În cel mai recent raport al Kaspersky privind tendințele legate de amenințările persistente avansate (APT) din al doilea trimestru al anului 2023, cercetătorii analizează dezvoltarea campaniilor noi și existente. Raportul evidențiază activitatea APT în această perioadă, inclusiv actualizarea seturilor de instrumente, crearea de noi variante de malware și adoptarea de noi tehnici de către atacatori.
O nouă revelație semnificativă a fost expunerea campaniei de lungă durată „Operation Triangulation” care implică utilizarea unei platforme malware iOS necunoscute anterior. Experții au observat, de asemenea, alte evoluții interesante pe care toată lumea ar trebui să le cunoască. Iată aspectele cheie din raport:
Kaspersky a descoperit un nou atacator aparținând familiei Elephants, care operează în regiunea Asia-Pacific, numit „Mysterious Elephant”. În ultima sa campanie, acesta a angajat noi familii de backdoors, capabile să execute fișiere și comenzi pe computerul victimei și să primească fișiere sau comenzi de la un server rău intenționat pentru a fi executate pe sistemul infectat. În timp ce cercetătorii Kaspersky au observat suprapuneri cu Confucius și SideWinder, cei din spatele Mysterious Elephant posedă un set distinctiv și unic de TTP, care îi deosebește de celelalte grupuri.
Atacatorii își îmbunătățesc în mod constant tehnicile, Lazarus actualizându-și cadrul MATA și introducând o nouă variantă a familiei sofisticate de programe malware MATA, MATAv5. BlueNoroff, un subgrup al lui Lazarus axat pe atacuri financiare, folosește acum noi metode de livrare și limbaje de programare, inclusiv utilizarea cititoarelor PDF troiene în campaniile recente, implementarea malware-ului macOS și limbajul de programare Rust. În plus, grupul ScarCruft APT a dezvoltat noi metode de infecție, eludând mecanismul de securitate Mark-of-the-Web (MOTW). Tacticile în continuă evoluție ale acestor atacatori prezintă noi provocări pentru profesioniștii în securitate cibernetică.
Campaniile APT rămân dispersate geografic, atacatorii concentrându-și atacurile asupra unor regiuni precum Europa, America Latină, Orientul Mijlociu și diverse părți ale Asiei. Spionajul cibernetic, cu un fundal geopolitic solid, continuă să fie dominant pe agendă.
„În timp ce unii atacatori se folosesc de tactici familiare, cum ar fi ingineria socială, alții au evoluat, reîmprospătându-și seturile de instrumente și extinzându-și activitățile. Mai mult, apar în mod constant noi actori avansați, precum cei care desfășoară campania „Operation Triangulation”. Acest grup de atacatori din spatele campaniei folosește o platformă malware iOS necunoscută anterior, distribuită prin exploit-uri iMessage zero-click. Vigilența cu privire la informațiile despre amenințări și instrumentele de apărare potrivite este esențială pentru companiile globale, astfel încât să existe un nivel de siguranță semnificativ atât împotriva amenințărilor existente, cât și a celor emergente. Evaluările noastre trimestriale sunt concepute pentru a evidenția cele mai relevante evoluții dintre grupurile APT pentru a ajuta specialiștii în securitate să combată și să atenueze riscurile aferente”, comentează David Emm, cercetător principal în domeniul securității la Kaspersky Global Research and Analysis Team.
Mai multe detalii despre raportul complet privind tendințele APT în Q2 2023 sunt disponibile pe Securelist.
Pentru a evita să deveniți victima unui atac țintit din partea unui actor de amenințare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:
• Pentru a genera un nivel de securitate complex pentru sistemul dumneavoastră, este esențial să vă actualizați periodic sistemul de operare și alte programe software de la terți, la cele mai recente versiuni ale acestora. Menținerea unui program regulat de actualizare este esențială pentru a rămâne protejat de potențiale vulnerabilități și riscuri de securitate.
• Susținerea echipei de securitate cibernetică cu ajutorul cursurilor online Kaspersky, dezvoltate de experții GReAT, este esențială pentru a aborda cele mai recente amenințări.
• Utilizați cele mai recente informații despre Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de actorii amenințărilor.
• Pentru detectarea la nivel endpoint, investigarea și remedierea în timp util a incidentelor, implementați soluții EDR, precum Kaspersky Endpoint Detection and Response.
• Serviciile dedicate pot ajuta la combaterea atacurilor de anvergură. Serviciul Kaspersky Managed Detection and Response poate ajuta la identificarea și oprirea intruziunilor în stadiile incipiente, înainte ca făptuitorii să-și atingă obiectivele. Dacă vă confruntați cu un incident de securitate, serviciul Kaspersky Incident Response vă va ajuta să răspundeți și să minimizați consecințele, în special – identificați nodurile compromise și protejați infrastructura de atacuri similare în viitor.