Activitatea grupurilor APT (advanced persistent threat) din al treilea trimestru al anului 2020 a indicat o tendinta interesanta: in timp ce multi atacatori cibernetici avanseaza si continua sa isi diversifice seturile de instrumente, recurgand uneori la unele extrem de bine personalizate si persistente, altii isi ating obiectivele prin utilizarea unor metode de atac bine cunoscute, testate in timp. Aceasta si alte tendinte APT din diferite parti ale lumii sunt prezentate in cel mai recent raport trimestrial de informatii despre amenintarile cibernetice, realizat de Kaspersky.
In al treilea trimestru al anului 2020, cercetatorii Kaspersky au observat o divizare a abordarii generale folosite de atacatori - multiple evolutii in tacticile, tehnicile si procedurile (TTP) grupurilor APT din intreaga lume au fost analizate alaturi de campanii eficiente care au folosit vectori si instrumente de infectare destul de banale.
Una dintre cele mai relevante descoperiri ale trimestrului a fost o campanie desfasurata de un actor necunoscut, care a decis sa distruga sistemul de securitate al uneia dintre victime, folosind un bootkit personalizat pentru UEFI - o componenta hardware esentiala a oricarui dispozitiv computerizat modern. Acest vector a facut parte dintr-un plan in mai multe etape, denumit MosaicRegressor. Raspandirea UEFI a facut ca malware-ul plantat pe dispozitiv sa fie extrem de persistent si extrem de greu de eliminat. In plus, informatia descarcata de malware pe dispozitivul fiecarei victime putea fi diferita - aceasta abordare flexibila i-a permis actorului sa se ascunda si mai multa vreme.
Alti infractori cibernetici folosesc steganografia. O noua metoda care foloseste binarul Windows Defender semnat Authenticode, un program aprobat, parte integranta pentru solutia de securitate Windows Defender, a fost detectata intr-un atac asupra unei companii de telecomunicatii din Europa. O campanie in curs atribuita lui Ke3chang a folosit o noua versiune a backdoor-ului Okrum. Aceasta versiune actualizata a Okrum foloseste un binar Windows Defender semnat Authenticode prin utilizarea unei tehnici unice de incarcare laterala. Atacatorii au folosit steganografia pentru a ascunde informatia principala in executabilul Defender, pastrand in acelasi timp semnatura digitala valida, si reducand astfel sansele de detectare.
Multi alti atacatori cibernetici continua, de asemenea, sa isi actualizeze seturile de instrumente pentru a le face mai flexibile si mai greu de detectat. Diverse planuri organizate in mai multe etape, precum cel dezvoltat de grupul MuddyWater APT continua sa apara. Aceasta tendinta este valabila si pentru alte programe malware - de exemplu, Dtrack RAT (instrument de acces la distanta), care a fost actualizat cu o noua caracteristica care permite atacatorului sa foloseasca mai multe tipuri de informatie utila.
Cu toate acestea, unii atacatori inca folosesc cu succes instrumente cu tehnologie rudimentara. Un exemplu este un grup de mercenari numit DeathStalker de catre cercetatorii Kaspersky. Acest APT se concentreaza in principal pe firme de avocatura si companii care activeaza in sectorul financiar, colectand informatii importante de la victime. Folosind tehnici care au fost in mare parte aceleasi din 2018, concentrarea pe evitarea detectarii a permis DeathStalker sa continue sa efectueze o serie de atacuri de succes.
„In timp ce unii atacatori cibernetici raman consecventi in timp si pur si simplu cauta sa foloseasca subiecte interesante precum COVID-19 pentru a atrage victimele sa descarce atasamente rau intentionate, alte grupuri se reinventeaza si isi perfectioneaza seturile de instrumente”, comenteaza Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team, Kaspersky. „Diversificarea platformelor atacate, concentrarea asupra unor noi lanturi de compromitere a securitatii si utilizarea serviciilor legitime ca parte a infrastructurii lor de atac, este ceva la care am asistat in ultimul trimestru. In general, pentru specialistii in securitate cibernetica acest lucru inseamna ca multe companii care se concentreaza pe securitatea datelor trebuie sa investeasca resurse in detectarea de activitati periculoase in medii noi, posibil legitime, care au fost examinate mai putin in trecut. Aici facem referire la programe malware scrise in limbaje de programare mai putin cunoscute, sau transmise prin servicii cloud legitime. Urmarirea activitatilor atacatorilor si a TTP-urilor ne permite sa detectam, pe masura ce se dezvolta, noile tehnici si instrumente si astfel sa ne pregatim sa reactionam la noi atacuri in timp util."
Un rezumat al tendintelor APT din ultimul trimestru prezinta concluziile rapoartelor de informatii despre amenintari, care pot fi accesate exclusiv de abonatii Kaspersky, precum si alte surse care acopera evolutiile majore pe care ar trebui sa le cunoasca sectorul corporativ. Rapoartele de informatii despre amenintari ale Kaspersky includ, de asemenea, date cu indicatori de compromitere (IoC), precum si reguli Yara si Suricata, pentru a ajuta la vanatoarea de malware.
602