W pierwszym kwartale 2019 r. badacze z Kaspersky Lab zaobserwowali wiele nowych incydentów. Główną kampanią APT, jaka miała miejsce w badanym okresie, była operacja ShadowHammer. To zaawansowana kampania ukierunkowana wykorzystująca łańcuch dostaw w celu rozprzestrzeniania infekcji na niewiarygodnie szeroką skalą w połączeniu ze starannie wdrożonymi technikami umożliwiającymi precyzyjne ataki na wybrane ofiary.

Inne istotne trendy dotyczące ataków APT w I kwartale 2019 r:

• Geopolityka stanowiła istotny czynnik motywujący aktywność cyberprzestępców – często występował wyraźny związek pomiędzy wydarzeniami politycznymi a ukierunkowaną szkodliwą aktywnością.

• Azja Południowo-Wschodnia pozostała najgorętszym regionem na świecie pod względem ataków APT – to tam skupiło się najwięcej ugrupowań, najwięcej aktywności, najwięcej zamieszania.  

• W porównaniu z ostatnimi latami ugrupowania rosyjskojęzyczne pozostawały mało widoczne, być może z powodu wewnętrznej restrukturyzacji. Nadal jednak obserwowana była stała aktywność oraz rozprzestrzenianie szkodliwego oprogramowania ze strony ugrupowań Sofacy oraz Turla.      

• Chińskojęzyczne ugrupowania nadal odznaczały się wysokim poziomem aktywności, przeprowadzając zarówno zaawansowane, jak i poste kampanie. Przykładem może być aktywne od 2012 r. ugrupowanie znane jako CactusPete, które w pierwszym kwartale stosowało nowe i uaktualnione narzędzia, w tym nowe warianty narzędzi pobierających szkodliwy kod i otwierających tylne furtki w systemach ofiar, jak również przywłaszczonego, a następnie zmodyfikowanego exploita dnia zerowego VBScript należącego do ugrupowania DarkHotel.         

• Passą zdają się cieszyć dostawcy „komercyjnego” szkodliwego oprogramowania dla rządów i innych podmiotów. Badacze zidentyfikowali nowy wariant szkodnika FinSpy, jak również operację LuckyMouse, w której wykorzystano publicznie dostępne narzędzia organizacji HackingTeam.

Raport dotyczący trendów w zakresie ataków APT w I kwartale stanowi podsumowanie wyników raportów z analizy zagrożeń, które są dostępne wyłącznie dla subskrybentów Kaspersky Lab i obejmują oznaki infekcji (ang. IoC) oraz reguły YARA, przydatne w informatyce śledczej oraz polowaniu na szkodliwe oprogramowanie.

Żródło: Kaspersky Lab