Akteri pretnji pravili pometnju na Bliskom istoku tokom drugog kvartala koristeći APT aktivnosti i lažna curenja podataka

Kaspersky Industrial Cybersecurity

Kaspersky Industrial Cybersecurity

Aktivnost naprednih upornih pretnji (APT) u drugom kvartalu 2019. godine uključivala je brojne operacije koje su targetirale ili su poticale sa područja Bliskog istoka i Južne Koreje. Veliki deo aktivnosti bio je fokusiran na sajber špijunažu ili ostvarivanje finansijske dobiti, ali čini se da je bar jedna kampanja bila usmerena na širenje lažnih informacija.

Istraživači kompanije Kaspersky u maju su analizirali curenje informacija onlajn o sredstvima za sajber špijunažu koja pripadaju iranskom entitetu i zaključili da iz ovoga verovatno stoji Hades, grupa koja je takođe povezana sa ExPetr i sajber napadom na Zimskim olimpijskim igrama 2018. godine. Ovi i drugi APT trendovi širom sveta obuhvaćeni su u aktuelnom izveštaju kompanije Kaspersky o najnovijim pretnjama u drugom kvartalu.

Kvartalni rezime trendova naprednih upornih pretnji izvučen je iz istraživanja kompanije Kaspersky o privatnim informacijama o pretnjama, kao i iz drugih izvora, i ističe glavna dešavanja kojih, prema mišljenju istraživača, svi moramo biti svesni.

U drugom kvartalu 2019. godine, istraživači kompanije Kaspersky primetili su neke zanimljive aktivnosti na Bliskom istoku. Ovo uključuje niz incidenata sa curenjem aseta kao što su kod, infrastruktura, grupni i podaci o očiglednoj žrtvi, koji navodno pripadaju poznatim akterima sa persijskog govornog područja, OilRig i MuddyWater. Ova curenja informacija potiču iz različitih izvora, ali su se sva pojavila u roku od nekoliko nedelja. Treće, koje je navodno otkrilo informacije povezane sa entitetom zvanim „RANA institute“, objavljeno je na persijskom jeziku na veb-sajtu „Skrivena stvarnost“. Analiza korišćenih materijala, infrastrukture i namenskog veb-sajta od strane istraživača kompanije Kaspersky dovela ih je do zaključka da bi ovo curenje moglo biti povezano sa akterom pretnje Hades. Grupa Hades stoji iza incidenta OlympicDestroyer kojim su bile targetirane Zimske olimpijske igre 2018. godine, kao i iza crva ExPetr, i raznih kampanja širenja lažnih informacija, poput curenja i-mejlova 2017. godine u vezi sa predsedničkom izbornom kampanjom Emanuela Makrona (Emmanuel Macron) u Francuskoj.

Ostale bitne činjenice o naprednim upornim pretnjama u drugom kvartalu 2019. godine uključuju:

·        Grupe sa ruskog govornog područja neprestano usavršavaju i objavljuju nove alate, i pokreću nove operacije. Na primer, čini se da je od marta grupa Zebrocy usmerila pažnju na događaje u Pakistanu/Indiji, zvaničnike, diplomate i vojsku, kao i na održavanje stalnog pristupa u lokalnim i udaljenim vladinim mrežama centralne Azije. Napadi grupe Turla i dalje uključuju različit skup alata koji se brzo razvijaju i, u jednom značajnom slučaju, očigledan upad u infrastrukturu koja pripada grupi OilRig.

 

·        Aktivnosti vezanih za područje Koreje i dalje ima puno, dok je situacija u ostatku jugoistočne Azije bila mirnija nego u prethodnim kvartalima. Operacije koje treba spomenuti su i napad grupe Lazarus koji je targetirao kompaniju za mobilne igre u Južnoj Koreji; i kampanja BlueNoroff, podgrupe Lazarusa, koja je targetirala banku u Bangladešu i softver za kripto-valute.

 

·        Istraživači su takođe primetili aktivnu kampanju kineske APT grupe SixLittleMonkeys koja je targetirala vladine institucije u centralnoj Aziji koristeći novu verziju trojanca Microcin i RAT (trojanac sa daljinskim upravljanjem) koji kompanija Kaspersky naziva HawkEye.

„Drugi kvartal 2019. godine pokazuje koliko su pretnje postale mutne i zbunjujuće, i koliko često nešto nije onako kao što izgleda. Između ostalog, videli smo aktera pretnji koji preuzima infrastrukturu manje grupe, a i drugu grupu koja je možda iskoristila niz mrežnih propusta za širenje dezinformacija i potkopavanje verodostojnosti izloženih aseta. Industrija bezbednosti se suočava sa sve težim zadatkom da se probije kroz “maglu i ogledala” kako bi pronašla činjenice i informacije o pretnjama na koje se sajber bezbednost oslanja. Kao i uvek, važno je napomenuti da naša vidljivost nije potpuna i postoje aktivnosti koje još nisu na našem radaru ili nisu u potpunosti shvaćene – tako da zaštita od poznatih i nepoznatih pretnji ostaje od ključnog značaja za sve“, rekao je Visente Dijaz (Vicente Diaz), glavni bezbednosni istraživač GReaT tima u kompaniji Kaspersky.

Izveštaj o trendovima APT pretnji za drugi kvartal sumira nalaze izveštaja kompanije Kaspersky o informacijama o pretnjama, koji uključuju i podatke o pokazateljima kompromitovanja (IOC) i YARA pravila za pomoć u forenzici i lovu na malver. Za više informacija kontaktirajte: [email protected]

Da ne biste postali žrtva ciljanih napada, poznatih ili nepoznatih aktera pretnji, istraživači kompanije Kaspersky Lab preporučuju implementiranje sledećih mera:

·        Obezbedite vašem SOC timu pristup najnovijim informacijama o pretnjama (Threat Intelligence), kako biste bili u toku sa novim i nadolazećim alatima, tehnikama i taktikama koje akteri pretnji i sajber kriminalci koriste.

·        Za detekciju krajnjeg nivoa, istraživanje i pravovremeno otklanjanje incidenata, uvedite EDR rešenja kao što je Kaspersky Endpoint Detection and Response.

·        Kao dodatak usvajanju neophodne zaštite krajnjih tačaka, uvedite korporativno bezbednosno rešenje koje prepoznaje napredne pretnje na nivou mreže u ranim stadijumima, kao što je Kaspersky Anti Targeted Attack Platform.

·        S obzirom na to da mnogi ciljani napadi počinju sa fišingom ili drugim tehnikama socijalnog inženjeringa, uvedite obuku za zaposlene koja će podizati svest o bezbednosti i naučiti ih praktičnim veštinama, na primer preko Kaspersky Automated Security Awareness Platform.