Skupina Lazarus neútočí jenom na obranný průmysl, vyvíjí prostředky i pro útok na dodavatelské řetězce

Skupina Lazarus neútočí jenom na obranný průmysl, vyvíjí prostředky i pro útok na dodavatelské řetězce

Aktéři pokročilých perzistentních hrozeb (APT) neustále zdokonalují svoje metody práce. Někteří sice zůstávají ve své strategii konzistentní, jiní si však rychle osvojují nové techniky, taktiky a postupy. Ve třetím čtvrtletí výzkumníci společnosti Kaspersky zaznamenali, že skupina Lazarus, velmi aktivní tvůrce pokročilých hrozeb, rozvíjí svoje schopnosti útoku na dodavatelské řetězce a využívá svůj multiplatformní framework MATA pro kybernetickou špionáž. Tento a další trendy APT z celého světa shrnuje nejnovější čtvrtletní zpráva o hrozbách vydaná společností Kaspersky.

Lazarus patří mezi nejaktivnější iniciátory hrozeb na světě a působí přinejmenším od roku 2009. Tato skupina využívající APT stojí za rozsáhlými kybernetickými špionážními a ransomwarovými kampaněmi a byla vystopována při útocích na obranný průmysl a trh s kryptoměnami. Má k dispozici řadu pokročilých nástrojů a zdá se, že se je rozhodla použít k novým cílům.

V červnu 2021 analytici společnosti Kaspersky zaznamenali, že Lazarus útočí na obranný průmysl pomocí malwarového frameworku MATA, který umožňuje napadat tři operační systémy – Windows, Linux a macOS. Skupina Lazarus používala dříve MATA k útokům na různá průmyslová odvětví, například pro krádeže zákaznických databází nebo šíření ransomwaru. Tentokrát však naši výzkumníci vysledovali, že Lazarus využívá MATA i pro kybernetickou špionáž. Útočníci připravili trojanizovanou verzi aplikace, o které věděli, že ji používá jimi vybraná oběť, což je dobře známý charakteristický postup skupiny Lazarus. Za povšimnutí stojí, že to není poprvé, co tato skupina zaútočila na obranný průmysl – její předchozí kampaň ThreatNeedle byla provedena podobným způsobem v polovině roku 2020.

Skupina Lazarus byla také přistižena při vytváření prostředků schopných zaútočit na dodavatelské řetězce pomocí aktualizovaného clusteru DeathNote, který obsahuje mírně upravenou variantu malwaru BLINDINGCAN, o němž již dříve informovala americká agentura CISA (Cybersecurity and Infrastructure Security Agency). Výzkumníci společnosti Kaspersky objevili kampaně zaměřené na jihokorejský think-tank a dodavatele řešení pro monitorování IT prostředků. V prvním odhaleném případě připravila skupina Lazarus infekční řetězec, který byl zabudován do legitimního jihokorejského bezpečnostního softwaru a nasazoval škodlivý payload; ve druhém případě byla cílem společnost vyvíjející řešení pro monitorování aktiv v Lotyšsku, což je pro Lazarus netypická oběť. Jako součást infekčního řetězce použila skupina Lazarus downloader s názvem „Racket“, který podepsala pomocí ukradeného certifikátu. Podařilo se jí kompromitovat zranitelné webové servery a nahrát několik skriptů pro filtrování a ovládání škodlivých implantátů na úspěšně napadených strojích.

„Současný vývoj naznačuje dvě věci: Lazarus se nadále zajímá o obranný průmysl a snaží se také rozšířit svoje schopnosti o útoky na dodavatelské řetězce. Tato skupina zaměřená na APT přitom není jediná, která má takové plány. V uplynulém čtvrtletí jsme sledovali podobné útoky, které provedly skupiny SmudgeX a BountyGlad. Pokud jsou útoky na dodavatelský řetězec úspěšné, mohou mít ničivé následky a zasáhnout mnohem více než jednu organizaci, což jsme jasně viděli při útoku na SolarWinds v loňském roce. Vzhledem k tomu, že se aktéři hrozeb snaží tyto schopnosti stále rozvíjet, musíme zůstat ostražití a zaměřit tímto směrem svoje obranné úsilí,“ říká Ariel Jungheit, bezpečnostní analytik z týmu GReAT společnosti Kaspersky.

