Poznaj schemat działania rosyjskojęzycznych cybergangów

05-10-2018, 12:34

Badacze monitorujący różne podgrupy rosyjskojęzycznego cybergangu Turla odkryli, że najnowsza odmiana jego szkodnika, KopiLuwak, jest rozprzestrzeniana przy użyciu kodu, który jest niemal identyczny jak ten wykorzystany zaledwie miesiąc wcześniej przez Zebrocy, podgrupę innego rosyjskojęzycznego ugrupowania o nazwie Sofacy Badacze ustalili również, że oba ugrupowania atakują podobne cele.

Wyniki nowego badania Kaspersky Lab zostały przedstawione w przeglądzie ewolucji oraz aktywności czterech aktywnych podgrup zaliczanych do gangu Turla.

KopiLuwak (nazwa pochodzi od rzadkiego gatunku kawy) został po raz pierwszy wykryty w listopadzie 2016 r. Szkodnik dostarczał dokumenty ze szkodliwym oprogramowaniem oraz włączoną obsługą makr, które pobierały na maszynę ofiary nowe, starannie zamaskowane narzędzie, którego celem było przeprowadzenie rekonesansu systemu i sieci. Najnowszy etap ewolucji KopiLuwaka miał miejsce w połowie 2018 r., gdy badacze zidentyfikowali nowe cele tego szkodnika w Syrii i Afganistanie. Ugrupowanie Turla zastosowało nową technikę — spersonalizowane wiadomości phishingowe z wykorzystaniem skrótów systemu Windows (pliki .LNK). Analiza wykazała, że plik LNK zawierał wiersz polecenia PowerShell, którego celem było odszyfrowanie i umieszczenie na komputerze ofiary szkodliwej funkcji. Skrypt był niemal identyczny jak ten wykorzystywany miesiąc wcześniej przez gang Zebrocy.

Badacze ustalili również, że cele tych dwóch ugrupowań w pewnym stopniu pokrywają się i mają charakter polityczny — obejmowały one między innymi rządowe placówki zajmujące się badaniami i bezpieczeństwem, misje dyplomatyczne oraz obiekty wojskowe, głównie w Azji Środkowej.

W 2018 roku cele podgrup związanych ze szkodliwym oprogramowaniem Turla były zlokalizowane na Bliskim Wschodzie oraz w Afryce Północnej, jak również w niektórych częściach Europy Zachodniej i Wschodniej, Azji Środkowej i Południowej oraz w Ameryce Północnej i Południowej.

Organizacjom, które chcą ograniczyć ryzyko znalezienia się wśród ofiar zaawansowanych ataków ukierunkowanych, zaleca się rozważenie następujących działań:

  • Korzystanie ze sprawdzonego rozwiązania bezpieczeństwa klasy korporacyjnej w połączeniu z technologiami umożliwiającymi zwalczanie ataków ukierunkowanych oraz analizą zagrożeń. Rozwiązania takie potrafią zidentyfikować i przechwycić zaawansowane ataki ukierunkowane poprzez analizę anomalii sieciowych oraz zapewnić zespołom ds. cyberbezpieczeństwa pełną widoczność sieci oraz automatyzację reakcji.
  • Zapewnienie personelowi odpowiedzialnemu za bezpieczeństwo dostępu do najnowszych danych analizy zagrożeń, które wyposażą go w pomocne narzędzia służące do badania i zapobiegania atakom ukierunkowanym, takie jak oznaki włamania (IoC), reguły YARA oraz zindywidualizowane raporty dotyczące zaawansowanych zagrożeń.
  • Wdrożenie procesów zarządzania łatami i dokładne sprawdzanie wszystkich konfiguracji systemowych, jak również stosowanie najlepszych praktyk odnośnie bezpieczeństwa.

W przypadku rozpoznania wczesnych sygnałów wskazujących na atak ukierunkowany należy rozważyć zastosowanie usługi ochrony, które umożliwią proaktywne wykrywanie zaawansowanych zagrożeń.

Źródło: Kaspersky Lab


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2018»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31 

Reklama:

pożyczki

Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.