По данным «Лаборатории Касперского», во втором квартале 2020 года группы, занимающиеся проведением кампаний кибершпионажа и сложных целевых атак, не снижали активность и продолжали совершенствовать свои тактики, техники и инструменты.
Так, в мае был зафиксирован ряд атак на суперкомпьютеры, расположенные в Европе. По некоторым предположениям, они совершались с целью заполучить данные исследований, связанных с коронавирусом. Тема COVID-19 активно используется для совершения вредоносных операций. Так, например, была проведена кибератака, предположительно нацеленная на индийских военных. Злоумышленники распространяли троянские программы под видом приложения для контроля распространения коронавируса, обязательного для установки в Индии. Вскоре после этого мы обнаружили аналогичную атаку, нацеленную уже на пакистанских пользователей мобильных устройств.
Одним из ключевых событий прошедшего периода стало то, что группа Lazarus начала вести свою деятельность и в России. Кроме того, в её арсенале появились программы-вымогатели — не типичный для APT-кампаний инструмент. Также эксперты обнаружили, что целями Lazarus являются не только кибершпионаж и киберсаботаж, но и кража денег. В числе жертв этой группы в прошлом квартале оказались различные банки и финансовые институты по всему миру.
Группа Microcin тоже расширила свой инструментарий и использовала необычный троянец. Его внедряли в память системного процесса на устройстве жертвы. Злоумышленники использовали при разработке усовершенствования, которые позволяют затруднить обнаружение и анализ вредоносного ПО.
Также в прошедшем квартале был обнаружен неизвестный ранее сложный фреймворк, который закреплялся в ядре Windows с помощью уязвимости в драйвере VirtualBox. Эксперты дали ему название MagicScroll (он же AcidBox).
В марте были обнаружены атаки типа watering hole («атака на водопое») группы HoneyMyte на государственные сайты в Юго-Восточной Азии. В них применялись метод белых списков и техники социальной инженерии. Злоумышленники загружали на устройство обычный ZIP-архив, в состав которого входил файл, активирующий утилиту Cobalt Strike. Для этого они устанавливали
Также во втором квартале были отмечены атаки зловреда LightSpy, вобравшего в себя функциональность множества общедоступных эксплойтов, на пользователей iOS-устройств. Вредоносное ПО распространялось через Telegram и Instagram.
«Ландшафт угроз во втором квартале был полон громких событий. Группы, занимающиеся целевыми атаками, активно развивали инструментарий и проводили операции, нацеленные на пользователей не только Windows, но и macOS, Linux, Android и iOS. Мы видим, что они продолжают инвестировать в разработку инструментов, диверсифицировать векторы атак и расширять список жертв, в которые в прошедшем квартале попали даже суперкомпьютерные центры. Ещё один тренд, который мы видим, — это охота за большими деньгами, например со стороны Lazarus и Deceptikons. И по-прежнему мощным двигателем остаётся геополитика. Вот почему важно инвестировать в аналитику данных об угрозах. Эффективная защита подразумевает постоянное развитие и актуализацию систем защиты компаний. Но, чтобы верно инвестировать ресурсы, принимать решения нужно на основе данных о том, какие угрозы являются актуальными и какие техники сейчас применяют вероятные атакующие», — прокомментировал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».
Отчёт «Лаборатории Касперского» основан на потоках данных, доступ к которым предоставляется по подписке. Эти потоки включают в том числе данные индикаторов взлома и правила YARA, помогающие опознавать и анализировать вредоносное ПО. Больше информации можно получить, отправив запрос по электронной почте intelreports@kaspersky.com.
Чтобы избежать риска стать жертвой целевой атаки, «Лаборатория Касперского» рекомендует компаниям:
- предоставить команде SOC-центра доступ к сервису Kaspersky Threat Intelligence, позволяющему получать актуальную информацию о новых и уже известных инструментах, техниках и тактиках, используемых злоумышленниками;
- внедрить EDR-решение для обнаружения и изучения угроз, атакующих конечные устройства, и своевременного устранения последствий инцидентов, например Kaspersky Endpoint Detection and Response;
- внедрить корпоративное защитное решение, которое обнаруживает сложные угрозы на уровне сети на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
- проводить тренинги, которые позволяют повышать киберосведомлённость сотрудников и отрабатывать практические навыки, например с помощью платформы Kaspersky Automated Security Awareness Platform, ведь часто целевые атаки начинаются с применения фишинга или других техник социальной инженерии.