Kyberzločinci v karanténě nezaháleli

Tento rok je plný změn, které se dotýkají všech oblastí života, kyberprostor nevyjímaje. Hackeři využívají témata spojená s koronavirovou pandemií jako návnadu v rámci svých kampaní. Odborníci na kyberbezpečnost ze společnosti Kaspersky zaznamenali neustálý vývoj arzenálu APT skupin, který využívaly k různým aktivitám – od útoků zacílených na nové platformy, přes aktivní zneužívání zranitelností až po kompletní obměnu svých nástrojů. Nejnovější APT trendy shrnuje čtvrtletní report.

Kvartální souhrn nejvýznamnějších událostí v oblasti APT hrozeb čerpá z nashromážděných informací odborníků z Kaspersky a dalších zdrojů, které se věnují hlavním vývojovým trendům, jež by podle společnosti neměly uniknout pozornosti korporátních subjektů.
V letošním druhém čtvrtletí pozorovali odborníci ze společnosti Kaspersky významný vývoj v technikách, taktikách a procesech kyberzločineckých APT skupin napříč kontinenty. Nejzajímavější změny se týkaly:

• Skupina Lazarus, která je jednou z předních světových kyberzločineckých skupin, investovala značné množství zdrojů do útoků zaměřených na finanční zisk. Kromě kyberšpionážních a kyber-sabotážních aktivit se tato skupina zaměřila na banky a další finanční instituce po celém světě. V průběhu druhého čtvrtletí odborníci z Kaspersky také potvrdili, že tato skupina nově začala využívat ransomware, který je pro aktivity APT skupin velmi netypický. K šíření tohoto malwaru navíc využívali multi-platformní strukturu MATA. Se skupinou Lazarus je spojován nechvalně známý útok WannaCry.
• Čínsko-jazyčná hackerská skupina CactusPete začala běžně používat ShadowPad – komplexní, modulární útočnou platformu, která obsahuje pluginy a moduly pro různé funkce. ShadowPad byl v minulosti součástí řady významných kyberútoků, přičemž odlišné sady pluginů byly použity pro rozdílné typy útoků.
• Skupina MuddyWater se poprvé objevila v roce 2017 a od té doby operuje v oblasti Středního východu. V roce 2019 odborníci z Kaspersky informovali o jejích aktivitách proti telekomunikačním organizacím. Podle odborníků tato skupina v nedávné době začala používat C++ toolchain v rámci nové vlny útoků, v níž využili open-source nástroj nazvaný Secure Socket Funneling pro lateral movement.
• APT skupina HoneyMyte provedla watering hole útok na vládní stránky v Jihovýchodní Asii. K infikování svých cílů použili v březnu tohoto roku techniku whitelistingu a sociálního inženýrství. Finální škodlivá část útoku byla zazipovaná v archivu, který obsahoval "readme" soubor, který oběť podněcoval ke spuštění implantu Cobalt Strike. Mechanismus použitý ke spuštění Cobalt Strike byl DLL side-loading, který dešifroval a spustil Cobalt Strike stager shellcode.
• Pokročilá hackerská kampaň zamřená na mobilní zařízení PhantomLance, vyvinutá skupinou OceanLotus, používá od druhé polovinu minulého roku nové varianty svého multi-stage loaderu. Ty využívají informace o napadeném systému (uživatelské jméno, hostname atd.), které získaly předem. Tím si ověřují, že svůj finální implantát vloží do správného systému. Skupina pokračuje v šíření svého backdoorového implantu i Cobalt Strike Beacon, přičemž je konfiguruje s aktualizovanou infrastrukturou.

"I když nedošlo k žádným zásadním událostem, nedá se říct, že by kyberzločinci zvolnili své tempo. Stále můžeme vidět, že jsou ochotni investovat do vylepšení svých sad nástrojů, diverzifikují své útoky, a dokonce se začínají soustředit na nové cíle," shrnuje hlavní změny v oblasti APT hrozeb Vicente Diaz, kyberbezpečnostní odborník z týmu GReAT společnosti Kaspersky.