A Cloud Atlas polimorf malware-rel bővítette fegyverarzenálját

|

Az Inception néven is ismert Cloud Atlas fejlett tartós fenyegetés (APT) új eszközökkel bővítette támadóarzenálját és ezek révén elkerülheti, hogy a standard behatolásra utaló jeleken (Indicators of Compromise) keresztül felfedezzék.

A Cloud Atlas egy olyan támadóeszköz, amely már komoly múltra tekint vissza az iparágakat, kormányügynökségeket és más szervezeteket érő kiberkémkedési támadások terén. Először 2014-ben azonosították, és azóta is folyamatosan aktív. A Kaspersky kutatói nemrégiben a nemzetközi gazdasági és repülőgép-ipari szektorokat, valamint a kormányzati és vallási szervezeteket érintően észleltek Cloud Atlas támadásokat többek között Portugáliában, Romániában, Törökországban, Ukrajnában, Oroszországban, Türkmenisztánban, Afganisztánban és Kirgizisztánban. A sikeres behatolást követően a Cloud Atlas:

·       információkat gyűjt a rendszerről, amelyhez hozzáférést szerzett;

·       naplózza a jelszavakat;

·       kivonja a legfrissebb .txt .pdf. xls és .doc fájlok adatait egy parancs- és vezérlőszerverre.

Bár a Cloud Atlas támadási taktikája 2018 óta nem változott jelentősen, az újabb támadási hullámokkal kapcsolatos kutatások feltárták, hogy a vírus újfajta módon kezdi fertőzni áldozatait, és oldalirányba mozog a hálózatukban.

Régebben a Cloud Atlas először küldött egy adathalász e-mailt egy rosszindulatú csatolmánnyal együtt a célgépre. Amennyiben sikeres volt az első támadás, a mellékelt rosszindulatú PowerShower program először felderítést végzett, majd újabb rosszindulatú modulokat töltött le és ezzel lehetővé tette, hogy a kibertámadók véghez vigyék a teljes műveletet. 

A megújított fertőzési lánc egy későbbi szakaszra halasztja a PowerShower tevékenységet. A kezdeti fertőzés után most egy rosszindulatú HTML-alkalmazás töltődik le a célgépre és ott hajtja végre káros tevékenységét. Információkat gyűjt a megtámadott számítógépről, majd letölt és végrehajt egy másik rosszindulatú modult, a VBShowert. A VBShower törli a malware jelenlétének nyomait a rendszerből, majd parancs- és vezérlőszervereken keresztül konzultál a gazdáival a további teendőkről. A malware azután a kapott parancstól függően letölti és végrehajtja vagy a PowerShowert, vagy a Cloud Atlas egy másik jól ismert második szakaszbéli hátsó kapuját.

Bár ez az új fertőzési lánc általában véve jóval bonyolultabb a korábbi modellnél, a fő különbséget mégis a rosszindulatú HTML-alkalmazás és a VBShower modul polimorfikus volta jelenti. Ez annyit jelent, hogy a kód mindkét modulban minden egyes támadásnál új és egyedi lesz. A Kaspersky szakértői szerint a megújított verzió azért készült, hogy láthatatlanná tegye a malware-t az ismert behatolásra utaló jelekre (IoC) hagyatkozó biztonsági megoldások előtt.

