«Лаборатория Касперского» выявила, что APT-группировка Cycldek, которая ведёт свою деятельность по крайней мере с 2013 года, обладает гораздо более сложным набором инструментов, чем предполагалось ранее. Так, эксперты обнаружили вредоносное ПО USBCulprit, которое предназначено для кражи данных из корпоративной сети и даёт злоумышленникам возможность проникнуть в отключённые от сети физически изолированные устройства. Этот зловред активен с 2014 года, новые образцы появлялись в 2019 году.
Цели Cycldek (также известной как Goblin Panda, APT 27 и Conimes) — это преимущественно крупные организации и правительственные учреждения в Юго-Восточной Азии. Эксперты «Лаборатории Касперского» пристально следят за её деятельностью во Вьетнаме, Таиланде, Лаосе. Они обнаружили, что после 2018 года большинство атак начиналось с фишингового письма с RTF-вложением на политические темы, открытие которого приводило к использованию известных уязвимостей и загрузке зловреда NewCore RAT. Он, в свою очередь, устанавливал вредоносное ПО USBCulprit, которое изучает пути к исполняемым файлам и собирает документы с определёнными расширениями, а затем переносит их на подключаемые USB-устройства. Таким образом, можно предположить, что цель зловреда — не подключённые к интернету или физически изолированные устройства, на которые передавать данные можно только с помощью носителей.
При подключении промаркированных USBCulprit флешек зловред или загружает туда украденные данные, или, наоборот, забирает данные, которые были записаны копией USBCulprit на отключённом от сети компьютере в зависимости от конфигурации и полученных команд. Эта программа умеет находить специфические файлы, включая те, которые были недавно изменены, а также расширять свои возможности. Так, её последние версии могут также исполнять файлы с подключённых USB-носителей.
Таким образом, список собственных инструментов, используемых только Cycldek, достаточно широкий: в него, помимо USBCulprit, входят инструменты для кражи файлов cookie и паролей из баз данных веб-браузера.
«Мы видим, что эта группировка использует гораздо более сложные инструменты, а её присутствие в Юго-Восточной Азии гораздо шире, чем предполагалось раньше. Злоумышленники расширяют свой инструментарий и нацеливаются на новые страны. Мы продолжим наблюдение», — прокомментировал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».
Чтобы снизить риски стать жертвой Cycldek и других APT-группировок, «Лаборатория Касперского» рекомендует компаниям:
- предоставлять сотрудникам SOC-центров доступ к самым свежим аналитическим данным об угрозах, чтобы они были в курсе самых новых инструментов, техник и тактик злоумышленников;
- для защиты конечных устройств, расследования и своевременного восстановления после инцидентов внедрить EDR-решения, такие как Kaspersky Endpoint Detection and Response, а также продукт корпоративного уровня, который детектирует продвинутые угрозы на ранней стадии, такой как Kaspersky Anti Targeted Attack Platform;
- убедиться в том, что все используемые устройства, ПО, приложения и сервисы регулярно обновляются и содержат новейшие патчи;
- использовать технологии контроля подключаемых устройств к компьютерам в корпоративной сети, такие как компонент Kaspersky Device Control решения Kaspersky Endpoint Security для бизнеса;
- обучать сотрудников базовым навыкам кибербезопасности, ведь очень часто целевые атаки начинаются с фишинга или других техник социальной инженерии, и включать в тренинги симулированные атаки для закрепления навыков распознавания фишинговых писем.