На главную страницу Контакты Карта сайта
]]>
Закрыть
Вход в личный кабинет
]]>

Никакого локдауна: «Лаборатория Касперского» о сложных атаках во втором квартале 

 21.08.2020 

Так, в мае был зафиксирован ряд атак на суперкомпьютеры, расположенные в Европе. По некоторым предположениям, они совершались с целью заполучить данные исследований, связанных с коронавирусом. Тема COVID-19 активно используется для совершения вредоносных операций. Так, например, была проведена кибератака, предположительно нацеленная на индийских военных. Злоумышленники распространяли троянские программы под видом приложения для контроля распространения коронавируса, обязательного для установки в Индии. Вскоре после этого мы обнаружили аналогичную атаку, нацеленную уже на пакистанских пользователей мобильных устройств.

Одним из ключевых событий прошедшего периода стало то, что группа Lazarus начала вести свою деятельность и в России. Кроме того, в её арсенале появились программы-вымогатели — не типичный для APT-кампаний инструмент. Также эксперты обнаружили, что целями Lazarus являются не только кибершпионаж и киберсаботаж, но и кража денег. В числе жертв этой группы в прошлом квартале оказались различные банки и финансовые институты по всему миру.

Группа Microcin тоже расширила свой инструментарий и использовала необычный троянец. Его внедряли в память системного процесса на устройстве жертвы. Злоумышленники использовали при разработке усовершенствования, которые позволяют затруднить обнаружение и анализ вредоносного ПО.

Также в прошедшем квартале был обнаружен неизвестный ранее сложный фреймворк, который закреплялся в ядре Windows с помощью уязвимости в драйвере VirtualBox. Эксперты дали ему название MagicScroll (он же AcidBox).

В марте были обнаружены атаки типа watering hole («атака на водопое»)* группы HoneyMyte на государственные сайты в Юго-Восточной Азии. В них применялись метод белых списков и техники социальной инженерии. Злоумышленники загружали на устройство обычный ZIP-архив, в состав которого входил файл, активирующий утилиту Cobalt Strike. Для этого они устанавливали DLL-библиотеку, которая шифровала и выполняла код запуска оболочки.

Также во втором квартале были отмечены атаки зловреда LightSpy, вобравшего в себя функциональность множества общедоступных эксплойтов, на пользователей iOS-устройств. Вредоносное ПО распространялось через Telegram и Instagram.

«Ландшафт угроз во втором квартале был полон громких событий. Группы, занимающиеся целевыми атаками, активно развивали инструментарий и проводили операции, нацеленные на пользователей не только Windows, но и macOS, Linux, Android и iOS. Мы видим, что они продолжают инвестировать в разработку инструментов, диверсифицировать векторы атак и расширять список жертв, в которые в прошедшем квартале попали даже суперкомпьютерные центры. Ещё один тренд, который мы видим, — это охота за большими деньгами, например со стороны Lazarus и Deceptikons. И по-прежнему мощным двигателем остаётся геополитика. Вот почему важно инвестировать в аналитику данных об угрозах. Эффективная защита подразумевает постоянное развитие и актуализацию систем защиты компаний. Но, чтобы верно инвестировать ресурсы, принимать решения нужно на основе данных о том, какие угрозы являются актуальными и какие техники сейчас применяют вероятные атакующие», — комментирует Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

Отчёт «Лаборатории Касперского» основан на потоках данных, доступ к которым предоставляется по подписке. Эти потоки включают в том числе данные индикаторов взлома и правила YARA, помогающие опознавать и анализировать вредоносное ПО. Больше информации можно получить, отправив запрос по электронной почте intelreports@kaspersky.com.

Чтобы избежать риска стать жертвой целевой атаки, «Лаборатория Касперского» рекомендует компаниям:

  • предоставить команде SOC-центра доступ к сервису Kaspersky Threat Intelligence, позволяющему получать актуальную информацию о новых и уже известных инструментах, техниках и тактиках, используемых злоумышленниками;
  • внедрить EDR-решение для обнаружения и изучения угроз, атакующих конечные устройства, и своевременного устранения последствий инцидентов, например Kaspersky Endpoint Detection and Response;
  • внедрить корпоративное защитное решение, которое обнаруживает сложные угрозы на уровне сети на ранней стадии, например Kaspersky Anti Targeted Attack Platform;
  • проводить тренинги, которые позволяют повышать киберосведомлённость сотрудников и отрабатывать практические навыки, например с помощью платформы Kaspersky Automated Security Awareness Platform, ведь часто целевые атаки начинаются с применения фишинга или других техник социальной инженерии.

С полным текстом отчёта об APT-угрозах во втором квартале можно ознакомиться по ссылке.

*Watering hole («атака на водопое») — тип атаки, при котором вредоносное ПО внедряется в сайты, часто посещаемые потенциальными жертвами. В результате устройство оказывается заражённым сразу после посещения пользователем скомпрометированного ресурса.