Istraživači kompanije Kaspersky otkrili su seriju izrazito targetiranih napada na industrijska preduzeća koji su otpočeli još 2018. godine – mnogo ređi napadi u svetu aktera naprednih upornih pretnji (advanced persistent threat – APT) nego što je to slučaj sa kampanjama protiv diplomata i ostalih visokoprofilnih političkih aktera. Set alata koji je korišćen – koga su autori malvera originalno nazvali MT3 – kompanija Kaspersky je preimenovala u “MontysThree”. On koristi raznovrsne tehnike za izbegavanje otkrivanja, uključujući čuvanje svoje komunikacije sa kontrolnim serverom na javnim cloud servisima i sakrivanje glavnog malicioznog modula pomoću steganografije.
Vladini entiteti, diplomate i telekom operateri uglavnom su preferirana meta APT aktera, s obzirom na to da ovi pojedinci i institucije prirodno u svom posedu imaju izuzetno poverljive i politički osetlive informacije. Mnogo su ređe targetirane špijunažne kampanje protiv industrijskih entiteta – ali one, kao i bilo koji drugi napad na industrije, mogu imati razarajuće posledice na poslovanje. Zbog toga su istraživači kompanije Kaspersky, nakon što su primetili aktivnost MontysThree malvera, odmah posvetili pažnju ovom problemu.
Za uspešno izvođenje špijunaže, MontysThree ugrađuje program malvera koji se sastoji iz četiri modula. Prvi – loader – inicijalno se širi korišćenjem RAR SFX fajlova (samoraspakujuće arhive) koji sadrže imena povezana sa imenicima zaposlenih, tehničkom dokumentacijom, i rezultatima medicinskih analiza kako bi naveli zaposlene da preuzmu fajlove – često korišćena spirfišing tehnika. Loader modul je pre svega zadužen za vođenje računa o tome da malver ne bude otkriven na sistemu; kako bi ovo osigurao, koristi tehniku poznatu kao steganografija.
Akteri koriste steganografiju kako bi sakrili činjenicu da se podaci razmenjuju. U slučaju MontysThree malvera, glavni maliciozni sadržaj je predstavljen kao bitmap (format za skladištenje digitalnih slika) fajl. Ukoliko je uneta ispravna komanda, loader modul će koristiti algoritam izrađen po meri kako bi iz niza piksela dešifrovao sadržaj i pokrenuo maliciozni materijal.
Glavni maliciozni sadržaj koristi nekoliko sopstvenih tehnika za šifrovanje kako bi izbegao otkrivanje, a naročito koristi RSA algoritam kako bi šifrovao komunikaciju sa kontrolnim serverom i dekriptovao glavne “zadatke” koje je malver zadao. Ovo uključuje traženje dokumenata sa specifičnim ekstenzijama i u određenim direktorijumima kompanije. MontysThree malver je dizajniran tako da posebno targetira Microsoft i Adobe Acrobat dokumente; takođe može da zabeleži slike ekrana i “otiske prstiju” (tj. da prikupi informacije o podešavanjima mreže, imenu računara, itd.) mete kako bi video da li je to korisno za napadače.
Prikupljene informacije i ostala komunikacija sa kontrolnim serverom se zatim postavljaju na javne cloud servise poput Google, Microsoft, i Dropbox servisa. Ovo otežava mogućnost da se otkrije da je komunikacijski saobraćaj maliciozan i, usled toga što nijedan antivirus ne blokira ove servise, kontrolnom serveru obezbeđuje neprekidno izvršavanje komandi.
MontysThree takođe koristi jednostavnu metodu za obezbeđivanje upornosti na inficiranom sistemu – modifikator za Windows Quick Launch. Korisnici nehotice samostalno pokreću inicijalni modul malvera svaki put kada pokrenu legitimne aplikacije, kao što su pretraživači, kada koriste Quick Launch liniju alata.
Kompanija Kaspersky nije uspela da pronađe bilo kakve sličnosti ovog malicioznog koda ili njegove infrastrukture sa nekim poznatim APT akterom.
“MonthysThree malver je zanimljiv ne samo zbog toga što targetira industrijska preduzeća, več i zbog kombinacije sofisticiranih i donekle “amaterskih” taktika, tehnika i procedura (TTP). Generalno, sofisticiranost varira od modula do modula, ali ne može da se poredi sa nivoom koji koriste najnapredniji APT akteri. Ipak, oni koriste snažne kriptografske standarde i zaista su donete neke tehnički potkovane odluke, uključujući po meri izrađenu steganografiju. Možda najznačajnije, jasno je da su napadači uložili značajan trud u razvijanje MontysThree seta alata, što ukazuje na to da su odlučni u svom poduhvatu – i da se ne radi o kratkoročnoj kampanji,” komentariše Denis Legezo, glavni bezbednosni istraživač u timu za globalno istraživanje i analizu kompanije Kaspersky.
Saznajte više o MontysThree malveru na Securelist. Detaljne informacije o indikatorima kompromitovanja vezanim za ovu grupu, uključujući hešove fajlova, dostupne su na portalu Kaspersky Threat Intelligence Portal.
Kako biste zaštitili svoju organizaciju od napada kao što je MontysThree, stručnjaci kompanije Kaspersky predlažu:
- Svojim zaposlenima obezbedite obuku o osnovama sajberbezbednosne higijene, s obzirom na to da mnogi targetirani napadi otpočinju fišingom ili drugim tehnikama socijalnog inženjeringa. Sprovedite simulaciju fišing napada kako bi bili sigurni da znaju da prepoznaju fišing i-mejlove.
- Svom SOC timu omogućite pristup svim najnovijim podacima o pretnjama (threat intelligence – TI). Kaspersky Threat Intelligence Portal predstavlja jedinstvenu tačku pristupa svim podacima o pretnjama kompanije, pružajući uvid u podatke o sajber napadima i uvide koje je kompanija Kaspersky prikupila tokom više od 20 godina.
- Za otkrivanje, istraživanje i blagovremeno saniranje incidenata na nivou krajnje tačke, implementirajte EDR rešenja, kao što je Kaspersky Endpoint Detection and Response.
- Osim usvajanja neophodne zaštite krajnje tačke, implementirajte bezbednosno rešenje na korporativnom nivou koje u ranoj fazi otkriva napredne pretnje na nivou mreže, kao što je Kaspersky Anti Targeted Attack Platform.
- Vodite računa da štitite i industrijske i korporativne krajnje tačke. Kaspersky Industrial CyberSecurity rešenje uključuje zaštitu za krajnje tačke i nadgledanje mreže kako bi otkrilo bilo kakvu sumnjivu i potencijalno malicioznu aktivnost na industrijskoj mreži.