Aktéři pokročilých perzistentních hrozeb (APT) neustále zdokonalují svoje metody práce. Někteří sice zůstávají ve své strategii konzistentní, jiní si však rychle osvojují nové techniky, taktiky a postupy. Ve třetím čtvrtletí výzkumníci společnosti Kaspersky zaznamenali, že skupina Lazarus, velmi aktivní tvůrce pokročilých hrozeb, rozvíjí svoje schopnosti útoku na dodavatelské řetězce a využívá svůj multiplatformní framework MATA pro kybernetickou špionáž. Tento a další trendy APT z celého světa shrnuje nejnovější čtvrtletní zpráva o hrozbách vydaná společností Kaspersky.
Lazarus patří mezi nejaktivnější iniciátory hrozeb na světě a působí přinejmenším od roku 2009. Tato skupina využívající APT stojí za rozsáhlými kybernetickými špionážními a ransomwarovými kampaněmi a byla vystopována při útocích na obranný průmysl a trh s kryptoměnami. Má k dispozici řadu pokročilých nástrojů a zdá se, že se je rozhodla použít k novým cílům.
V červnu 2021 analytici společnosti Kaspersky zaznamenali, že Lazarus útočí na obranný průmysl pomocí malwarového frameworku MATA, který umožňuje napadat tři operační systémy – Windows, Linux a macOS. Skupina Lazarus používala dříve MATA k útokům na různá průmyslová odvětví, například pro krádeže zákaznických databází nebo šíření ransomwaru. Tentokrát však naši výzkumníci vysledovali, že Lazarus využívá MATA i pro kybernetickou špionáž. Útočníci připravili trojanizovanou verzi aplikace, o které věděli, že ji používá jimi vybraná oběť, což je dobře známý charakteristický postup skupiny Lazarus. Za povšimnutí stojí, že to není poprvé, co tato skupina zaútočila na obranný průmysl – její předchozí kampaň ThreatNeedle byla provedena podobným způsobem v polovině roku 2020.
Skupina Lazarus byla také přistižena při vytváření prostředků schopných zaútočit na dodavatelské řetězce pomocí aktualizovaného clusteru DeathNote, který obsahuje mírně upravenou variantu malwaru BLINDINGCAN, o němž již dříve informovala americká agentura CISA (Cybersecurity and Infrastructure Security Agency). Výzkumníci společnosti Kaspersky objevili kampaně zaměřené na jihokorejský think-tank a dodavatele řešení pro monitorování IT prostředků. V prvním odhaleném případě připravila skupina Lazarus infekční řetězec, který byl zabudován do legitimního jihokorejského bezpečnostního softwaru a nasazoval škodlivý payload; ve druhém případě byla cílem společnost vyvíjející řešení pro monitorování aktiv v Lotyšsku, což je pro Lazarus netypická oběť. Jako součást infekčního řetězce použila skupina Lazarus downloader s názvem „Racket“, který podepsala pomocí ukradeného certifikátu. Podařilo se jí kompromitovat zranitelné webové servery a nahrát několik skriptů pro filtrování a ovládání škodlivých implantátů na úspěšně napadených strojích.
„Současný vývoj naznačuje dvě věci: Lazarus se nadále zajímá o obranný průmysl a snaží se také rozšířit svoje schopnosti o útoky na dodavatelské řetězce. Tato skupina zaměřená na APT přitom není jediná, která má takové plány. V uplynulém čtvrtletí jsme sledovali podobné útoky, které provedly skupiny SmudgeX a BountyGlad. Pokud jsou útoky na dodavatelský řetězec úspěšné, mohou mít ničivé následky a zasáhnout mnohem více než jednu organizaci, což jsme jasně viděli při útoku na SolarWinds v loňském roce. Vzhledem k tomu, že se aktéři hrozeb snaží tyto schopnosti stále rozvíjet, musíme zůstat ostražití a zaměřit tímto směrem svoje obranné úsilí,“ říká Ariel Jungheit, bezpečnostní analytik z týmu GReAT společnosti Kaspersky.
Zpráva o trendech v oblasti APT za 3. čtvrtletí shrnuje výsledky samostatných zpráv o hrozbách, které společnost Kaspersky poskytuje pouze předplatitelům a které obsahují také údaje o indikátorech kompromitace (IoC) a pravidla YARA, která pomáhají při forenzní analýze a vyhledávání malwaru. Pro získání dalších informací kontaktujte: intelreports@kaspersky.com.
Pokud se chcete vyhnout cílenému útoku známého nebo neznámého aktéra hrozeb, zvažte následující doporučení bezpečnostních expertů společnosti Kaspersky:
• Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách (TI). Jednotným přístupovým bodem k takovým informacím je Kaspersky Threat Intelligence Portal, který poskytuje data o kybernetických útocích a poznatky nashromážděné společností Kaspersky za více než 20 let. Bezplatný přístup k jeho administrátorským funkcím, které uživatelům umožňují kontrolovat soubory, adresy URL a IP adresy, je k dispozici zde.
• Zvyšujete kvalifikaci svého bezpečnostního týmu, aby dokázal čelit nejnovějším cíleným hrozbám, pomocí online školení Kaspersky vyvinutého odborníky z týmu GReAT (Global Research & Analysis Team).
• Implementujte řešení EDR pro detekci, vyšetřování a včasnou nápravu incidentů na úrovni koncových bodů, například Kaspersky Endpoint Detection and Response.
• Kromě nasazení základní ochrany koncových bodů implementujte firemní bezpečnostní řešení, které detekuje pokročilé hrozby v síti již v rané fázi, například Kaspersky Anti Targeted Attack Platform.
• Vzhledem k tomu, že mnoho cílených útoků začíná phishingem nebo jinými technikami sociálního inženýrství, zaveďte školení o kybernetické bezpečnosti a naučte svůj tým praktickým dovednostem – například prostřednictvím Kaspersky Automated Security Awareness Platform.
Kaspersky a NejBusiness.cz
31. října 2021
Opavský strojírenský výrobce OSTROJ rozšířil strategickou spolupráci s americkou společností Oshkosh...
Od srpna mají klienti Komerční banky, Monety a Air Bank možnost vkládat hotovost do téměř 800 sdílených...
Konica Minolta reaguje na stále rostoucí počty hackerských útoků a potřebu maximálního zabezpečení IT...
BILLA zahájila v červenci výstavbu své první celodřevěné ekologické prodejny v rámci střední a východní...
Brněnská skupina Authentica loni poprvé překročila půlmiliardový obrat, který meziročně vyrostl na celkem...
V České republice bylo v prvních pěti měsících vyrobeno 651 935 osobních vozidel. To je téměř o 10 % víc...
Přední evropská developerská společnost CTP vybudovala bez využití finanční dotace dosud nejrozsáhlejší...
Skanska představuje svůj doposud největší rezidenční projekt s názvem Habitat a spouští prodej první...
Společnost GARBE, specialista na logistické a průmyslové nemovitosti ve střední a východní Evropě,...
onami, prodejce nábytku dekorací a vybavení do domácnosti, se rozšiřuje na další trh, tentokrát do Itálie....