Ataki APT w II kwartale 2018 r., czyli znowu Azja
2018-07-16 10:52
Advanced Persistent Threat © profit_image - Fotolia.com
Przeczytaj także: Jak przerwać zabójczy łańcuch, czyli o atakach APT
Obserwacje prowadzone przez specjalistów Kaspersky Lab w II kwartale br. dowiodły, że ataki APT (ang. Advanced Persistent Threat) nie tracą na sile. Podobnie jak miało to miejsce ostatnio, w centrum zainteresowania cybergangów znalazła się Azja, a szczególną aktywnością odznaczały się ugrupowania regionalne, w tym koreańskojęzyczne grupy Lazarus i Scarcruft. Eksperci zdołali również wykryć złośliwy moduł LightNeuron, który posłużył rosyjskojęzycznemu ugrupowaniu Turla w atakach na cele zlokalizowane w Azji Środkowej oraz na Bliskim Wschodzie.Najważniejsze wydarzenia w II kwartale 2018 r.
- Badany okres zaowocował wielkim come backiem grupy stojącej za szkodnikiem Olympic Destroyer. Po przeprowadzonym w styczniu 2018 r. ataku na Zimowe Igrzyska Olimpijskie 2018 w Pjongczangu badacze wykryli nową aktywność tego ugrupowania wymierzoną w organizacje finansowe w Rosji oraz laboratoria zapobiegania zagrożeniom biochemicznym w Europie i na Ukrainie. Pojawiło się wiele wskazówek, na podstawie których można dopatrywać się istnienia związku pomiędzy atakami Olympic Destroyer a rosyjskojęzycznym ugrupowaniem cyberprzestępczym Sofacy.
- Pojawiły się informacje wskazujące na to, że znany cybergang Lazarus/BlueNoroff atakuje instytucje finansowe w Turcji w ramach szerszej kampanii cyberszpiegowskiej, jak również kasyna w Ameryce Łacińskiej. Operacje te sugerują, że mimo trwających rozmów pokojowych dotyczących Korei Północnej aktywność ugrupowania nadal jest motywowana względami finansowymi.
- Badacze zaobserwowali stosunkowo dużą aktywność ugrupowania APT Scarcruft, które wykorzystywało szkodliwe oprogramowanie dla systemu Android i przeprowadziło operację z użyciem nowego backdoora, któremu nadano nazwę POORWEB.
- Ugrupowanie APT LuckyMouse — chińskojęzyczna grupa cyberprzestępcza znana również jako APT 27, która wcześniej wykorzystywała dostawców usług internetowych w Azji w celu przeprowadzania tzw. ataków przy wodopoju (ang. waterhole) za pośrednictwem znanych stron internetowych — aktywnie atakowała kazachstańskie i mongolskie podmioty rządowe w czasie, gdy doszło do spotkania pomiędzy tymi rządami w Chinach.
- Kampania VPNFilter, zidentyfikowana przez Cisco Talos i przypisywana przez FBI ugrupowaniu Sofacy lub Sandworm, ujawniła ogromną podatność na ataki krajowego sprzętu sieciowego oraz rozwiązań pamięci masowej. Zagrożenie to potrafi nawet wstrzykiwać szkodliwe oprogramowanie do ruchu w celu zainfekowania komputerów podłączonych do zarażonego urządzenia sieciowego. Analiza Kaspersky Lab potwierdziła, że ślady tej kampanii można znaleźć w niemal każdym kraju.
fot. profit_image - Fotolia.com
Advanced Persistent Threat
Drugi kwartał 2018 r. okazał się bardzo interesujący pod względem aktywności ugrupowań APT. Pojawiło się kilka nietuzinkowych kampanii, które przypominają nam, jak realne stały się zagrożenia, które przewidywaliśmy na przestrzeni ostatnich kilku lat. W szczególności, wielokrotnie ostrzegaliśmy, że sprzęt sieciowy idealnie nadaje się do przeprowadzania ataków ukierunkowanych, jak również podkreślaliśmy istnienie i rozszerzanie się zaawansowanej aktywności skoncentrowanej na tych urządzeniach — powiedział Vicente Diaz, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Raport dotyczący trendów APT w II kwartale stanowi podsumowanie ustaleń zaprezentowanych w raportach analizy zagrożeń dostępnych wyłącznie dla subskrybentów Kaspersky Lab. Te rozbudowane raporty zawierają również dane dot. oznaki infekcji (IoC) oraz reguły YARA, aby pomóc zespołom ds. cyberbezpieczeństwa w firmach w działaniach dochodzeniowych i aktywnym szukaniu nowych szkodliwych programów.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)