Skupina Lazarus neútočí jenom na obranný průmysl, vyvíjí prostředky i pro útok na dodavatelské řetězce

Skupina Lazarus neútočí jenom na obranný průmysl, vyvíjí prostředky i pro útok na dodavatelské řetězce

Aktéři pokročilých perzistentních hrozeb (APT) neustále zdokonalují svoje metody práce. Někteří sice zůstávají ve své strategii konzistentní, jiní si však rychle osvojují nové techniky, taktiky a postupy. Ve třetím čtvrtletí výzkumníci společnosti Kaspersky zaznamenali, že skupina Lazarus, velmi aktivní tvůrce pokročilých hrozeb, rozvíjí svoje schopnosti útoku na dodavatelské řetězce a využívá svůj multiplatformní framework MATA pro kybernetickou špionáž. Tento a další trendy APT z celého světa shrnuje nejnovější čtvrtletní zpráva o hrozbách vydaná společností Kaspersky.

Lazarus patří mezi nejaktivnější iniciátory hrozeb na světě a působí přinejmenším od roku 2009. Tato skupina využívající APT stojí za rozsáhlými kybernetickými špionážními a ransomwarovými kampaněmi a byla vystopována při útocích na obranný průmysl a trh s kryptoměnami. Má k dispozici řadu pokročilých nástrojů a zdá se, že se je rozhodla použít k novým cílům.

V červnu 2021 analytici společnosti Kaspersky zaznamenali, že Lazarus útočí na obranný průmysl pomocí malwarového frameworku MATA, který umožňuje napadat tři operační systémy – Windows, Linux a macOS. Skupina Lazarus používala dříve MATA k útokům na různá průmyslová odvětví, například pro krádeže zákaznických databází nebo šíření ransomwaru. Tentokrát však naši výzkumníci vysledovali, že Lazarus využívá MATA i pro kybernetickou špionáž. Útočníci připravili trojanizovanou verzi aplikace, o které věděli, že ji používá jimi vybraná oběť, což je dobře známý charakteristický postup skupiny Lazarus. Za povšimnutí stojí, že to není poprvé, co tato skupina zaútočila na obranný průmysl – její předchozí kampaň ThreatNeedle byla provedena podobným způsobem v polovině roku 2020.

Skupina Lazarus byla také přistižena při vytváření prostředků schopných zaútočit na dodavatelské řetězce pomocí aktualizovaného clusteru DeathNote, který obsahuje mírně upravenou variantu malwaru BLINDINGCAN, o němž již dříve informovala americká agentura CISA (Cybersecurity and Infrastructure Security Agency). Výzkumníci společnosti Kaspersky objevili kampaně zaměřené na jihokorejský think-tank a dodavatele řešení pro monitorování IT prostředků. V prvním odhaleném případě připravila skupina Lazarus infekční řetězec, který byl zabudován do legitimního jihokorejského bezpečnostního softwaru a nasazoval škodlivý payload; ve druhém případě byla cílem společnost vyvíjející řešení pro monitorování aktiv v Lotyšsku, což je pro Lazarus netypická oběť. Jako součást infekčního řetězce použila skupina Lazarus downloader s názvem „Racket“, který podepsala pomocí ukradeného certifikátu. Podařilo se jí kompromitovat zranitelné webové servery a nahrát několik skriptů pro filtrování a ovládání škodlivých implantátů na úspěšně napadených strojích.

„Současný vývoj naznačuje dvě věci: Lazarus se nadále zajímá o obranný průmysl a snaží se také rozšířit svoje schopnosti o útoky na dodavatelské řetězce. Tato skupina zaměřená na APT přitom není jediná, která má takové plány. V uplynulém čtvrtletí jsme sledovali podobné útoky, které provedly skupiny SmudgeX a BountyGlad. Pokud jsou útoky na dodavatelský řetězec úspěšné, mohou mít ničivé následky a zasáhnout mnohem více než jednu organizaci, což jsme jasně viděli při útoku na SolarWinds v loňském roce. Vzhledem k tomu, že se aktéři hrozeb snaží tyto schopnosti stále rozvíjet, musíme zůstat ostražití a zaměřit tímto směrem svoje obranné úsilí,“ říká Ariel Jungheit, bezpečnostní analytik z týmu GReAT společnosti Kaspersky.