"A biztonsági megoldásokat fejlesztő közösségen belül bevált gyakorlat a kutatások során felfedezett rosszindulatú behatolásra utaló jelek (IoC) egymással való megosztása. E gyakorlatnak köszönhetően elég gyorsan tudunk reagálni a folyamatosan jelentkező nemzetközi kiberkémkedési támadásokra, és megelőzhetjük az általuk okozott további károkat. Azonban, mint azt már 2016-ban is jeleztük, az IoC elavulttá vált, és már nem jelent megbízható eszközt a célzott támadások észleléséhez a hálózatban. Az első ilyen eset a ProjectSauron kapcsán merült fel, amikor is a rosszindulatú szoftver egyedi IoC-ket hozott létre minden egyes áldozat esetén, később pedig az lett a tendencia, hogy a kémkedési műveletekben nyílt forráskódú eszközöket használtak az egyediek helyett. A legújabb trendet pedig a nemrégiben észlelt polimorf malware képviseli. Ez nem azt jelenti, hogy a támadókat egyre nehezebb elkapni, hanem azt, hogy a biztonsági képességeknek és a védelmi eszközkészleteknek a lenyomozandó rosszindulatú támadók eszközkészletével és képességeivel párhuzamosan kell fejlődniük" - mondta Felix Aime, a Kaspersky Globális Kutató és Elemző Csapatának (GREAT) biztonsági kutatója.

A Kaspersky azt ajánlja a szervezeteknek, hogy használjanak a bűnözők által alkalmazott taktikákra, technikákra vagy tevékenységekre koncentráló támadásra utaló jelekkel (Indicators of Attack) bővített védő megoldásokat. Az IoA-k lenyomozzák az alkalmazott technikákat, bármilyen specifikus eszközöket használjanak is a támadók. A Kaspersky Endpoint Detection and Response, valamint a Kaspersky Anti Targeted Attack legújabb verziói már tartalmazzák az új IoA-adatbázist, amelyet a Kaspersky saját fenyegetésvadász szakemberei tartanak karban és frissítenek.

A Kaspersky további javaslatai szervezetek számára:

·       Részesítsék digitális biztonsággal kapcsolatos oktatásban dolgozóikat és magyarázzák el nekik, hogy miként ismerhetik fel és kerülhetik el a rosszindulatú e-maileket vagy hivatkozásokat. Vegyék fontolóra egy célzott ismeretterjesztő képzés bevezetését a munkatársak számára.

·       Használjanak spam- és adathalászat-blokkoló elemeket tartalmazó végpontvédelmi biztonsági megoldásokat, valamint alapértelmezett tiltási módra beállított alkalmazásvezérlő funkciót az illetéktelen alkalmazások futtatásának blokkolására - ilyen például a Kaspersky Endpoint Security for Business.

·       Az incidensek elleni végpontszintű védelemhez, kivizsgálásukhoz és a megfelelő időben történő orvoslásukhoz használjanak EDR megoldást, mint például a Kaspersky Endpoint Detection and Response szoftver, mert ezzel még az ismeretlen banki malware-ek is leleplezhetők.

·       Alkalmazzanak olyan nagyvállalati szintű biztonsági megoldást, amelyik már a korai szakaszban észleli a hálózatot érő fejlett fenyegetéseket, például a Kaspersky Anti Targeted Attack Platformot.

·       Integrálják a fenyegetéselemzést a biztonsági információ- és eseménykezelő (SIEM) szolgáltatásaikba és biztonsági kontrolljaikba, hogy hozzáférhessenek a legrelevánsabb és legnaprakészebb fenyegetési adatokhoz.

A teljes jelentés a Securelist.com weblapon olvasható.

A Kasperskyről
A Kaspersky egy 1997-ben alapított globális kiberbiztonsági vállalat. A Kaspersky internetes fenyegetésekkel kapcsolatos tudását és biztonsági szakértelmét folyamatosan innovatív biztonsági megoldások és szolgáltatások fejlesztésére használja, hogy védelmet kínáljon vállalkozások, a kritikus infrastruktúra, a kormányok és a fogyasztók számára világszerte. A vállalat széleskörű biztonsági portfóliójába vezető végpont védelmi és számos speciális biztonsági megoldás és szolgáltatás tartozik, az összetett és fejlődő digitális veszélyekkel elleni küzdelem érdekében. Több mint 400 millió felhasználót védenek a Kaspersky technológiái, valamint 270.000 vállalati ügyfélnek segítenek megóvni azt, ami a legfontosabb számukra. További információ: www.kaspersky.com

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.