A fejlett állandó fenyegetéseket (APT) alkalmazó támadók folyamatosan fejlesztik működési módszereiket.

Míg egyesek következetesen ugyanazt a stratégiát alkalmazzák, addig mások új technikákat, taktikákat és eljárásokat vetnek be. A harmadik negyedévben a Kaspersky kutatói azt tapasztalták, hogy a fejlett állandó fenyegetések terén igen eredményes Lazarus-csoport ellátásilánc-támadási eszközöket fejleszt, és kiberkémkedési célokra használja a többplatformos MATA keretrendszerét. Ezt a jelenséget, valamint a világszerte tapasztalható egyéb APT-trendeket vizsgálja a Kaspersky legújabb negyedéves fenyegetéselemzési összefoglalója.

A Lazarus a világ egyik legaktívabb hekkercsoportja, mely legalább 2009 óta működik. Ez az APT-csoport állt több nagyszabású kiberkémkedési és zsarolóvírusos kampány mögött, emellett a védelmi ipar és a kriptovaluta-piac elleni támadásokkal is összefüggésbe hozhatók. Úgy tűnik, a fejlett eszközök széles tárházával rendelkező csoport most új célokat tűzött ki maga elé.

A Kaspersky kutatói 2021. júniusában megfigyelték, hogy a Lazarus-csoport a védelmi ipart támadja a MATA keretrendszerét alkalmazva, amely három operációs rendszert – a Windowst, a Linuxot és a macOS-t – képes célba venni. A Lazarus eddig különféle iparágak elleni kiberbűnőzéses támadásokhoz, többek között ügyféladatbázis-lopásokhoz és zsarolóvírus-terjesztéshez használta a MATA rendszert, most azonban a szakemberek azt tapasztalták, hogy kiberkémkedés céljára vetik be. A hekkercsoport a kiválasztott áldozata által használt alkalmazás trójai vírussal fertőzött verzióját alkalmazta – ez egyébként egy jól ismert, jellemző módszere a Lazarusnak. Nem ez az első alkalom egyébként, amikor a Lazarus-csoport a védelmi iparág ellen indít támadást, a korábbi ThreatNeedle elnevezésű akciójukat is hasonló módon hajtották végre 2020 közepén.

Kiderült az is, hogy a Lazarus ellátásilánc-támadási képességeket épít ki; ehhez egy frissített DeathNote klasztert használ, ami a korábban már az USA kiberbiztonsági és infrastruktúra-biztonsági ügynöksége (CISA) által is jelentett BLINDINGCAN malware enyhén módosított variánsát tartalmazza. A Kaspersky kutatói olyan kampányokra bukkantak, amelyek egy dél-koreai kutatóközpontot és egy informatikai eszközfelügyeleti megoldásokat gyártó vállalatot támadtak. A szakemberek által felfedezett első esetnél a Lazarus olyan fertőzési láncot dolgozott ki, amely egy kártékony payloadot alkalmazó, egyébként legitim dél-koreai biztonsági szoftverből eredt; a második esetben pedig a célpont egy eszközfelügyeleti megoldásokat fejlesztő lettországi vállalat volt, amely nem tekinthető a Lazarus tipikus áldozatának. A fertőzési láncban a Lazarus egy „Racket” nevű letöltőprogramot használt, amelyet lopott tanúsítvánnyal írtak alá. A hekkercsoport sérülékeny webszervereket támadott, és feltöltött szkriptekkel szűrte és vezérelte a kártékony beépülő elemeket a sikeresen feltört gépeken.

„Ezek az új fejlemények két dologra világítanak rá: a Lazarust továbbra is érdekli a védelmi iparág, és eszköztárát az ellátási láncok iránti támadásokkal is bővíteni igyekszik. Nem ők az egyetlen APT-csoport azonban, amely ellátási láncok elleni támadást alkalmaz. Az előző negyedévben láthattunk már ilyen támadásokat a SmudgeX és a BountyGlad részéről is. Sikeres végrehajtásuk esetén az ellátási láncok elleni támadások pusztító károkat okozhatnak, és nem pusztán egy szervezetet érintően – ez világosan látszott a tavalyi SolarWinds támadásnál is. Az ilyen eszközökbe beruházó támadók jelenlétében ébernek kell maradnunk, és az adott fronton megvalósítandó védelmi erőfeszítésekre kell koncentrálnunk”

– fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

A harmadik negyedévi APT trendeket vizsgáló jelentés a Kaspersky csak előfizetők számára elérhető fenyegetéselemzési jelentéseinek megállapításait foglalja össze. A jelentések tartalmazzák többek között a behatolásra utaló jelekkel (Indicators of Compromise (IoC)) kapcsolatos adatokat, valamint az elemzést és a malware-vadászatot segítő YARA szabályokat is. További információ: intelreports@kaspersky.com

A Kaspersky kutatói szerint a vállalatok a következő intézkedések bevezetésével kerülhetik el, hogy áldozatul essenek az ismert vagy ismeretlen támadók általi célzott támadásoknak:

• A biztonsági műveleti központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz. A Kaspersky fenyegetéselemző portálja egyablakos hozzáférést biztosít a vállalat fenyegetéselemzéseinek adataihoz, többek között a Kaspersky által több mint 20 év alatt összegyűjtött kibertámadási adatokhoz és meglátásokhoz. A szolgáltatás válogatott funkcióihoz – melyek segítségével a felhasználók fájlokat, URL-eket és IP-címeket ellenőrizhetnek – itt lehet ingyenesen hozzáférni.
• Képezzék tovább a kiberbiztonsági csapatokat, hogy szembeszállhassanak a legújabb célzott fenyegetésekkel a GReAT csapat által kifejlesztett Kaspersky online tréning segítségével.
• Az incidensek elleni végpontszintű védelemhez, a kivizsgálásukhoz és a megfelelő időben történő orvoslásukhoz használjanak EDR megoldásokat, például a Kaspersky Endpoint Detection and Response
• Az alapvető végpontvédelem mellett alkalmazzanak olyan nagyvállalati szintű biztonsági megoldást is, amelyik már a korai szakaszban észleli a hálózati szintű fejlett fenyegetéseket, például a Kaspersky Anti Targeted Attack Platformot.
• Mivel sok célzott támadás adathalászattal vagy más pszichológiai manipulációs technológiával indul, tartsanak biztonságtudatossági képzést, és tanítsanak gyakorlati készségeket a csapatnak – például a Kaspersky Automated Security Awareness Platformon keresztül.

A harmadik negyedévi APT trendeket vizsgáló teljes jelentés Securelist.com weblapon olvasható.