In cel mai recent raport al Kaspersky privind tendintele legate de amenintarile persistente avansate (APT) din al doilea trimestru al anului 2023, cercetatorii analizeaza dezvoltarea campaniilor noi si existente. Raportul evidentiaza activitatea APT in aceasta perioada, inclusiv actualizarea seturilor de instrumente, crearea de noi variante de malware si adoptarea de noi tehnici de catre atacatori.
O noua revelatie semnificativa a fost expunerea campaniei de lunga durata „Operation Triangulation” care implica utilizarea unei platforme malware iOS necunoscute anterior.
Expertii au observat, de asemenea, alte evolutii interesante pe care toata lumea ar trebui sa le cunoasca. Iata aspectele cheie din raport:
Kaspersky a descoperit un nou atacator apartinand familiei Elephants, care opereaza in regiunea Asia-Pacific, numit „Mysterious Elephant”. In ultima sa campanie, acesta a angajat noi familii de backdoors, capabile sa execute fisiere si comenzi pe computerul victimei si sa primeasca fisiere sau comenzi de la un server rau intentionat pentru a fi executate pe sistemul infectat. In timp ce cercetatorii Kaspersky au observat suprapuneri cu Confucius si SideWinder, cei din spatele Mysterious Elephant poseda un set distinctiv si unic de TTP, care ii deosebeste de celelalte grupuri.
Atacatorii isi imbunatatesc in mod constant tehnicile, Lazarus actualizandu-si cadrul MATA si introducand o noua varianta a familiei sofisticate de programe malware MATA, MATAv5.
BlueNoroff, un subgrup al lui Lazarus axat pe atacuri financiare, foloseste acum noi metode de livrare si limbaje de programare, inclusiv utilizarea cititoarelor PDF troiene in campaniile recente, implementarea malware-ului macOS si limbajul de programare Rust. In plus, grupul ScarCruft APT a dezvoltat noi metode de infectie, eludand mecanismul de securitate Mark-of-the-Web (MOTW). Tacticile in continua evolutie ale acestor atacatori prezinta noi provocari pentru profesionistii in securitate cibernetica.
Campaniile APT raman dispersate geografic, atacatorii concentrandu-si atacurile asupra unor regiuni precum Europa, America Latina, Orientul Mijlociu si diverse parti ale Asiei. Spionajul cibernetic, cu un fundal geopolitic solid, continua sa fie dominant pe agenda.
„In timp ce unii atacatori se folosesc de tactici familiare, cum ar fi ingineria sociala, altii au evoluat, reimprospatandu-si seturile de instrumente si extinzandu-si activitatile. Mai mult, apar in mod constant noi actori avansati, precum cei care desfasoara campania „Operation Triangulation”. Acest grup de atacatori din spatele campaniei foloseste o platforma malware iOS necunoscuta anterior, distribuita prin exploit-uri iMessage zero-click. Vigilenta cu privire la informatiile despre amenintari si instrumentele de aparare potrivite este esentiala pentru companiile globale, astfel incat sa existe un nivel de siguranta semnificativ atat impotriva amenintarilor existente, cat si a celor emergente. Evaluarile noastre trimestriale sunt concepute pentru a evidentia cele mai relevante evolutii dintre grupurile APT pentru a ajuta specialistii in securitate sa combata si sa atenueze riscurile aferente”, comenteaza David Emm, cercetator principal in domeniul securitatii la Kaspersky Global Research and Analysis Team.
Mai multe detalii despre raportul complet privind tendintele APT in Q2 2023 sunt disponibile pe Securelist.
Pentru a evita sa deveniti victima unui atac tintit din partea unui actor de amenintare cunoscut sau necunoscut, cercetatorii Kaspersky recomanda implementarea urmatoarelor masuri:
• Pentru a genera un nivel de securitate complex pentru sistemul dumneavoastra, este esential sa va actualizati periodic sistemul de operare si alte programe software de la terti, la cele mai recente versiuni ale acestora. Mentinerea unui program regulat de actualizare este esentiala pentru a ramane protejat de potentiale vulnerabilitati si riscuri de securitate.
• Sustinerea echipei de securitate cibernetica cu ajutorul cursurilor online Kaspersky, dezvoltate de expertii GReAT, este esentiala pentru a aborda cele mai recente amenintari.
• Utilizati cele mai recente informatii despre Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de actorii amenintarilor.
• Pentru detectarea la nivel endpoint, investigarea si remedierea in timp util a incidentelor, implementati solutii EDR, precum Kaspersky Endpoint Detection and Response.
• Serviciile dedicate pot ajuta la combaterea atacurilor de anvergura. Serviciul Kaspersky Managed Detection and Response poate ajuta la identificarea si oprirea intruziunilor in stadiile incipiente, inainte ca faptuitorii sa-si atinga obiectivele. Daca va confruntati cu un incident de securitate, serviciul Kaspersky Incident Response va va ajuta sa raspundeti si sa minimizati consecintele, in special - identificati nodurile compromise si protejati infrastructura de atacuri similare in viitor.