Zpráva o trendech v oblasti APT za 3. čtvrtletí shrnuje výsledky samostatných zpráv o hrozbách, které společnost Kaspersky poskytuje pouze předplatitelům a které obsahují také údaje o indikátorech kompromitace (IoC) a pravidla YARA, která pomáhají při forenzní analýze a vyhledávání malwaru. Pro získání dalších informací kontaktujte: intelreports@kaspersky.com.

Pokud se chcete vyhnout cílenému útoku známého nebo neznámého aktéra hrozeb, zvažte následující doporučení bezpečnostních expertů společnosti Kaspersky:

• Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách (TI). Jednotným přístupovým bodem k takovým informacím je Kaspersky Threat Intelligence Portal, který poskytuje data o kybernetických útocích a poznatky nashromážděné společností Kaspersky za více než 20 let. Bezplatný přístup k jeho administrátorským funkcím, které uživatelům umožňují kontrolovat soubory, adresy URL a IP adresy, je k dispozici zde.

• Zvyšujete kvalifikaci svého bezpečnostního týmu, aby dokázal čelit nejnovějším cíleným hrozbám, pomocí online školení Kaspersky vyvinutého odborníky z týmu GReAT (Global Research & Analysis Team).

• Implementujte řešení EDR pro detekci, vyšetřování a včasnou nápravu incidentů na úrovni koncových bodů, například Kaspersky Endpoint Detection and Response.

• Kromě nasazení základní ochrany koncových bodů implementujte firemní bezpečnostní řešení, které detekuje pokročilé hrozby v síti již v rané fázi, například Kaspersky Anti Targeted Attack Platform.

• Vzhledem k tomu, že mnoho cílených útoků začíná phishingem nebo jinými technikami sociálního inženýrství, zaveďte školení o kybernetické bezpečnosti a naučte svůj tým praktickým dovednostem – například prostřednictvím Kaspersky Automated Security Awareness Platform.

Zdroj informací

Kaspersky a NejBusiness.cz

Datum

31. října 2021

Sociální sítě NejBusiness.cz

Přihlášení

Přihlášení
E-mail:
Heslo:

Doporučujeme

Zajímavosti a tiskové zprávy

27. dubna 2025

SGEF reportuje 36% nárůst financování strojů a technologických zařízení

Société Générale Equipment Finance (SGEF), tuzemský lídr nebankovního financování firem a člen Skupiny...

25. dubna 2025

Flexibilních kanceláří v Česku už je přes 172 500 metrů čtverečních. A bude jich více i v regionech

Flexibilní kanceláře v Česku zažívají rekordní růst. Po utlumení poptávky během pandemie sledujeme výrazné...

22. dubna 2025

IROP v roce 2024: 2 409 podpořených projektů a investice za 26,5 miliardy korun

Integrovaný regionální operační program (IROP) v roce 2024 významně podpořil rozvoj regionů napříč všemi...

17. dubna 2025

Inspekce práce v loňském roce při kontrolách odhalila téměř 2 tisíce nelegálně pracujících osob

V uplynulém roce 2024 bylo při kontrolách Státního úřadu inspekce práce odhaleno téměř 2 tisíce nelegálně...

9. dubna 2025

ABB, Smart View a Keyence otevřely studentům dveře do reálného světa robotiky na RoboVision Hackathonu

ABB, Smart View a Keyence uspořádali RoboVision Hackathon, který studentům nabídl jedinečnou možnost...

8. dubna 2025

Exportéři hledají nové trhy. Diverzifikace je klíčem ke stabilitě a odolnosti

České firmy přehodnocují své exportní strategie v reakci na geopolitický vývoj, regulatorní změny a...

10. března 2025

Česká EAG ohlásila dvě akvizice v Německu za více než miliardu

osud roztříštěný evropský trh se softwarovými, datovými a analytickými nástroji pro obchodování s novými i...

28. února 2025

Evropská komise schválila Česku podporu na výrobu tepla z biomasy

Evropská komise schválila podle pravidel EU pro veřejnou podporu český program ve výši přibližně 2,6...

27. ledna 2025

Nůžky odměňování žen a mužů v Česku jsou pořád rozevřené

Mind the gap. Hlášení, které v anglicky mluvících zemích upozorňuje cestující v metru na prostorovou...

22. ledna 2025

Půjčka pro podnikatele je spojená s minimální administrativou

Jen krátká smlouva a žádné osobní jednání, přesně o tom jsou moderní úvěry, které lze vyřešit z pohodlí...

Reklama

Page generated in 1.2916 seconds.
Redakční systém teal.cz naprogramoval Vítězslav Dostál