Varovanie Kaspersky Nová sada nástrojov používaných proti priemyselným špionážnym systémom

nová

Posledná hodina

08:20 - Boris Johnson išiel do sebaizolácie! Bol v kontakte s osobou s pozitívnym testom na COVID-19

08:10 - George Puşcaş, správa po zrušení zápasu Rumunsko - Nórsko: Nemôžem uveriť, kde tento vírus skončil

08:00 - Toni Iuruc je ohromený! Simona Halep oznámila, čo ju robí šťastnou: Prekoná každú senzáciu

07:30 - DOKUMENT. Vyhlásenie sa znovu objavuje. Platí od dnešného dňa 16. novembra

07:00 - Pravoslávny kalendár 16. novembra. Sväté more sa dnes oslavuje! Mnoho detí nesie jeho meno! Komu hovoríme Všetko najlepšie k narodeninám

06:30 - horoskop 16. novembra. V pondelok je prezradená značka: Niekto o vás klebetil

06:00 - Penzión oznámil, že peniaze sú vrátené! Zadajte priamo na kartu v decembri

00:00 - Maďari podpálili celú Európu! Plán, ktorým sa chcú presadiť v EÚ

Vedci z Kaspersky objavili sériu mimoriadne dobre zameraných útokov na priemyselné systémy, ktorých počiatky siahajú do roku 2018. Vo svete pokročilých pretrvávajúcich hrozieb (APT) sú tieto útoky oveľa zriedkavejšie ako kampane proti diplomatom a iným politickým aktérom. Použitý súbor nástrojov, ktorý autori škodlivého softvéru pôvodne nazvali MT3, klasifikoval Kaspersky ako „MontysThree“. Vyhýba sa detekcii pomocou rôznych techník, vrátane hostovania komunikácie s riadiacim serverom vo verejných cloudových službách a skrytia hlavného modulu malvéru pomocou steganografie.

Vládne subjekty, diplomati a telekomunikační operátori bývajú preferovaným cieľom APT, pretože títo jednotlivci a inštitúcie prirodzene vlastnia vysoko dôverné a politicky citlivé informácie. Špionážne kampane proti priemyselným subjektom sú oveľa zriedkavejšie, môžu však mať pre tieto spoločnosti zničujúce následky. Preto sa vedci spoločnosti Kaspersky ponáhľali konať hneď, ako si všimli prácu MontysThree.

Za účelom vykonávania svojich špionážnych akcií MontysThree inštaluje malware program pozostávajúci zo štyroch modulov. Prvý - uploader - sa pôvodne nasadzuje pomocou súborov SFX RAR (archívy s automatickým rozbaľovaním), ktoré obsahujú názvy súvisiace so zoznamami kontaktov zamestnancov, technickou dokumentáciou alebo výsledkami lekárskych testov, aby povzbudili zamestnancov k sťahovaniu súborov - bežnou technikou. phishing oštepom. Zavádzač najskôr zaistí, aby sa v systéme nezistil malware; Použite na to techniku ​​známu ako steganografia.

Steganografia sa používa na skrytie skutočnosti, že sa údaje menia. V prípade MontysThree je hlavný modul malvéru maskovaný ako bitmapový súbor (formát na ukladanie digitálnych obrázkov). Ak je zadaný správny príkaz, zavádzač použije vlastný algoritmus na dešifrovanie obsahu pixlového poľa a spustenie kódu škodlivého softvéru.

Hlavný modul používa na ochranu proti detekcii niekoľko vlastných šifrovacích techník, konkrétne použitie algoritmu RSA na šifrovanie komunikácie s riadiacim serverom a na dešifrovanie hlavných „úloh“, ktoré malvér zadáva. Patrí sem vyhľadávanie dokumentov so špecifickými príponami v konkrétnych adresároch. MontysThree je navrhnutý tak, aby špecificky zameral dokumenty Microsoft a Adobe Acrobat; môže tiež snímať snímky obrazovky a zachytiť „odtlačok prsta“ cieľa (zhromaždiť informácie o nastaveniach siete, názve hostiteľa atď.), aby zistil, či to útočníkov zaujíma.

