Развернулась очередная кампания кибершпионажа с использованием новых вредоносных программ по всему миру, включая организации в области СМИ, финансов, строительства и инженерии.
Обнаруженные компанией Symantec атаки на организации в США, Японии, Тайване и Китае проводятся с целью хищения информации и были связаны с группой хакеров, известной как «Palmerworm» - она же «BlackTech» - группировки со своей историей с 2013 года.
Расширение скоупа атак на США говорит о том, что группа активно развивает охват, географически разнообразит набор целей в своих кражах информации - хотя истинная ее мотивация остается неясной.
В некоторых случаях «Palmerworm» закреплялся в скомпрометированных сетях на год и более, часто с помощью тактики использования легитимного программного обеспечения и инструментов для сокрытия своей деятельности и источников атаки.
Исследователи не смогли определить как хакеры получали доступ к сети в последней серии атак «Palmerworm», но в предыдущих кампаниях для компрометации жертв использовались фишинговые электронные письма.
При развертывании вредоносного ПО часто используются кастомные загрузчики и средства сетевой разведки, аналогичные предыдущим кампаниям «Palmerworm», что дает исследователям повод считать, что за этими атаками стоит одна и та же группа.
Вредонос «Palmerworm» также использует украденные сертификаты подписи для усложнения обнаружения программами безопасности. Это также применялось одноименной хакерской группой.
Троян предоставляет злоумышленникам бэкдор в сети и этот доступ поддерживается с помощью нескольких легитимных инструментов, включая PSExec и SNScan, которые используются для развития и сокрытия атаки. WinRar используется для сжатия файлов, что облегчает их извлечение злоумышленниками из сети.
«Хакеры достаточно проницательны, идут в ногу со временем и следуют тенденциям использования общедоступных инструментов в целях сведения к минимуму риска обнаружения и организации противодействия атакам», заявил Дик О'Брайан, руководитель команды исследователей кибер-угроз в Symantec. «Как и многие продвинутые злоумышленники они, судя по всему, сводят к минимуму использование своих вредоносных программ, развертывая их только в случае необходимости»
Жертвами «Palmerworm» стали медиа-компания и финансовая компания на Тайване, строительная фирма в Китае и компания в США, в каждом случае злоумышленникам удавалось месяцами скрывать свое присутствие в корпоративной сети, получая доступ к зараженным ресурсам. Более короткие взломы длившиеся всего несколько дней были обнаружены в сетях компании по производству электроники на Тайване и инженерной компании в Японии.
Symantec поначалу не приписывал вредоносное ПО «Palmerworm» какой-либо конкретной группе, но тайваньские чиновники ранее заявляли, что нападения могут быть связаны с Китаем. Если это так, то это наводит на мысль, что китайские хакеры в рамках кампании нацелились на китайскую же компанию - хотя исследователи Symantec не опираются на эти заявления в своих изысканиях.
Однако несомненно, что, от чьего бы имени ни работал «Palmerworm», эта группа вряд ли прекратит свою деятельность и останется угрозой.
«Учитывая свежесть последних взломов, мы считаем, что группа все еще активна. Серьезный уровень перепрофилирования, который мы наблюдали, с использованием четырех новых видов вредоносных программ, предполагает наличие активно развивающейся группировки» - сообщают исследователи.
Природа продвинутых хакерских кампаний означает трудность их идентификации и защиты от них, организации должны пройти долгий путь к комплексной безопасности, получить четкое представление о своей сети и точно знать, как выглядит обычная и необычная активность в своей сети - и пресекать любую подозрительную деятельность, если это необходимо.
«Большинство атак шпионского типа не являются единичными событиями. Они представляют собой длинную цепь активностей, в которой злоумышленники используют один инструмент для выполнения одной задачи, другой - для выполнения следующей задачи, а затем перепрыгивают с одного компьютера на другой и т.д.» - сообщает Дик О'Брайан.
«Есть много шагов, которые должен предпринять атакующий, чтобы добраться до своей цели. Каждый отдельный шаг - это возможность обнаружения блокировки. Можно надеяться обнаружить атаку если не на одном шаге, то на следующем» - добавил он.
Перевод сделан со статьи : https://www.zdnet.com