Предупреждение Kaspersky Нов набор от инструменти, използвани срещу индустриални системи за шпионаж

набор

Последен час

08:20 - Борис Джонсън влезе в самоизолация! Той е бил в контакт с лице с положителен тест за COVID-19

08:10 - Джордж Пушкаш, съобщение след отмяна на мача Румъния-Норвегия: Не мога да повярвам къде е попаднал този вирус

08:00 - Тони Юрук е зашеметен! Симона Халеп обяви какво я прави щастлива: Тя ще преодолее всяка сензация

07:30 - ДОКУМЕНТ. Самодекларацията се появява отново. Прилага се от днес, 16 ноември

07:00 - Православен календар 16 ноември. Свето море празнува днес! Много деца носят името му! Кого наричаме Честит рожден ден

06:30 - Хороскоп 16 ноември. В понеделник се издава знак: Някой го клюкарстваше

06:00 - Пансионната къща обяви: Парите се връщат! Въведете директно на картата през декември

00:00 - Унгарците опожариха цяла Европа! Планът, с който искат да се наложат в ЕС

Изследователите на Kaspersky откриха поредица от изключително добре насочени атаки срещу индустриални системи, датиращи от 2018 г. Те са много по-редки в света на напреднали постоянни заплахи (APT), отколкото кампании срещу дипломати и други политически участници. Използваният набор от инструменти - първоначално наречен MT3 от авторите на зловредния софтуер - беше класифициран от Kaspersky като "MontysThree". Той използва различни техники за избягване на откриването, включително хостинг комуникации с контролния сървър на публични облачни услуги и скриване на основния зловреден модул с помощта на стеганография.

Правителствените структури, дипломатите и телекомуникационните оператори са склонни да бъдат предпочитаната цел за APT, тъй като тези лица и институции естествено притежават силно поверителна и политически чувствителна информация. Шпионските кампании срещу промишлени предприятия са много по-редки, но могат да имат опустошителни последици за тези компании. Ето защо изследователите на Kaspersky побързаха да действат веднага щом забелязаха работата на MontysThree.

За да извърши своите шпионски действия, MontysThree инсталира програма за зловреден софтуер, състояща се от четири модула. Първият - зареждачът - първоначално се разпространява с помощта на RX SFX файлове (архиви с автоматично разархивиране), които съдържат имена, свързани със списъци с контакти на служители, техническа документация или резултати от медицински анализ, за ​​да насърчат служителите да изтеглят файловете - често срещана техника. копие фишинг. Заредителят първо се уверява, че в системата не се открива злонамерен софтуер; за да направи това, той използва техника, известна като стеганография.

Стеганографията се използва, за да се скрие фактът, че данните се променят. В случая на MontysThree основният модул за зловреден софтуер е маскиран като растерни файлове (формат за съхранение на цифрови изображения). Ако е въведена правилната команда, зареждащият ще използва персонализиран алгоритъм за декриптиране на съдържанието на пикселния масив и стартиране на кода на зловредния софтуер.

Основният модул използва няколко собствени техники за криптиране, за да избегне откриването, а именно използването на RSA алгоритъм за криптиране на комуникации с контролния сървър и за декриптиране на основните „задачи“, зададени от зловредния софтуер. Те включват търсене на документи със специфични разширения в конкретни директории. MontysThree е проектиран да насочва специално към документи на Microsoft и Adobe Acrobat; той може също да направи екранни снимки и да заснеме „пръстовия отпечатък“ на целта (да събере информация за мрежовите настройки, името на хоста и т.н.), за да види дали е от интерес за нападателите.

След това събраната информация и други комуникации с контролния сървър се хостват в публични облачни услуги като Google, Microsoft и Dropbox. Това прави комуникационния трафик трудно откриваем като злонамерен и тъй като нито един антивирус не блокира тези услуги, той гарантира, че контролният сървър може да изпълнява непрекъснати команди.

MontysThree също използва прост метод за постигане на постоянство в заразената система - модификатор за бързо стартиране на Windows. Без да знаят потребителите, те сами стартират оригиналния модул за злонамерен софтуер, всеки път, когато стартират легитимни приложения, като браузъри, когато използват лентата с инструменти за бързо стартиране.

Kaspersky не успя да намери прилики с други известни APT в злонамерен код или инфраструктура.
MontysThree е интересен не само защото е насочен към индустриални системи, но и поради комбинацията от усъвършенствани TTP с някои такива на „аматьорско“ ниво. Като цяло, сложността варира от модул на модул, но не може да се сравни с нивото, използвано от най-напредналите APT. Той обаче използва силни криптографски стандарти и включва някои интересни технически решения, включително персонализирана стеганография. Може би най-важният аспект е, че нападателите са положили значителни усилия за разработването на инструментариума MontysThree, предполагайки, че са решени да постигнат целите си - и че това няма да е краткотрайна кампания “, каза Денис Легезо, старши изследовател по сигурността в Екипа. Глобални изследвания и анализи на Kaspersky GReAT.

Научете повече за MontysThree в Securelist. Подробна информация за показателите за ангажираност на тази група, включително хешове на файлове, можете да получите на Kaspersky Threat Intelligence Portal.
Регистрирайте се на [имейл защитен], за да гледате презентацията на MontysThree и да научите повече за APT и открития за най-високо ниво на киберсигурност тук: https://kas.pr/tr59

За да защитите организациите си от атаки като MontysThree, експертите на Kaspersky препоръчват:

  • Предоставете на персонала си основно обучение по хигиена по киберсигурност, тъй като много насочени атаки започват с фишинг или други техники за социално инженерство. Извършете симулирана фишинг атака, за да сте сигурни, че служителите знаят как да различават фишинг имейли.
  • Дайте на вашия екип SOC достъп до най-новата информация за ИТ заплахите. Kaspersky Endpoint Portal е уникална точка за достъп за ИТ, предоставяща данни за атаки, събрани от Kaspersky за повече от 20 години.
  • За решения за откриване, разследване и навременни решения за отстраняване на неизправности внедрете EDR решения като Kaspersky Endpoint Detection and Response.
  • В допълнение към приемането на Endpoint Essential Protection, внедрете решение за защита на корпоративно ниво, което открива напреднали заплахи на ниво мрежа на ранен етап, като например Kaspersky Anti Target Attack Platform.
  • Уверете се, че защитавате както индустриалните, така и корпоративните си цели. Решението на Kaspersky Industrial CyberSecurity включва специална защита на крайната точка и мониторинг на мрежата за откриване на всяка подозрителна и потенциално вредна дейност в индустриалната мрежа.

Ако харесвате публикуваните материали, каним ви да ни следвате на нашата страница във Facebook