Zhromaždené informácie a ďalšia komunikácia s riadiacim serverom sú potom hostené vo verejných cloudových službách, ako sú Google, Microsoft a Dropbox. Toto sťažuje detekciu komunikačného prenosu ako škodlivého a pretože tieto služby neblokuje žiadny antivírus, zaručuje, že riadiaci server môže vykonávať nepretržité príkazy.

MontysThree tiež používa jednoduchú metódu na získanie vytrvalosti v infikovanom systéme - modifikátor pre rýchle spustenie systému Windows. Používatelia, bez toho, aby o tom vedeli, sami spustia pôvodný modul škodlivého softvéru pri každom použití legitímnych aplikácií, ako sú napríklad prehľadávače, pri použití panela nástrojov Rýchle spustenie.

Spoločnosti Kaspersky sa nepodarilo nájsť podobnosť s inými známymi APT v škodlivom kóde alebo infraštruktúre.
MontysThree je zaujímavý nielen tým, že sa zameriava na priemyselné systémy, ale aj kombináciou sofistikovaných TTP s niektorými „amatérskymi“ úrovňami. Všeobecne sa zložitosť líši od modulu k modulu, ale nedá sa porovnať s úrovňou používanou najvyspelejšími APT. Používa však silné kryptografické štandardy a začleňuje niektoré zaujímavé technické rozhodnutia vrátane vlastnej steganografie. Asi najdôležitejším aspektom je, že útočníci vyvinuli značné úsilie na vývoj súboru nástrojov MontysThree, čo naznačuje, že sú odhodlaní k dosiahnutiu svojich cieľov - a že to nebude krátkodobá kampaň, “uviedol Denis Legezo, vedúci bezpečnostný pracovník tímu. Globálny výskum a analýza spoločnosti Kaspersky GReAT.

Viac informácií o MontysThree nájdete na Securelist. Podrobné informácie o indikátoroch záväzkov tejto skupiny vrátane hashov súborov sú prístupné na portáli Kaspersky Threat Intelligence Portal.
Zaregistrujte sa na [e-mail chránený] a sledujte prezentáciu MontysThree a ďalšie informácie o APT a objavoch najvyššej úrovne pre kybernetickú bezpečnosť nájdete tu: https://kas.pr/tr59

Na ochranu vašich organizácií pred útokmi, ako je MontysThree, odborníci spoločnosti Kaspersky odporúčajú:

  • Poskytnite svojim zamestnancom základné školenie o hygiene v oblasti kybernetickej bezpečnosti, pretože veľa cielených útokov začína phishingom alebo inými technikami sociálneho inžinierstva. Vykonajte simulovaný phishingový útok a uistite sa, že zamestnanci vedia, ako rozlíšiť phishingové e-maily.
  • Poskytnite svojmu tímu SOC prístup k najnovším informáciám o IT hrozbách. Kaspersky Endpoint Portal je jedinečný prístupový bod pre IT, ktorý poskytuje údaje o útokoch zhromažďovaných spoločnosťou Kaspersky už viac ako 20 rokov.
  • V prípade riešení na zisťovanie, vyšetrovanie a včasné riešenie problémov s koncovými bodmi implementujte riešenia EDR, ako napríklad Kaspersky Endpoint Detection and Response.
  • Okrem prijatia Endpoint Essential Protection nasaďte podnikové riešenie zabezpečenia, ktoré v ranom štádiu detekuje pokročilé hrozby na úrovni siete, ako je napríklad platforma Kaspersky Anti Targeted Attack Platform.
  • Uistite sa, že chránite svoje priemyselné aj firemné ciele. Riešenie Kaspersky Industrial CyberSecurity obsahuje vyhradenú ochranu koncových bodov a monitorovanie siete na detekciu akýchkoľvek podozrivých a potenciálne škodlivých aktivít v priemyselnej sieti.

Ak sa vám páčia zverejnené materiály, pozývame vás, aby ste nás sledovali na našej facebookovej stránke