnost GARBE, specialista na logistické a průmyslové nemovitosti ve střední a východní Evropě,...

20. května 2024

Bonami expanduje do Itálie

onami, prodejce nábytku dekorací a vybavení do domácnosti, se rozšiřuje na další trh, tentokrát do Itálie....

10. května 2024

Investiční fond Vetfund otevírá nejmodernější veterinární kliniku v ČR

V Praze na Palmovce zahájila od května svou činnost nejmodernější veterinární klinika v České republice....

2. května 2024

VDT Technology dokončila projekt digitálního dvojčete úpravny vody

VDT Technology, vývojář digitálních aplikací pro vodárenský průmysl, dokončil spolu s partnery inovativní...

23. dubna 2024

Klimatická neutralita ve stavebnictví. STRABAG chce dosáhnout zdánlivě nemožného do roku 2040

Odvětví stavebnictví patří s podílem téměř 38 % na celosvětových emisích k největším znečišťovatelům...

17. dubna 2024

Bonett pod vlastní značkou otevírá první dvě CNG stanice na Slovensku

Přední český dodavatel alternativních pohonných hmot Bonett vstupuje se svojí značkou na slovenský trh....

12. dubna 2024

ČEPRO spouští prodej nového paliva se 100% obsahem HVO

Společnost ČEPRO od dubna pro své velkoobchodní zákazníky nabízí nové palivo s obchodním označením HVO...

25. března 2024

Direct pojišťovna překonala další dva milníky. Má 3,5 miliardy v portfoliu a půl milionu klientů

Direct pojišťovna potvrzuje svou dlouhodobou pozici mezi nejrychleji rostoucími pojišťovnami na trhu....

13. března 2024

Komerční banka bude vyplácet zjištěné pohledávky věřitelů Sberbank CZ

Od 18. března 2024 do 15. dubna 2024 bude Komerční banka vyplácet zjištěné pohledávky věřitelů Sberbank CZ...

Reklama

Page generated in 1.2375 seconds.
Redakční systém teal.cz naprogramoval Vítězslav Dostál