| +11 голос |
|
Огляд активності APT-груп протягом травня-серпня 2022 року підготували спеціалісти компанії Eset. Зокрема Україна продовжує бути ціллю російських груп кіберзлочинців, основна мета яких викрадення конфіденційних даних важливих організацій та державних установ. Також українські користувачі опинилися під прицілом атак зловмисників, пов’язаних з Північною Кореєю.
Варто нагадати, що APT-групи – це угрупування досвідчених хакерів, діяльність яких часто спонсорується певною державою. Їх метою є отримання конфіденційних даних урядових установ, високопоставлених осіб або стратегічних компаній. Такі групи кіберзлочинців мають великий досвід та використовують складні шкідливі інструменти та експлойти невідомих раніше уразливостей.
Протягом травня-серпня спеціалісти Eset не зафіксували зниження активності APT-груп, пов’язаних із росією, Китаєм, Іраном та Північною Кореєю. Навіть через дев’ять місяців після початку повномасштабного російського вторгнення Україна залишається головною мішенню російських APT-груп, зокрема вже відомих угрупувань Sandworm, а також Gamaredon, InvisiMole, Callisto та Turla.
Одна з найбільш активних російських APT-груп – Gamaredon – атакувала українські державні установи протягом першого півріччя. Ця група постійно змінює свої інструменти, щоб уникнути виявлення.
Наприклад, для уникнення списків блокування на основі доменних імен, кіберзлочинці почали використовувати сторонню службу ip-api.com. При цьому деякі інструменти Gamaredon використовують спеціальні Telegram-канали для отримання IP-адрес своїх командних серверів (C&C). Кіберзлочинці також все частіше використовують PowerShell для створення набору шкідливих інструментів.
Також досі активна група InvisiMole, яка атакувала українські організації та дипломатичні установи у Східній Європі. Серед поширених інструментів, таких як завантажувач DNS, кіберзлочинці почали використовувати новий бекдор PassiveMole.
Крім цього, спеціалісти Eset також зафіксували різні кібератаки, пов’язані із повномасштабним вторгненням рф в Україну. Група Sandworm продовжує здійснювати атаки, використовуючи завантажувач ArguePatch, який застосовується для запуску програми CaddyWiper для знищення даних та Industroyer2. Разом із CERT-UA спеціалісти Eset виявили три жертви цих атак, серед яких установи місцевого самоврядування в Україні. Ймовірно, група Sandworm активно зливає інформацію, викрадену під час атак CaddyWiper, через Telegram.
Іншою активною групою, яка націлювалася на українських посадових осіб та оборонну промисловість за допомогою фішингу, була Callisto (також відома як ColdRiver або Seaborgium). Ця кібершпигунська група здійснює фішинг-атаки на облікові записи вебпошти. Кіберзлочинці мають фішингові сторінки для поширених сервісів вебпошти, таких як Gmail та Outlook, а також для спеціальних сторінок входу для організацій. Викрадені облікові дані жертв використовуються для доступу до конфіденційних електронних листів або завантаження файлів із хмарних сховищ.
Установи в Україні стають мішенню не лише з боку угрупувань, пов’язаних із росією. На підприємстві аерокосмічної галузі в Україні було виявлено новий бекдор Mikroceen та набір шкідливих інструментів. Раніше дослідники Eset виявили, що той самий зразок Mikroceen використовувався китайськомовною групою кіберзлочинців для атак на високопрофільні мережі в Центральній Азії.
Ще одна APT-група Lazarus, що пов’язана з Північною Кореєю, у червні атакувала державну установу в Україні. Цього разу кіберзлочинці розгорнули витончений набір інструментів у спробі обійти перевірку рішеннями з безпеки. Хоча основною метою атак було кібершпигунство, зловмисники також намагалися викрадати кошти.
Для протидії атакам APT-груп компаніям та державним установам важливо підвищувати рівень обізнаності своїх співробітників щодо кібербезпеки. Особливу увагу слід приділити захисту від фішингу, оскільки це один із найбільш поширених початкових векторів атак. При цьому організаціям важливо забезпечити використання багатофакторної автентифікації під час доступу до корпоративної мережі, що значно ускладнить роботу зловмисникам.
Стратегія охолодження ЦОД для епохи AI
| +11 голос |
|
