Предупредување Kaspersky Нов сет на алатки што се користат против индустриските системи за шпионажа

предупредување

Последен час

08:20 - Борис Johnонсон замина во самоизолација! Тој бил во контакт со лице со позитивен тест за КОВИД-19

08:10 - Georgeорџ Пушкаш, порака по откажувањето на натпреварот Романија-Норвешка: Не можам да верувам каде заврши овој вирус

08:00 часот - Тони Ирук е запрепастен! Симона Халеп објави што ја прави среќна: Таа ќе ја надмине секоја сензација

07:30 - ДОКУМЕНТ. Само-изјавата повторно се појавува. Се применува од денес, 16 ноември

07:00 часот - православен календар 16 ноември. Светото море се слави денес! Многу деца го носат неговото име! Кого го нарекуваме среќен роденден

06:30 - хороскоп на 16 ноември. Во понеделник е предаден знак: Некој ве озборувал

06:00 часот - Пензискиот дом го објави соопштението: Парите се враќаат! Внесете директно на картичката во декември

00:00 - Унгарците ја запалија цела Европа! Планот со кој тие сакаат да се наметнат во ЕУ

Истражувачите на Касперски откриле серија исклучително добро насочени напади против индустриските системи, датираат уште од 2018 година. Овие се многу поретки во светот на напредните постојани закани (АПТ) отколку кампањите против дипломатите и другите политички актери. Користениот пакет алатки - оригинално наречен MT3 од авторите на малициозен софтвер - беше класифициран од Касперски како „MontysThree“. Користи различни техники за да избегне откривање, вклучувајќи хостирање комуникации со контролниот сервер на јавните облачни услуги и криење на главниот модул за малициозен софтвер со употреба на стеганографија.

Владините субјекти, дипломатите и телекомуникациските оператори имаат тенденција да се претпочитаат цел за АПТ, бидејќи овие лица и институции природно поседуваат високо доверливи и политички чувствителни информации. Шпионските кампањи против индустриските субјекти се многу поретки, но можат да имаат катастрофални последици за тие компании. Затоа истражувачите на Касперски побрзаа да дејствуваат веднаш штом ја забележаа работата на МонтиТтри.

Со цел да ги спроведе своите активности за шпионажа, MontysThree инсталира програма за малициозен софтвер составена од четири модули. Првиот - поставувачот - првично е распореден со користење на RAR-датотеки SFX (автоматски отпакувани архиви), кои содржат имиња поврзани со списоците за контакти на вработените, техничка документација или резултати од медицински тест, за да ги охрабри вработените да ги преземаат датотеките - вообичаена техника. копје-фишинг. Вчитувачот прво проверува дека малициозен софтвер не е откриен на системот; За да го направите ова, користете техника позната како стеганографија.

Стеганографијата се користи за да се скрие фактот дека податоците се менуваат. Во случај на MontysThree, главниот модул за малициозен софтвер е преправен во битмап-датотека (формат за зачувување на дигитални слики). Ако е внесена точната команда, натоварувачот ќе користи сопствен алгоритам за дешифрирање на содржината на низата пиксели и за извршување на кодот на малициозен софтвер.

Главниот модул користи неколку комерцијални техники на криптирање за да избегне откривање, имено употреба на алгоритам RSA за шифрирање на комуникациите со контролниот сервер и за дешифрирање на главните „задачи“ доделени од малициозен софтвер. Овие вклучуваат пребарување документи со специфични додатоци во специфични директориуми. MontysThree е дизајниран да ги насочи конкретно документите на Microsoft и Adobe Acrobat; исто така може да снима слики од екранот и да го фати „отпечатокот од прстот“ на целта (да собере информации за мрежните поставки, името на домаќинот итн.) за да види дали е од интерес за напаѓачите.

Собраните информации и другите комуникации со контролниот сервер потоа се хостираат на јавни облачни услуги како што се Google, Microsoft и Dropbox. Ова го отежнува сообраќајот на комуникациите да се открие како злонамерен и бидејќи ниту еден антивирус не ги блокира овие услуги, се осигура дека контролниот сервер може да извршува непрекинати команди.

MontysThree исто така користи едноставен метод за да добие упорност на заразениот систем - модификатор за брзото стартување на Виндоус. Не знаејќи за корисниците, тие го стартуваат оригиналниот модул за малициозен софтвер самостојно, секогаш кога извршуваат легитимни апликации, како што се прелистувачи, кога ја користат лентата со алатки Брзо стартување.

Касперски не успеа да најде сличности со другите познати APT во малициозен код или инфраструктура.
MontysThree е интересен не само затоа што е насочен кон индустриски системи, туку и поради комбинацијата на софистицирани TTP со некои „аматерски“ ниво. Општо, софистицираноста варира од модул до модул, но не може да се спореди со нивото што го користат најнапредните APT. Сепак, тој користи силни криптографски стандарди и вклучува неколку интересни технички одлуки, вклучително и сопствена стеганографија. Можеби најважниот аспект е што напаѓачите вложија значителни напори да го развијат пакетот алатки MontysThree, што сугерира дека тие се решени за своите цели - и дека ова нема да биде краткотрајна кампања “, рече Денис Легезо, постар истражувач за безбедност во тимот. Глобални истражувања и анализи на Kaspersky GReAT.

Дознајте повеќе за MontysThree на Securelist. Детални информации за индикаторите за посветеност на оваа група, вклучително и хаширање датотеки, може да се добијат на порталот за разузнавање на заканите на Касперски.
Пријавете се на [заштитена по е-пошта] за да ја гледате презентацијата MontysThree и да дознаете повеќе за највисоките APT за сајбер безбедност и откритијата тука: https://kas.pr/tr59

За да ги заштитите вашите организации од напади како MontysThree, експертите од Касперски препорачуваат:

  • Обезбедете му на вашиот персонал основна обука за хигиена за компјутерска безбедност, бидејќи многу насочени напади започнуваат со фишинг или други техники за социјален инженеринг. Изведете симулиран напад за фишинг за да бидете сигурни дека вработените знаат да разликуваат е-пошта за фишинг.
  • Дајте му пристап на вашиот тим на СОЦ до најновите информации за ИТ заканите. Kaspersky Endpoint Portal е единствена пристапна точка за ИТ, обезбедувајќи податоци за нападите собрани од Kaspersky повеќе од 20 години.
  • За решенија за откривање на крајна точка, истрага и навремено решавање проблеми, имплементирајте решенија за EDR, како што се Kaspersky Endpoint Detection and Response.
  • Покрај усвојувањето на Суштинска заштита на крајната точка, распоредете безбедносно решение на корпоративно ниво кое открива напредни закани на ниво на мрежа во рана фаза, како што е платформата за анти-насочен напад на Касперски.
  • Бидете сигурни дека ги заштитувате вашите индустриски, како и вашите корпоративни цели. Решението Kaspersky Industrial CyberSecurity вклучува посветена заштита на крајната точка и следење на мрежата за откривање на какви било сомнителни и потенцијално штетни активности во индустриската мрежа.

Доколку ви се допаѓаат објавените материјали, ве покануваме да не следите на нашата страница на Фејсбук