SAMSUNG_022024B Advertisement SAMSUNG_022024B Advertisement SAMSUNG_022024B Advertisement

V bezpečí pred APT skupinami nie sú ani čínski používatelia

Bezpečnosť
0

Tak sme sa v našom Labe rozhodli, a aby sme to splnili, budeme striedať dva druhy – najnovšie si tak od našich výskumníkov môžete každé tri mesiace prečítať o hrozbách, ktoré sme zaznamenali za posledný polrok pri APT skupinách, a o tri mesiace neskôr všeobecný report o bezpečnostných hrozbách. Novú periodicitu publikovania sme začali sumárom aktivít vybraných skupín zameraných na pokročilé pretrvávajúce hrozby (APT).

SAMSUNG 042024 Advertisement

Najnovší APT report skúmal obdobie od októbra 2022 do konca marca 2023. Počas tohto obdobia sa na európske organizácie zameralo niekoľko skupín napojených na Čínu, ako napríklad Ke3chang a Mustang Panda. V Izraeli nasadila skupina OilRig napojená na Irán nový vlastný backdoor. Skupiny napojené na Severnú Kóreu sa naďalej zameriavali na juhokórejské a s Južnou Kóreou súvisiace subjekty. Skupiny APT napojené na Rusko boli aktívne najmä na Ukrajine a v krajinách EÚ, pričom skupina Sandworm použila de­štruktívne wipery na mazanie obsahu. Hrozby opísané v správe ESET APT Activity Report sú detegované technológiou ESET.

Skupina MirrorFace sa zamerala na Japonsko a implementovala nové spôsoby nasadenia malvéru. Operácia ChattyGoblin zas kompromitovala spoločnosť zaoberajúcu sa hazardnými hrami na Filipínach tým, že sa zamerala na jej zamestnancov zákazníckej podpory. Skupiny SideWinder a Donot Team napojené na Indiu sa naďalej zameriavali na vládne inštitúcie v južnej Ázii.

Okrem toho, že sa skupina Lazarus napojená na KĽDR zamerala na dodávateľa obranných zariadení v Poľsku prostredníctvom falošnej pracovnej ponuky od firmy Boeing, zaútočila aj na nezvyčajný cieľ – spoločnosť na správu dát v Indii. Útočníci pritom použili návnadu s tematikou spoločnosti Accenture.

Skupiny APT napojené na Rusko boli logicky aktívne najmä na Ukrajine a v krajinách EÚ, pričom skupina Sandworm nasadila wipery vrátane nového malvéru SwiftSlicer. Skupiny Gamaredon, Sednit a Dukes využívali zacielené spearphishingové e-maily. ESET takisto zistil, že e-mailovú platformu Zimbra zneužívala aj skupina Winter Vivern, ktorá je aktívna najmä v Európe. Výskumníci napokon zaznamenali výrazný pokles aktivity skupiny SturgeonPhisher, ktorá sa zameriava na vládnych zamestnancov stredoázijských krajín pro­stredníctvom spearphishingových e-mailov, čo nás vedie k presvedčeniu, že táto skupina momentálne mení svoju taktiku.

A keď sme pri APT skupinách, ktoré sú, žiaľ, v tomto stĺpčeku až príliš častým hosťom, náš výskumník v R&D centre v Montreale Facundo Muñoz objavil kampaň skupiny Evasive Panda, v ktorej boli aktualizačné kanály legitímnych čínskych aplikácií skompromitované s cieľom dodania inštalačiek pre malvér MgBot. Ide o vlajkovú loď kyberšpionážnych backdoorov od skupiny Evasive Panda. Začiatok tejto kampane datujeme až na rok 2020, pričom sme ho v Labe objavili začiatkom roka a jej obeťami sú čínski používatelia – poväčšine členovia medzinárodných mimovládnych organizácií.

Evasive Panda (známa aj ako BRONZE HIGHLAND a Daggerfly) je po čínsky komunikujúca APT skupina, ktorá je aktívna minimálne od roku 2012. V minulosti sme zaznamenali, ako vykonáva kyberšpionážne aktivity proti jednotlivcom v Číne, v Hongkongu, na Macau a v Nigérii. Jedna obeť tejto kampane sa nachádza v Nigérii a bola kompromitovaná prostredníctvom čínskeho softvéru Mail Master.

Keď naši výskumníci analyzovali pravdepodobnosť rôznych scenárov, ktoré by mohli vysvetliť, ako sa útočníkom podarilo doručiť malvér prostredníctvom legitímnych aktualizácií, ako najpravdepodobnejšie sa javia dve možnosti: kompromitácia v dodávateľskom reťazci alebo tzv. adversary-in-the-middle útok.

Modulárna architektúra MgBotu pritom umožňuje rozšíriť jeho funkcionality nasadením ďalších a ďalších modulov na napadnutom počítači. Medzi ne patrí klasické kyberšpionážne portfólio ako nahrávanie stlačenia klávesov, kradnutie súborov, citlivých údajov a obsahu z aplikácií Tencent na odosielanie správ QQ a WeChat či zachytávanie zvuku aj textu skopírovaného do schránky.

A na záver ešte jedna pozvánka z nášho výskumu na budúci rok, ktorú si však do kalendárov môžete zaznamenať už dnes. Starmus, globálny festival vedeckej komunikácie a spoločný nápad astrofyzika Garika Israeliana a gitaristu Queen Sira Briana Maya, smeruje v roku 2024 do Bratislavy. Môžete sa tešiť na prezentácie a diskusie s významnými vedcami, ale aj koncerty. Najväčšie témy budú životné prostredie a klíma, ale aj umelá inteligencia, genetické inžinierstvo či kybernetická bezpečnosť. Festival sa uskutoční 12. – 17. mája a lístky naň budú k dispozícii od októbra.

No dovtedy sa ešte veľakrát stretneme aj na týchto stránkach. Na najbližší mesiac vám ako vždy želám predovšetkým príjemné a bezpečné surfovanie online svetom.

Branislav Ondrášik, ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať