Компанія ESET ― лідер у галузі інформаційної безпеки ― підготувала огляд активності APT-груп протягом травня-серпня 2022 року. Зокрема Україна продовжує бути ціллю російських груп кіберзлочинців, основна мета яких викрадення конфіденційних даних важливих організацій та державних установ. Також українські користувачі опинилися під прицілом атак зловмисників, які пов’язані з Північною Кореєю.
Варто зазначити, що APT-групи ― це угрупування висококваліфікованих хакерів, діяльність яких часто спонсорується певною державою. Їх метою є отримання конфіденційних даних урядових установ, високопоставлених осіб або стратегічних компаній та уникнення при цьому виявлення. Такі групи кіберзлочинців мають великий досвід та використовують складні шкідливі інструменти і експлойти з використанням невідомих раніше уразливостей.
Протягом травня-серпня 2022 року спеціалісти ESET не зафіксували зниження активності APT-груп, пов’язаних із росією, Китаєм, Іраном та Північною Кореєю. Навіть через дев’ять місяців після російського вторгнення Україна залишається головною мішенню APT-груп, пов’язаних із росією, зокрема вже відомих угрупувань Sandworm, а також Gamaredon, InvisiMole, Callisto та Turla.
У той же час інтерес зловмисників, пов’язаних із Північною Кореєю, спрямований на аерокосмічну та оборонну галузь, а також фінансові та криптовалютні компанії і біржі. На Близькому Сході організації в алмазній промисловості або пов’язані з нею підприємства стали мішенню групи Agrius, яка пов'язана з Іраном. Під час атаки на ланцюг постачання зловмисники несанкціоновано використовували ізраїльський пакет програм, який застосовується в цих компаніях.
На іншому кінці світу спеціалісти ESET виявили кілька атак групи MirrorFace, пов’язаної з Китаєм. У червні було виявлено новий підхід під час атак на дві організації в Японії з використанням архіву, який завантажує бекдор LODEINFO та документ-приманку Microsoft Word. Зловмисники надсилали підробні електронні листи на тему пропозицій про роботу та війни в Україні. В іншому випадку зловмисники націлювались на політичні та наукові організації в Японії, що, ймовірно, було спричинено виборами в Палату радників.
Які APT-групи атакували Україну?
APT-групи, пов’язані з росією, були досить активні в цей період 2022 року, спрямовуючи свої атаки на організації в Україні. Одна з найбільш активних російських APT-груп – Gamaredon – атакувала українські державні установи протягом першої половини 2022 року. Ця група постійно змінює свої інструменти, щоб уникнути виявлення.
Наприклад, щоб уникнути списків блокування на основі доменних імен, кіберзлочинці почали використовувати сторонню службу ip-api.com. При цьому деякі інструменти Gamaredon використовують спеціальні Telegram-канали для отримання IP-адрес своїх командних серверів (C&C). Кіберзлочинці також все частіше використовують PowerShell для створення набору шкідливих інструментів.
Також досі активна група InvisiMole, яка атакувала українські організації та дипломатичні установи у Східній Європі. Серед поширених інструментів, таких як завантажувач DNS, кіберзлочинці почали використовувати новий бекдор PassiveMole.
Крім цього, спеціалісти ESET також зафіксували різні кібератаки, пов’язані із повномасштабним вторгненням росії в Україну. Група Sandworm продовжує здійснювати атаки, використовуючи завантажувач ArguePatch, який застосовується для запуску програми CaddyWiper для знищення даних та Industroyer2. Разом із CERT-UA спеціалісти ESET виявили три жертви цих атак, серед яких установи місцевого самоврядування в Україні. Ймовірно, група Sandworm активно зливає інформацію, викрадену під час атак CaddyWiper, через Telegram.
Іншою активною групою, яка націлювалася на українських посадових осіб та оборонну промисловість за допомогою фішингу, була Callisto (також відома як ColdRiver або SEABORGIUM). Ця кібершпигунська група здійснює фішинг-атаки на облікові записи вебпошти. Кіберзлочинці мають фішингові сторінки для поширених сервісів вебпошти, таких як Gmail та Outlook, а також для спеціальних сторінок входу для організацій. Викрадені облікові дані жертв використовуються для доступу до конфіденційних електронних листів або завантаження файлів із хмарних сховищ.
Установи в Україні стають мішенню не лише з боку угрупувань, пов’язаних із росією. На підприємстві у аерокосмічній галузі в Україні було виявлено новий бекдор Mikroceen та набір шкідливих інструментів. Раніше дослідники ESET виявили, що той самий зразок Mikroceen використовувався китайськомовною групою кіберзлочинців для атак на високопрофільні мережі в Центральній Азії.
Ще одна APT-група Lazarus, що пов’язана з Північною Кореєю, у червні 2022 року атакувала державну установу в Україні. Цього разу кіберзлочинці розгорнули витончений набір інструментів у спробі обійти перевірку рішеннями з безпеки. Хоча основною метою атак було кібершпигунство, зловмисники також намагалися викрадати кошти.
Як запобігти атакам APT-груп?
Для протидії атакам APT-груп компаніям та державним установам важливо підвищувати рівень обізнаності своїх співробітників щодо кібербезпеки. Особливу увагу слід приділити захисту від фішингу, оскільки це один із найбільш поширених початкових векторів атак. При цьому організаціям важливо забезпечити використання багатофакторної автентифікації під час доступу до корпоративної мережі, що значно ускладнить роботу зловмисникам.
Також важливо пам’ятати, що ці APT-групи здебільшого здійснюють цілеспрямовані атаки. Кіберзлочинці зосереджені не лише на найпоширеніших операційних системах та програмах, а й активно розробляють та розгортають шкідливі інструменти для пристроїв macOS та Linux. Тому єдиного рішення з кібербезпеки для всіх не існує та кожна організація має застосовувати індивідуальний підхід, враховуючи свої ризики. Отримати розширені звіти про загрози, які допоможуть швидко реагувати на інциденти можна за посиланням.
Детальніше про діяльність APT-груп читайте у повному звіті ESET.
Читайте також:
Як посилити кібербезпеку компанії в умовах постійних атак ― 6 простих кроків
Безпека корпоративних пристроїв: три кроки для посилення захисту
Рейтинг Інтернет-загроз: Україна у п’ятірці цілей програм-вимагачів