Распространенные APT-угрозы 2022: Украина остается главной целью кибершпионов

Компания ESET ― лидер в области информационной безопасности ― подготовила обзор активности APT-групп в течение мая-августа 2022 года. В частности, Украина продолжает быть целью российских групп киберпреступников, основная цель которых ― похищение конфиденциальных данных важных организаций и государственных учреждений. Также украинские пользователи оказались под прицелом атак злоумышленников, связанных с Северной Кореей.

Стоит отметить, что APT-группы ― это группировка высококвалифицированных хакеров, деятельность которых часто спонсируется определенным государством. Их целью является получение конфиденциальных данных правительственных учреждений, высокопоставленных лиц или стратегических компаний и избежание обнаружения. Такие группы киберпреступников имеют большой опыт и используют сложные вредоносные инструменты и эксплойты с использованием неизвестных ранее уязвимостей.

В мае-августе 2022 года специалисты ESET не зафиксировали снижения активности APT-групп, связанных с россией, Китаем, Ираном и Северной Кореей. Даже спустя девять месяцев после российского вторжения Украина остается главной мишенью APT-групп, связанных с россией, в том числе уже известных группировок Sandworm, а также Gamaredon, InvisiMole, Callisto и Turla.

В то же время интерес злоумышленников, связанных с Северной Кореей, направлен на аэрокосмическую и оборонную область, а также финансовые и криптовалютные компании и биржи. На Ближнем Востоке организации в алмазной промышленности или связанные с ней предприятия стали мишенью группы Agrius, связанной с Ираном. Во время атаки на цепь поставок злоумышленники несанкционированно использовали израильский пакет программ, применяемый в этих компаниях.

В другом конце света специалисты ESET обнаружили несколько кампаний группы MirrorFace, связанной с Китаем. В июне был выявлен новый подход при атаках на две организации в Японии с использованием архива, который загружает бэкдор LODEINFO и документ-приманку Microsoft Word. Злоумышленники отправляли поддельные электронные письма на тему предложений о работе и войне в Украине. В другом случае злоумышленники нацелились на политические и научные организации в Японии, что, вероятно, было вызвано выборами в Палату советников.

Российские APT-группы атаковали украинские государственные учреждения. ESET.

Рис.1. Цели APT-групп по странам и отраслям компаний.

Какие APT-группы атаковали Украину?

APT-группы, связанные с Россией, были достаточно активны в этот период 2022 года, направляя свои атаки на организации в Украине. Одна из наиболее активных российских APT-групп ― Gamaredon ― атаковала украинские государственные учреждения в течение первой половины 2022 года. Эта группа постоянно меняет свои инструменты, чтобы избежать обнаружения.

К примеру, чтобы избежать списков блокировки на основе доменных имен, киберпреступники начали использовать сторонний сервис ip-api.com. При этом некоторые инструменты Gamaredon используют специальные Telegram-каналы для получения IP-адресов своих командных серверов (C&C). Киберпреступники также все чаще используют PowerShell для создания набора вредоносных инструментов.

Также до сих пор активна группа InvisiMole, которая атаковала украинские организации и дипломатические учреждения в Восточной Европе. Среди распространенных инструментов, таких как загрузчик DNS, киберпреступники начали использовать новый бэкдор PassiveMole.

Кроме того, специалисты ESET также зафиксировали разные кибератаки, связанные с полномасштабным вторжением россии в Украину. Группа Sandworm продолжает атаковать, используя загрузчик ArguePatch, который применяется для запуска программы CaddyWiper для уничтожения данных и Industroyer2. Вместе с CERT-UA специалисты ESET обнаружили три жертвы этих атак, среди которых учреждения местного самоуправления в Украине. Вероятно, группа Sandworm активно сливает информацию, похищенную во время атак CaddyWiper, через Telegram.

Другой активной группой, которая нацеливалась на украинских должностных лиц и оборонную промышленность с помощью фишинга, была Callisto (также известная как ColdRiver или SEABORGIUM). Эта кибершпионская группа осуществляет фишинг-атаки на учетные записи веб-почты. У киберпреступников есть фишинговые страницы для распространенных сервисов веб-почты, таких как Gmail и Outlook, а также для специальных страниц входа для организаций. Похищенные учетные данные жертв используются для доступа к конфиденциальным сообщениям электронной почты или загрузке файлов из облачных хранилищ.

Учреждения в Украине становятся мишенью не только со стороны групп, связанных с россией. На предприятии в аэрокосмической области в Украине был обнаружен новый бэкдор Mikroceen и набор вредоносных инструментов. Ранее исследователи ESET обнаружили, что тот же образец Mikroceen использовался китайскоязычной группой киберпреступников для атак на высокопрофильные сети в Центральной Азии.

Еще одна APT-группа Lazarus, связанная с Северной Кореей, в июне 2022 года атаковала государственное учреждение в Украине. На этот раз киберпреступники развернули изощренный набор инструментов в попытке обойти проверку решениями по безопасности. Хотя основной целью атак был кибершпионаж, злоумышленники также пытались похищать денежные средства.

Как предотвратить атаки APT-групп?

Для противодействия атакам APT-групп компаниям и государственным учреждениям важно повышать уровень осведомленности своих сотрудников о кибербезопасности. Особое внимание следует уделить защите от фишинга, поскольку это один из наиболее распространенных начальных векторов атак. При этом организациям важно обеспечить использование многофакторной аутентификации при доступе к корпоративной сети, что значительно усложнит работу злоумышленникам.

Также важно помнить, что эти APT-группы в большинстве своем осуществляют целенаправленные атаки. Киберпреступники сосредоточены не только на самых распространенных операционных системах и программах, но и активно разрабатывают и развертывают вредоносные инструменты для устройств macOS и Linux. Поэтому единого решения по кибербезопасности для всех нет, и каждая организация должна применять индивидуальный подход, учитывая свои риски. Получить расширенные отчеты об угрозах, которые помогут быстро реагировать на инциденты, можно по ссылке.

Подробнее о деятельности APT-групп читайте в полном отчете ESET.

 

Читайте также:

Как усилить кибербезопасность компании в условиях постоянных атак ― 6 простых шагов

Безопасность корпоративных устройств: три шага для усиления защиты

Рейтинг Интернет-угроз: Украина в пятерке целей программ-вымогателей