„Cloud Atlas“ APT atnaujino savo arsenalą ir pradėjo naudoti polimorfines kenkėjiškas programas

„Cloud Atlas“, pažangi tikslinė grėsmė (APT), dar vadinama „Inception“, atnaujino savo arsenalą naujomis priemonėmis, kurios leidžia apeiti standartinius kompromiso rodiklius. Ši atnaujinta infekcijų grandinė buvo pastebėta įvairiose Rytų Europos, Centrinės Azijos ir Rusijos organizacijose.

„Cloud Atlas“ – grėsmės vykdytojas, turintis ilgą kibernetinio šnipinėjimo operacijų, kurios skirtos pramonės įmonėms, vyriausybinėms agentūroms ir kitiems subjektams, istoriją. Pirmą kartą jis buvo aptiktas 2014 m. ir nuo to laiko yra aktyvus. Neseniai „Kaspersky“ tyrėjai ir vėl pastebėjo „Cloud Atlas“. Dabar jis nukreiptas į tarptautines ekonomikos bei aviacijos pramonės įmones, taip pat vyriausybines ir religines organizacijas, kurios yra įsikūrusios Portugalijoje, Rumunijoje, Turkijoje, Ukrainoje, Rusijoje, Turkmėnistane, Afganistane ir Kirgizijoje. Po sėkmingos infiltracijos „Cloud Atlas“ gali:

• rinkti informaciją apie sistemą, prie kurios jis gavo prieigą
• kaupti slaptažodžius
• išfiltruoti naujausius .txt .pdf. xls .doc failus į komandų ir kontrolės serverį.

Nors „Cloud Atlas“ dramatiškai nepakeitė savo taktikos, bet 2018 m. naujausių išpuolių tyrimai parodė, kad savo aukų užkrėtimui jis rinkosi naują būdą ir per jų tinklą vykdė horizontalų judėjimą.


1 pav. Infekcijos grandinė, kurią „Cloud Atlas“ naudojo iki 2019 m. balandžio mėn.

Anksčiau „Cloud Atlas“ pirmiausia savo taikiniui nusiųsdavo elektroninį laišką su kenkėjišku priedu. Sėkmingo išpuolio atveju būdavo paleidžiama „PowerShower“ – prisegta kenkėjiška programa, kuri naudojama pradiniam žvalgymui ir papildomų kenkėjiškų modulių atsiuntimui, kad kibernetiniai nusikaltėliai galėtų tęsti savo operaciją.

O dabar atnaujinta infekcijos grandinė atideda „PowerShower“ programos vykdymą iki vėlesnio etapo; vietoj to, po pirminio užkrėtimo, į tikslinį kompiuterį atsiunčiama HTML programa. Tada ši programa iš kompiuterio surenka pradinę informaciją ir atsiunčia bei paleidžia „VBShower“ – dar vieną kenkėjišką modulį. „VBShower“ ištrina kenkėjiškos programos buvimo įrodymus ir per komandų ir kontrolės serverius tariasi su savo šeimininkais, kad galėtų nuspręsti tolimesnių veiksmų eigą. Atsižvelgiant į gautą komandą, ši kenkėjiška programa atsisiųs ir vykdys „PowerShower“ arba kitą gerai žinomą „Cloud Atlas“ antrosios pakopos programą.

2 pav. Atnaujinta „Cloud Atlas“ infekcijos grandinė

Nors naujoji infekcijos grandinė iš esmės yra daug sudėtingesnė nei ankstesnis modelis, jos pagrindinis skiriamasis elementas yra tai, kad ir kenkėjiška HTML programa, ir „VBShower“ modulis yra polimorfiniai. O tai reiškia, kad abiejų modulių kodas bus naujas ir unikalus kiekvieno užkrėtimo atveju. Pasak „Kaspersky“ ekspertų, ši atnaujinta versija yra vykdoma siekiant, kad kenkėjiška programinė įranga būtų nematoma saugumo sprendimams, kurie remiasi patikimais kompromiso rodikliais.

