Разкрити са Напреднали Тактики в Кампании за Кибершпионаж
Екипът за Глобални Изследвания и Анализ на Kaspersky (GReAT) и Екипът за Отговор при Киберспешни Инциденти в Областта на Индустриалните Контролни Системи (ICS CERT) разкриха значителни развития в кампании за кибершпионаж, насочени към промишлени компании в Източна Европа, използвайки актуализиран набор от инструменти MATA. Месеци на разследване разкриха изтънчени техники на атака, подобрени възможности на актуализирана зловредна софтуер и нова верига за заразяване.
През началото на септември 2022 г., бяха идентифицирани нови примери на зловреден софтуер, свързани с купа MATA, който по-рано беше свързван с групата Lazarus. Тази кампания, която насочи своята атака към над дузина източноевропейски компании, продължи от средата на август 2022 г. до май 2023 г. Атакуващите използваха имейли за проникване (spear-phishing), експлоатирайки уязвимостта CVE-2021-26411 и изтеглиха изпълними зловредни файлове за Windows чрез уеб браузърите.
Веригата за заразяване на MATA имаше сложна структура, която интегрираше инсталатор, основен троян и кражба на идентичност с rootkit и чувствителни аутентикационни проц еси. Вътрешните IP адреси, използвани като сървъри за Командно-контрол (C&C), разкриха важно откритие, че атакуващите бяха интегрирали своите системи за контрол и инфилтрация в инфраструктурата на жертвите. Kaspersky незабавно предупреди засегнатите организации, което позволи бърз отговор.
Атаката, стартирана с имейл за проникване във фабрика, проникна в мрежата и застраши главния контролер на домейна на основната компания. Атакуващите след това използваха уязвимости в сигурността и rootkit-и, за да придобият контрол върху работните станции и сървърите. В частност, те нарушиха панелите на решенията за сигурност, за да съберат информация и разпространят зловреден софтуер на системи извън дъщерните организации и инфраструктурата на корпоративния домейн.
Vyacheslav Kopeytsev, Старши изследовател по сигурност в Kaspersky ICS CERT, каза: "Защитата на индустриалния сектор от насочени атаки изисква бдителен подход, който съчетава доказани практики в областта на киберсигурността с активно мислене. Нашите експерти в Kaspersky следят развитието на APT и предвиждат техните действия, за да открият нови тактики и инструменти. Нашата ангажираност към изследванията в областта на киберсигурността произтича от нашето обещание да предоставяме на организациите критична информация за постоянно развиващите се киберзаплахи. С информираност и прилагането на най-новите мерки за сигурност, фирмите могат да засилят защитата си срещу такива нападатели и да предпазят мрежите и системите си."
Изследователите на Kaspersky препоръчват вземането на следните мерки, за да се избегне да станете цел на насочени атаки, независимо дали идват от познати или непознати заплахи:
''Уверете се, че вашият екип SOC има достъп до най-новата Интелигентност за Заплахи. Kaspersky Threat Intelligence предоставя обща точка на достъп до информация за кибератаки, включваща данни и научни познания за кибератаки, събрани от Kасpersky за повече от 20 години. Засилете своя екип по киберсигурност с онлайн обучение от Kaspersky, разработено от експерти на GReAT, за да се справите с последните насочени заплахи. Специални решения като Kaspersky Industrial CyberSecurity могат да послужат като ценен ресурс за непрекъснато оценяване на уязвимости и триаж в ефективния процес за управление на уязвимостта. Използвайте решения за откриване и реакция на събития на краен точка като Kaspersky Endpoint Detection and Response за откриване, разследване и своевременна корекция на инцидентите на краен точка. Освен базовата защита на краен точка, внедрете корпоративно ниво на сигурност, която открива напреднали заплахи на ранен етап на мрежово ниво, като Kaspersky Anti Targeted Attack Platform. Тъй като много насочени атаки започват с фишинг или други социални инженерни техники, обучете вашия екип по въпроси на сигурност и развивайте практически умения. Това може да се направи, например чрез Kaspersky Automatic Security Awareness Platform. Препоръчваме да следвате специализирано обучение, като Цифрова Форензика и Реакция при Инциденти в ICS, предлагани от Kaspersky ICS CERT, за да се уверите, че вашият екип, инструментите и процесите са готови за сложен инцидентен отговор във вашето заведение''.
Kaspersky ще вземе участие в Среща на Анали заторите по Сигурност (SAS) 2023, която ще се проведе от 25 до 28 октомври в Пхукет, Тайланд, за да разгледа бъдещето на киберсигурността.
Срещата ще обедини водещи изследователи в борбата срещу зловредни софтуери, глобални правоприлагащи органи, екипи за реакция при инциденти в ИТ и изпълнителни директори от финансовия, технологичния, здравеопазването, образованието и обществения сектор по целия свят.
Bulgaria News Agency Bulgaria News Agency