Zpráva o trendech v oblasti APT za 3. čtvrtletí shrnuje výsledky samostatných zpráv o hrozbách, které společnost Kaspersky poskytuje pouze předplatitelům a které obsahují také údaje o indikátorech kompromitace (IoC) a pravidla YARA, která pomáhají při forenzní analýze a vyhledávání malwaru. Pro získání dalších informací kontaktujte: intelreports@kaspersky.com.

Pokud se chcete vyhnout cílenému útoku známého nebo neznámého aktéra hrozeb, zvažte následující doporučení bezpečnostních expertů společnosti Kaspersky:

• Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách (TI). Jednotným přístupovým bodem k takovým informacím je Kaspersky Threat Intelligence Portal, který poskytuje data o kybernetických útocích a poznatky nashromážděné společností Kaspersky za více než 20 let. Bezplatný přístup k jeho administrátorským funkcím, které uživatelům umožňují kontrolovat soubory, adresy URL a IP adresy, je k dispozici zde.

• Zvyšujete kvalifikaci svého bezpečnostního týmu, aby dokázal čelit nejnovějším cíleným hrozbám, pomocí online školení Kaspersky vyvinutého odborníky z týmu GReAT (Global Research & Analysis Team).

• Implementujte řešení EDR pro detekci, vyšetřování a včasnou nápravu incidentů na úrovni koncových bodů, například Kaspersky Endpoint Detection and Response.

• Kromě nasazení základní ochrany koncových bodů implementujte firemní bezpečnostní řešení, které detekuje pokročilé hrozby v síti již v rané fázi, například Kaspersky Anti Targeted Attack Platform.

• Vzhledem k tomu, že mnoho cílených útoků začíná phishingem nebo jinými technikami sociálního inženýrství, zaveďte školení o kybernetické bezpečnosti a naučte svůj tým praktickým dovednostem – například prostřednictvím Kaspersky Automated Security Awareness Platform.

Zdroj informací

Kaspersky a NejBusiness.cz

Datum

31. října 2021

Sociální sítě NejBusiness.cz

Přihlášení

Přihlášení
E-mail:
Heslo:

Doporučujeme

Zajímavosti a tiskové zprávy

3. září 2024

OSTROJ naplno rozjel sériovou výrobu letištní techniky pro Oshkosh AeroTech

Opavský strojírenský výrobce OSTROJ rozšířil strategickou spolupráci s americkou společností Oshkosh...

1. září 2024

KB, MONETA a Air Bank nově umožňují vkládat hotovost do sdílené sítě téměř 800 bankomatů

Od srpna mají klienti Komerční banky, Monety a Air Bank možnost vkládat hotovost do téměř 800 sdílených...

19. srpna 2024

Konica Minolta se zaměřila na ochranu firemních dat proti hackerům

Konica Minolta reaguje na stále rostoucí počty hackerských útoků a potřebu maximálního zabezpečení IT...

15. srpna 2024

První ekologická celodřevěná prodejna BILLA vyrůstá ve Vracově na Hodonínsku

BILLA zahájila v červenci výstavbu své první celodřevěné ekologické prodejny v rámci střední a východní...

11. srpna 2024

Brněnská Authentica loni překročila půlmiliardový obrat a otevřela novou divizi

Brněnská skupina Authentica loni poprvé překročila půlmiliardový obrat, který meziročně vyrostl na celkem...

5. července 2024

Výroba vozidel v Česku nadále roste

V České republice bylo v prvních pěti měsících vyrobeno 651 935 osobních vozidel. To je téměř o 10 % víc...

30. června 2024

Největší fotovoltaický střešní projekt v Česku: V CTParku Bor na Plzeňku

Přední evropská developerská společnost CTP vybudovala bez využití finanční dotace dosud nejrozsáhlejší...

13. června 2024

Skanska uvádí na trh novou lokalitu, Habitat Malešice nabídne multifázový projekt s více než 1 000 byty

Skanska představuje svůj doposud největší rezidenční projekt s názvem Habitat a spouští prodej první...

24. května 2024

NOBO AUTOMOTIVE bude vyrábět sedladla pro BMW v GARBE PARKU České Budějovice

Společnost GARBE, specialista na logistické a průmyslové nemovitosti ve střední a východní Evropě,...

20. května 2024

Bonami expanduje do Itálie

onami, prodejce nábytku dekorací a vybavení do domácnosti, se rozšiřuje na další trh, tentokrát do Itálie....

Reklama

Page generated in 2.0836 seconds.
Redakční systém teal.cz naprogramoval Vítězslav Dostál