Krajobraz ATP. Najnowszy raport ESET!

Motywacje takich aktorów są zazwyczaj polityczne lub ekonomiczne. Każdy duży sektor biznesu odnotował przypadki cyberataków przeprowadzanych przez hakerów w określonych celach, czy to kradzieży, szpiegowania, czy zakłócania. Niektóre grupy wykorzystują tradycyjne wektory szpiegostwa, w tym inżynierię społeczną, wywiad ludzki i infiltrację, aby uzyskać dostęp do fizycznej lokalizacji w celu skompromitowania infrastruktury.

Jak wygląda krajobraz grup APT?

Daje na to odpowiedź raport ESET. Dostępny tutaj. Podsumowano w nim godne uwagi działania wybranych grup APT od kwietnia do września 2024 r.

Raport podzielony jest na państwa sponsorujące, ale podkreśla operacje reprezentatywne dla szerszego spektrum zagrożeń. Ilustruje kluczowe trendy i wydarzenia chociaż, jak twierdzą autorzy, zawiera tylko niewielką część danych wywiadowczych zebranych przez ESET APT.

Chiny

Jedną z wymienianych w raporcie grup jest MirrorFace. Zazwyczaj skupiała się

na podmiotach japońskich, po raz pierwszy, w badanym okresie, grupa rozszerzyła swoje działania o organizację dyplomatyczne w Unii Europejskiej, jednocześnie nadal priorytetowo traktując swoje japońskie cele. Ponadto powiązane z Chinami grupy APT coraz częściej polegają na otwartym kodzie źródłowym i wieloplatformowej sieci VPN SoftEther, aby utrzymać dostęp do infrastruktury ofiar. SoftEther VPN jest ulubionym narzędziem innej grupy APT tj. Flax Typhoon. Z kolei chińska grupa- Webworm zastąpiła swojego w pełni funkcjonalnego backdoora SoftEther VPN Bridge na komputerach organizacji rządowych w UE. Ten sam VPN jest używany przez GALLIUM w atakach na operatorów telekomunikacyjnych w Afryce.

Iran

Grupy powiązane z Iranem naruszyły bezpieczeństwo kilku firm świadczących usługi finansowe w Afryce – kontynencie geopolitycznie ważnym dla Iranu; prowadziły cyberszpiegostwo przeciwko Irakowi i Azerbejdżanowi, sąsiednim krajom, z którymi Iran ma złożone relacje. Zwiększyły również swoje zainteresowanie sektorem transportu w Izraelu. Pomimo tego pozornie wąskiego geograficznego ukierunkowania, Irańskie grupy APT zaatakowały wysłanników dyplomatycznych we Francji i organizacje edukacyjne w Stanach Zjednoczonych.

Korea Północna

Grupy ATP z Korei Północnej koncentrują się na kradzieży funduszy – zarówno tradycyjnych walut, jak i kryptowalut – w celu wsparcia reżimu. Grupy te kontynuowały ataki na firmy obronne i lotnicze w Europie oraz USA, a także atakowały deweloperów kryptowalut, ośrodki analityczne i organizacje pozarządowe. Jedna z takich grup, Kimsuky, zaczęła hakować pliki Microsoft Management Console, które są zwykle używane przez administratorów systemów, ale mogą wykonywać dowolne polecenia systemu Windows. Ponadto kilka grup powiązanych z Koreą Północną wzięło na cel popularne usługi w chmurze, w tym Google Drive, Microsoft OneDrive, Dropbox, Yandex Disk, pCloud, GitHub i Bitbucket.

Badacze ESET odkryli lukę umożliwiającą zdalne wykonanie kodu w WPS Office dla systemu Windows. Atak wykorzystujący exploit przypisany został powiązanej z Koreą Południową grupie APT-C-60.

Rosja

Grupy cybernetycznego szpiegostwa powiązane z Rosją, często atakowały serwery poczty internetowej, takie jak Roundcube i Zimbra, zazwyczaj za pomocą wiadomości e-mail typu spearphishing, które wyzwalają znane luki XSS.

Analitycy z ESET wyróżniają dwie rosyjskie grupy: Sednit atakującą podmioty rządowe, akademickie i związane z obronnością na całym świecie oraz GreenCube. Ta druga kradnie wiadomości e-mail za pośrednictwem luk XSS w Roundcube.

Oczywiście działalność rosyjskich grup determinuje wojna w Ukrainie. Gamaredon wdraża duże kampanie spearphishingu, przerabiając jednocześnie swoje narzędzia, wykorzystując aplikacje do przesyłania wiadomości Telegram i Signal. Sandworm wykorzystał swój nowy backdoor Windows – WrongSens, oraz zaawansowane złośliwe oprogramowanie Linux: LOADGRIP i BIASBOAT.

Opisane w raporcie analizy, są częścią działalności wywiadowczej, której szczegóły są udostępniane w ramach usługi ESET Threat intelligence. Pomagają organizacjom odpowiedzialnym za ochronę obywateli, krytycznej infrastruktury i wartościowych aktywów zabezpieczyć się przed cyberatakami kierowanymi przez państwa lub wrogie grupy przestępcze

Raporty APT są dobrym uzupełnieniem rozwiązań ESET, które chronią organizacje przed złośliwymi działaniami opisanymi w tym raporcie. Warto zainteresować się kompleksowymi narzędziami ochrony. Takimi które będą pracować wieloplatformowo: na stacjach roboczych, urządzeniach mobilnych, serwerach czy też będą chronić aplikacje w chmurze.  Przykładem kompleksowego rozwiązania jest pakiet ESET PROTECT Elite, który zawiera zaawansowane narzędzie klasy XDR (Extended Detection & Response) służące do wykrywania i reagowania na ataki.

Pakiet umożliwia  sandboxing w chmurze oraz zarządzanie podatnościami. Warto również wymienić  funkcjonalności wspomagające bezpieczeństwo. Takie jak uwierzytelnienie wieloskładnikowe czy szyfrowanie dysków. Więcej informacji na temat rozwiązania możesz znaleźć tutaj.