„Saugumo bendruomenėje tapo girtina pasidalinti kenkėjiškų operacijų, kurias aptinkame tyrinėdami, kompromiso rodikliais. Ši geroji praktika mums leidžia gana greitai reaguoti į vykstančias tarptautines kibernetinio šnipinėjimo operacijas, užkertant kelią bet kokiai tolimesnei žalai. Tačiau, kaip prognozavome jau 2016 m., šis būdas tapo nebe toks patikimas. Pirmiausia tai pastebėjome su „ProjectSauron“, kuris sukurdavo unikalų rinkinį kiekvienai savo aukai ir šnipinėjimo operacijoms naudojo atvirojo kodo įrankius, o ne unikalius. Dabar tai tęsiama ir su šiuo polimorfinių kenkėjiškų programų pavyzdžiu. Tai nereiškia, kad veikėjus tampa vis sunkiau sugauti, tačiau saugumo įgūdžiai ir gynėjų įrankių rinkiniai turi būti tobulinami kartu su jų stebimų kenkėjiškų programų vykdytojų įrankių rinkiniais bei įgūdžiais“, – teigė „Kaspersky“ tyrimų ir analizės komandos saugumo ekspertas Felix Aime.

„Kaspersky“ organizacijoms rekomenduoja naudoti tokius saugumo sprendimus, kurie tinka kovoti su tikslinėmis atakomis bei yra patobulinti puolimo rodikliais (IoA), kur pagrindinis dėmesys skiriamas taktikai, metodams ar veiksmams, kurių gali imtis kibernetiniai nusikaltėliai. IoA stebi naudojamus metodus ir nesvarbu, kokie konkretūs įrankiai yra naudojami. Naujausios „Kaspersky Endpoint Detection and Response“ bei „Kaspersky Anti Targeted Attack“ versijos turi naują IoA duomenų bazę, kurią prižiūri ir atnaujina patys „Kaspersky“ ekspertai.

„Kaspersky“ taip pat rekomenduoja atlikti ir šiuos veiksmus:

• Informuokite savo darbuotojus apie skaitmeninę higieną ir paaiškinkite, kaip jie gali atpažinti ir išvengti kenkėjiškų elektroninių laiškų ar nuorodų. Apsvarstykite galimybę organizuoti specialius darbuotojų sąmoningumo ugdymo kursus
• Norėdami blokuoti neleistinų programų vykdymą, naudokite patikimą saugumo sprendimą, kuriame yra šlamšto ir sukčiavimo prevencijos komponentų, taip pat programų valdymo funkcija su numatytuoju neigimo režimu. Pavyzdžiui, „Kaspersky Endpoint Security for Business
• Norėdami aptikti, ištirti ir laiku pašalinti kenkėjiškas problemas iš įmonės tinklo, naudokite EDR sprendimus, pavyzdžiui, „Kaspersky Endpoint Detection and Response“. Šis sprendimas gali aptikti net ir nežinomas kenkėjiškas programas
• Įdiekite įmonės lygio saugumo sprendimą, kuris pažangias tinklo grėsmes aptinka dar ankstyvoje stadijoje, pavyzdžiui, „Kaspersky Anti Targeted Attack“
• Į savo įmonės informacijos saugumo valdiklius ir saugumo kontrolę integruokite Grėsmių žvalgybą, kad galėtumėte naudotis aktualiausiais ir naujausiais grėsmių aptikimo duomenimis.

Pilną tyrimo ataskaitą galite perskaityti Securelist.com tinklaraštyje.

Apie „Kaspersky“

„Kaspersky“ – 1997 m. įkurta tarptautinė kibernetinio saugumo bendrovė. „Kaspersky“ sukauptos žinios ir patirtis sudaro apsaugos sprendimų ir paslaugų, užtikrinančių viso pasaulio verslo, ypatingos svarbos infrastruktūros, vyriausybės ir naudotojų saugumą, pagrindą. Didelį „Kaspersky“ bendrovės portfelį sudaro pažangiausi įrenginių apsaugai skirti produktai ir daugybė specializuotų apsaugos sprendimų bei paslaugų, skirtų kovoti su sudėtingomis ir nuolat evoliucionuojančiomis kibernetinėmis grėsmėmis. „Kaspersky“ technologijos saugo daugiau nei 400 mln. vartotojų ir 270 tūkst. verslo klientų. Norėdama sužinoti daugiau skaitykite www.kaspersky.com tinklaraštį.


Rugpjūčio 14, 2019