Эксперты глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) обнаружили целевую кампанию по распространению троянца Milum. Он позволяет получить дистанционное управление устройствами в различных компаниях, в том числе промышленных. Эта кампания, получившая название WildPressure, всё ещё активна. В данный момент большинство её жертв находится на Ближнем Востоке.
Целевые кибератаки (APT) — наиболее сложные и опасные угрозы. Зачастую злоумышленники тайно получают расширенный доступ к системе, чтобы препятствовать её нормальной работе или красть данные. Подобные кампании, как правило, создаются и разворачиваются людьми, имеющими доступ к крупным финансовым и профессиональным ресурсам. Именно поэтому WildPressure быстро привлёк внимание исследователей «Лаборатории Касперского».
На данный момент эксперты смогли получить несколько почти идентичных образцов троянца Milum, которые не имеют общего кода ни с одной известной ранее APT-кампанией. Все они обладают возможностями для удалённого управления устройствами. В частности, троянец имеет следующие функции: загружать и выполнять команды от своего оператора; собирать различную информацию с атакованной машины и отправлять её на командно-контрольный сервер; обновляться до более новой версии.
Исследователи GReAT стали первыми, кто зафиксировал деятельность троянца Milum. В августе 2019 года эксперты «Лаборатории Касперского» впервые обнаружили это вредоносное ПО. Исследование показало, что первые три образца были созданы ещё в марте 2019 года. Используя имеющуюся телеметрию, эксперты сделали предположение, что большинство целей этой вредоносной кампании находятся на Ближнем Востоке.
Пока многое в отношении WildPressure остаётся неясным, в том числе точный механизм распространения троянца Milum.
«Каждый раз, когда промышленный сектор подвергается нападению, это вызывает беспокойство. Аналитики должны обращать внимание на подобные атаки, поскольку их последствия могут быть разрушительными. Пока у нас нет подтверждения, что у злоумышленников, стоящих за WildPressure, есть какие-либо намерения, помимо сбора информации из атакованных сетей. Однако эта кампания всё ещё активно развивается. Мы уже обнаружили новые вредоносные образцы, кроме трёх первоначально выявленных. Пока мы не знаем, что будет происходить по мере развития WildPressure, но будем продолжать следить за её активностью», — сказал Денис Легезо, старший антивирусный эксперт «Лаборатории Касперского».
Более детальная информация о WildPressure доступна на Securelist.
Чтобы не стать жертвой целевой атаки, эксперты «Лаборатории Касперского» рекомендуют организациям придерживаться следующих правил:
- убедитесь, что регулярно обновляется всё ПО, используемое в организации, особенно при выпуске нового обновления безопасности. Защитные решения с компонентом Kaspersky Vulnerability and Patch Management могут помочь автоматизировать эти процессы;
- выберите проверенное защитное решение, например Kaspersky Endpoint Security для бизнеса Расширенный, которое позволяет обнаруживать по поведению известные и ранее неизвестные угрозы, включая эксплойты;
- внедрите корпоративное защитное решение, которое на ранней стадии обнаруживает целевые атаки на сетевом уровне — например, Kaspersky Anti Targeted Attack Platform;
- убедитесь, что сотрудники понимают основы кибербезопасности, поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии;
- также убедитесь, что служба безопасности имеет доступ к актуальной информации о киберугрозах. Повысить осведомлённость сотрудников, отвечающих за кибербезопасность организации, помогут Аналитические отчёты об APT-угрозах.