Rok 2020 je veľmi špecifickým rokom – nič nie je rovnaké, no život ide ďalej, a platí to rovnako aj pre kyberzločincov a APT skupiny (APT - skratka pre pokročilé pretrvávajúce hrozby, pozn.red.). Pandémia koronavírusu sa aktívne využíva ako návnada v rámci mnohých menších či väčších škodlivých kampaní.
Kyberzločinci v 2. kvartáli tohto roka inovovali svoju taktiku, techniku aj postupy. Poukázalo na to štvrťročné zhrnutie APT trendov kyberbezpečnostnej spoločnosti Kaspersky.
Odborníci pozorujú neustály vývoj arzenálu v oblasti pokročilých pretrvávajúcich hrozieb na rôznych frontoch – od zamerania sa na nové platformy a zneužívanie aktívnych zraniteľností až po prechod na úplne nové nástroje.
Najvýznamnejšie zmeny implementovali skupiny ako Lazarus, ktorá je už niekoľko rokov kľúčovým hráčom v oblasti hrozieb. Aktuálne investuje ešte viac do útokov, ktoré prinášajú finančný zisk, uvádza prieskum.
„Popri cieľoch ako kybernetická špionáž alebo kybernetická sabotáž sa táto skupina zameriavala na banky a ďalšie finančné spoločnosti po celom svete,“ uviedli analytici spoločnosti s tým, že skupina Lazarus začala prevádzkovať ransomvér, čo je pre APT skupinu netypické, s využitím multiplatformového nástroja MATA na distribúciu malvéru.
Skupina CactusPete aplikovala ShadowPad – komplexnú modulárnu útočnú platformu, ktorá obsahuje pluginy a moduly pre rôzne funkcie. „ShadowPad bol predtým nasadený pri viacerých veľkých kybernetických útokoch, pričom v zaznamenaných prípadoch boli využité iné podskupiny pluginov,“ vysvetlila spoločnosť.
Svoje postupy mení aj APT hrozba MuddyWater, ktorá bola objavená v roku 2017 a odvtedy je aktívnou na blízkom východe. Začala používať nový súbor nástrojov C++ v rámci novej vlny útokov, pri ktorej útočník využil open-source program s názvom Secure Socket Funneling na hlbší prienik do siete.
APT hrozba HoneyMyte vykonala útok typu watering hole – na infekciu počítača sa zneužijú dôveryhodné webové stránky, využíva techniku whitelistingu a sociálneho inžinierstva. „Finálnym krokom útoku bol jednoduchý ZIP súbor obsahujúci zložku 'readme', ktorým si obeť stiahne takzvaný Cobalt Strike,“ komentovala spoločnosť.
Skupina OceanLotus, ktorá stojí za pokročilou mobilnou kampaňou PhantomLance, začala využívať nové varianty svojho viacstupňového sťahovacieho programu od druhej polovice roka 2019.
Tieto nové varianty využívajú špecifické informácie o vybranom cieli (používateľské meno, hosťujúce meno a pod.), ktoré získali vopred, aby zabezpečili, že vo finálnom kroku bude ich škodlivý program nasadený na tú správnu obeť. Skupina pokračuje v nasadzovaní zadných vrátok, rovnako ako aj Cobalt Strike Beacon, pričom ich konfiguruje pomocou aktualizovanej infraštruktúry.
„Vidíme, že kyberútočníci naďalej investujú do vylepšení svojich nástrojov, diverzifikujú oblasti svojich útokov a dokonca sa presúvajú k novým typom cieľov. Napríklad, používanie mobilných škodlivých súborov už nie je novinkou,“ myslí si generálny riaditeľ spoločnosti Kaspersky pre východnú Európu Miroslav Kořen.
Ako prevenciu voči útokom od známej alebo neznámej skupiny kyberzločincov odborníci odporúčajú sledovať informácie o kybernetických hrozbách, implementovať EDR riešenia na detekciu na úrovni koncových bodov, prešetriť a včasne náhradiť škody, implementovať aj korporátne bezpečnostné riešenia a zaviesť školenia na zvyšovanie povedomia o kybernetickej bezpečnosti.
Zdroj: Tlačová správa TASR, Kaspersky