Badacze z firmy Kaspersky przeanalizowali ewolucj? zaawansowanych cyberataków APT w II kwartale 2020 r. Zaobserwowano dalszy rozwój narz?dzi cyberprzest?pczych na ró?nych frontach – od atakowania nowych platform i aktywnego wykorzystywania luk w zabezpieczeniach po przechodzenie na ca?kowicie nowe rozwi?zania. Ponadto pandemia wirusa powoduj?cego COVID-19 jest aktywnie wykorzystywana jako przyn?ta w wielu kampaniach — tak du?ych, jak i ma?ych.
Podsumowanie trendów APT w ostatnim kwartale opiera si? na prywatnym badaniu firmy Kaspersky obejmuj?cym analiz? zagro?e?, jak równie? na innych ?ród?ach omawiaj?cych najwa?niejsze nowo?ci, które wed?ug badaczy firmy powinny by? znane podmiotom w sektorze korporacyjnym.
W II kwartale 2020 r. badacze z firmy Kaspersky zaobserwowali wiele nowo?ci w zakresie taktyk, technik i procedur ugrupowa? APT na ca?ym ?wiecie. Najistotniejsze zmiany zosta?y wprowadzone przez nast?puj?cych graczy:
· Lazarus, który od lat stanowi jedno z najwa?niejszych profesjonalnych ugrupowa? cyberprzest?pczych, jeszcze bardziej zwi?kszy? inwestycje w ataki maj?ce na celu korzy?ci finansowe. Oprócz takich dzia?a? jak cyberszpiegostwo oraz cybersabota? ugrupowanie to atakowa?o banki oraz inne organizacje finansowe na ca?ym ?wiecie. W badanym kwartale badacze z firmy Kaspersky odkryli równie?, ?e Lazarus zacz?? wykorzystywa? w?asne oprogramowanie ransomware – co jest do?? nietypowe jak na grup? APT – stosuj?c wieloplatformowy zestaw narz?dzi o nazwie MATA w celu rozprzestrzeniania szkodnika. Wcze?niej ugrupowanie Lazarus kojarzone by?o z g?o?nym atakiem WannaCry.
· Chi?skoj?zyczne ugrupowanie CactusPete obecnie nagminnie wykorzystuje ShadowPad – z?o?on?, modu?ow? platform? do przeprowadzania ataków, która zawiera wtyczki i modu?y oferuj?ce szeroki wachlarz mo?liwo?ci. Platforma ShadowPad zosta?a wcze?niej wykorzystana w wielu znacz?cych cyberatakach.
· Ugrupowanie APT MuddyWater zosta?o wykryte w 2017 r. i od tego czasu aktywnie dzia?a na Bliskim Wschodzie. W 2019 roku badacze z firmy Kaspersky informowali o aktywno?ci tego cybergangu skierowanej przeciwko firmom telekomunikacyjnym oraz organizacjom rz?dowym na Bliskim Wschodzie. Firma Kaspersky odkry?a niedawno, ?e ugrupowanie MuddyWater wykorzystywa?o nowy zestaw narz?dzi wraz rozwi?zaniami otwartego ?ród?a w celu poruszania si? w sieciach ofiar.
· Ugrupowanie APT HoneyMyte przeprowadzi?o w marcu atak metod? „przy wodopoju” na stronie internetowej rz?du pa?stwa z Azji Po?udniowowschodniej. W celu zainfekowania ofiar prawdopodobnie wykorzystano socjotechnik? oraz szereg narz?dzi dodatkowych. Ostateczn? szkodliw? funkcj? stanowi?o archiwum ZIP zawieraj?ce plik „readme”, który po uruchomieniu instalowa? w systemie ofiary szkodliwy modu? Cobalt Strike.
· OceanLotus, ugrupowanie stoj?ce za zaawansowan? kampani? mobiln? PhantomLance, od drugiej po?owy 2019 r. wykorzystuje nowe warianty swojego wieloelementowego modu?u ?aduj?cego szkodliwe narz?dzia. Nowe wersje wykorzystuj? zdobyte wcze?niej specyficzne dla celu ataku informacje (nazwa u?ytkownika, nazwa serwera itd.), w wyniku czego ostateczny szkodliwy modu? do w?a?ciwej ofiary.
Krajobraz zagro?e? nie zawsze obfituje w prze?omowe wydarzenia, jednak aktywno?? cyberprzest?pcza z pewno?ci? nie usta?a w ostatnich kilku miesi?cach. Ugrupowania cyberprzest?pcze wci?? inwestuj? w udoskonalanie swoich zestawów narz?dzi, dywersyfikuj? wektory ataków, a nawet przenosz? uwag? na nowe rodzaje celów. Przyk?adowo, wykorzystywanie implantów mobilnych nie stanowi ju? nowo?ci. Kolejnym zaobserwowanym trendem jest polowanie na korzy?ci finansowe przez niektóre ugrupowania APT, takie jak BlueNoroff czy Lazarus. Geopolityka równie? pozostaje istotnym motywem dla wielu cyberganów – powiedzia? Vicente Diaz, badacz ds. cyberbezpiecze?stwa z Globalnego Zespo?u ds. Bada? i Analiz firmy Kaspersky. Wszystkie te zmiany podkre?laj? jedynie, jak istotne jest inwestowanie w analiz? krajobrazu zagro?e?. Cyberprzest?pcy nie poprzestaj? na dotychczasowych osi?gni?ciach, ale nieustannie rozwijaj? nowe taktyki, techniki i procedury.
