Kaspersky: DeathStalker atakuje instytucje finansowe i adwokatów
2020-08-25 11:50
Cyberatak na bank © fot. mat. prasowe
Przeczytaj także: Zapłać 0,01 bitcoina, a na zawsze unikniesz ataku DDoS
Jak pisze Kaspersky, chociaż doniesienia o cyberprzestępcach sponsorowanych przez rządy czy zaawansowanych atakach dobiegają naszych uszu coraz częściej, to jednak prawdziwą bolączką firm są bezpośrednie zagrożenia, nawet jeśli ich skala nie jest bardzo spektakularna.Przedsiębiorcy od lat zmagają się zarówno z panoszącym się oprogramowaniem ransomware, jak i ze szpiegostwem przemysłowym czy wyciekami danych. Szkody z tego tytułu bywają ogromne, a powstały w ich wyniku uszczerbek ma wymiar nie tylko finansowy, ale także wizerunkowy. Za tego rodzaju działaniami kryją się przeważnie koordynatorzy złośliwego oprogramowania średniego szczebla. Niekiedy też są to gangi hakerskie „do wynajęcia”. Takim właśnie ugrupowaniem jest obserwowany przez Kaspersky od 2018 roku DeathStalker.
DeathStalker to unikatowa grupa cyberprzestępcza, która koncentruje się głównie na działaniach szpiegowskich wymierzonych w kancelarie adwokackie oraz instytucje finansowe. Charakteryzuje ją niezwykła adaptacyjność oraz szybkie projektowanie złośliwego oprogramowania, które pozwala przeprowadzać skuteczne kampanie przestępcze.
W swoim nowym badaniu eksperci z firmy Kaspersky połączyli aktywność ugrupowania DeathStalker z trzema rodzinami złośliwego oprogramowania:
- Powersing,
- Evilnum oraz
- Janicab.
Taktyki, techniki oraz procedury ugrupowania nie uległy zmianie na przestrzeni lat: w celu dostarczenia archiwów zawierających szkodliwe pliki stosowano spersonalizowane wiadomości phishingowe. Po kliknięciu przez użytkownika skrótu następowało wykonanie szkodliwego skryptu, który pobierał dalsze komponenty z internetu. W ten sposób osoby atakujące mogły przejąć kontrolę nad urządzeniem ofiary.
Przykładem może być moduł Powersing – najwcześniej wykryty szkodliwy kod wykorzystywany przez ugrupowanie DeathStalker. Po zainfekowaniu urządzenia ofiary szkodnik może okresowo wykonywać zrzuty ekranu i uruchamiać dowolne skrypty. Stosując alternatywne metody przetrwania w zależności od zainstalowanego na zainfekowanym urządzeniu rozwiązania bezpieczeństwa, szkodnik jest w stanie uniknąć wykrycia, co sugeruje, że ugrupowanie potrafi wykonywać testy skuteczności rozwiązań bezpieczeństwa przed każdą kampanią oraz aktualizować swój kod zgodnie z wynikami takich analiz.
W kampaniach z użyciem złośliwego oprogramowania Powersing ugrupowanie DeathStalker wykorzystuje również znaną publiczną usługę w celu wplecenia początkowej komunikacji szkodnika w „legalny” ruch sieci. Ma to na celu dodatkowe zwiększenie prawdopodobieństwa ominięcia systemów bezpieczeństwa.
Aktywność ugrupowania DeathStalker została wykryta na całym świecie, co obrazuje skalę jego operacji. Działania związane ze szkodnikiem Powersing zostały zidentyfikowane w Argentynie, Chinach, na Cyprze, w Izraelu, w Libanie, Szwajcarii, Tajwanie, Turcji, Wielkiej Brytanii oraz Zjednoczonych Emiratach Arabskich. Szczegółowe informacje dotyczące wskaźników infekcji (IoC) związanych z tym ugrupowaniem są dostępne w serwisie Kaspersky Threat Intelligence Portal.
Porady bezpieczeństwa
Badacze z firmy Kaspersky zalecają stosowanie następujących środków bezpieczeństwa pozwalających uchronić się przed atakiem ukierunkowanym znanego lub nieznanego cyberugrupowania:
- Zapewnij swojemu zespołowi IT dostęp do najnowszej analizy zagrożeń. Serwis Kaspersky Threat Intelligence Portal to pojedynczy punt dostępu do analizy zagrożeń zapewniający szczegółowe dane dotyczące cyberataków, zgromadzone na przestrzeni ponad 20 lat.
- Zadbaj o odpowiednią ochronę punktów końcowych, taką jak np. rozwiązanie Integrated Endpoint Security firmy Kaspersky. Łączy ono ochronę punktów końcowych z piaskownicą oraz funkcjonalnością EDR, skutecznie zabezpieczając przed zaawansowanymi zagrożeniami oraz zapewniając natychmiastową widoczność szkodliwej aktywności wykrytej na korporacyjnych punktach końcowych.
- Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub zastosowania innej metody socjotechnicznej, wprowadź szkolenie w zakresie zwiększenia świadomości bezpieczeństwa oraz naukę praktycznych umiejętności.
DeathStalker to doskonały przykład ugrupowania cyberprzestępczego, przed którym powinny zabezpieczyć się organizacje w sektorze prywatnym. Chociaż często skupiamy uwagę na działaniach przeprowadzanych przez duże i dobrze znane gangi, DeathStalker przypomina nam, że organizacje, które zwykle nie stawiają bezpieczeństwa na pierwszym planie, powinny uświadomić sobie, że również mogą stać się celem.
fot. mat. prasowe
Cyberatak na bank
Co więcej, sądząc po nieprzerwanej aktywności ugrupowania DeathStalker, spodziewamy się, że nadal będzie ono stanowić zagrożenie, wykorzystując przeciwko organizacjom nowe narzędzia. Grupa ta jest niejako dowodem na to, że małe i średnie organizacje powinny zainwestować w ochronę oraz szkolenia w zakresie zwiększania świadomości dotyczącej zagrożeń – powiedział Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa z zespołu GReAT firmy Kaspersky. Organizacjom, które chcą ochronić się przed ugrupowaniem DeathStalker, zalecamy, aby w miarę możliwości wyłączyły wykorzystywanie języków skryptowych, takich jak powershell.exe czy cscript.exe. Zalecamy również, aby przyszłe szkolenia zwiększające świadomość zagrożeń oraz oceny produktów bezpieczeństwa uwzględniały łańcuchy infekcji oparte na plikach LNK (skróty w systemie Windows).
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)