Попередження Касперського Новий набір інструментів, що застосовуються проти промислових шпигунських систем

попередження

Остання година

08:20 - Борис Джонсон пішов у самоізоляцію! Він контактував з людиною, яка мала позитивний тест на COVID-19

08:10 - Джордж Пушкаш, повідомлення після скасування матчу Румунія - Норвегія: Я не можу повірити, куди потрапив цей вірус

08:00 - Тоні Юрук приголомшений! Симона Халеп оголосила, що робить її щасливою: вона подолає будь-яку сенсацію

07:30 - ДОКУМЕНТ. Самодекларація з’являється знову. Він застосовується з сьогоднішнього дня, 16 листопада

07:00 - православний календар 16 листопада. Святе море святкували сьогодні! Багато дітей носять його ім'я! Кого ми називаємо з днем ​​народження

06:30 - гороскоп 16 листопада. У понеділок видається знак: Хтось пліткував про вас

06:00 - Пенсійний будинок оголосив: Гроші повертають! Введіть прямо на картці в грудні

00:00 - Угорці підпалили всю Європу! План, за яким вони хочуть нав'язати себе в ЄС

Дослідники Касперського виявили низку надзвичайно добре націлених атак на промислові системи, починаючи з 2018 року. Вони є набагато рідшими у світі перспективних стійких загроз (АПТ), ніж кампанії проти дипломатів та інших політичних акторів. Набір інструментів, який спочатку автори шкідливого програмного забезпечення називали MT3, був класифікований Kaspersky як "MontysThree". Він використовує різноманітні методи, щоб уникнути виявлення, включаючи розміщення комунікацій із сервером управління на загальнодоступних хмарних послугах та приховування основного модуля зловмисного програмного забезпечення за допомогою стеганографії.

Державні структури, дипломати та оператори телекомунікацій, як правило, є переважною метою для АПТ, оскільки ці особи та установи, природно, мають дуже конфіденційну та політично делікатну інформацію. Шпигунські кампанії проти промислових підприємств набагато рідше, але можуть мати руйнівні наслідки для цих компаній. Ось чому дослідники Касперського поспішили діяти, як тільки помітили діяльність MontysThree.

Для здійснення своїх шпигунських дій MontysThree встановлює шкідливу програму, що складається з чотирьох модулів. Перший - завантажувач - спочатку розгортається із використанням SFX (автоматично розпаковуються архівів) RAR-файлів, які містять імена, пов’язані зі списками контактів працівників, технічною документацією або результатами медичних тестів, щоб заохотити працівників завантажувати файли - загальноприйнята техніка. списовий фішинг. Завантажувач спочатку переконується, що шкідливе програмне забезпечення не виявлено в системі; Для цього використовують техніку, відому як стеганографія.

Стеганографія використовується, щоб приховати той факт, що дані змінюються. У випадку з MontysThree основний модуль зловмисного програмного забезпечення маскується під растровий файл (формат для зберігання цифрових зображень). Якщо введено правильну команду, завантажувач використовуватиме власний алгоритм для дешифрування вмісту піксельного масиву та запуску шкідливого коду.

Основний модуль використовує кілька власних методів шифрування, щоб уникнути виявлення, а саме використання алгоритму RSA для шифрування зв'язку з сервером управління та для дешифрування основних "завдань", призначених шкідливим програмним забезпеченням. Сюди входить пошук документів із конкретними розширеннями у конкретних каталогах. MontysThree розроблений спеціально для націлювання на документи Microsoft та Adobe Acrobat; він також може робити знімки екрана та фіксувати "відбиток пальця" цілі (збирати інформацію про налаштування мережі, ім'я хосту тощо), щоб перевірити, чи це цікавить зловмисників.

Потім зібрана інформація та інший зв'язок із сервером управління розміщуються на загальнодоступних хмарних сервісах, таких як Google, Microsoft та Dropbox. Це ускладнює виявлення трафіку зв'язку як шкідливого, і оскільки жоден антивірус не блокує ці служби, це гарантує, що сервер управління може виконувати безперебійні команди.

MontysThree також використовує простий метод отримання стійкості в зараженій системі - модифікатор для швидкого запуску Windows. Не знаючи користувачів, вони запускають оригінальний модуль шкідливих програм самостійно, кожного разу, коли запускають законні програми, такі як браузери, під час використання панелі інструментів швидкого запуску.

Касперському не вдалося знайти схожості з іншими відомими APT у зловмисному коді або інфраструктурі.
MontysThree цікавий не тільки тим, що націлений на промислові системи, а й поєднанням складних ТТП з деякими "аматорськими" рівнями. Загалом, вишуканість варіюється від модуля до модуля, але не може бути порівняна з рівнем, який використовують найдосконаліші APT. Однак він використовує суворі криптографічні стандарти і включає деякі цікаві технічні рішення, включаючи спеціальну стеганографію. Мабуть, найважливішим аспектом є те, що зловмисники доклали значних зусиль для розробки набору інструментів MontysThree, припускаючи, що вони твердо налаштовані на досягнення своїх цілей, і що це не буде короткочасною кампанією ", - сказав Денис Легезо, старший дослідник з питань безпеки команди. Глобальні дослідження та аналіз Касперського GReAT.

Дізнайтеся більше про MontysThree у безпечному списку. Детальну інформацію про показники зобов’язань цієї групи, включаючи хеші файлів, можна отримати на порталі розвідки Kaspersky Threat Intelligence.
Зареєструйтесь за адресою [захищено електронною поштою], щоб переглянути презентацію MontysThree і дізнатися більше про APT та відкриття для кібербезпеки найвищого рівня тут: https://kas.pr/tr59

Щоб захистити свої організації від таких атак, як MontysThree, експерти Касперського рекомендують:

  • Надайте своїм працівникам базовий інструктаж з гігієни з кібербезпеки, оскільки багато цілеспрямованих атак починаються з фішингу чи інших методів соціальної інженерії. Виконайте змодельовану фішинг-атаку, щоб переконатися, що працівники знають, як розрізняти фішинг-електронні листи.
  • Надайте своїй команді SOC доступ до найсвіжішої інформації про ІТ-загрози. Kaspersky Endpoint Portal - це унікальна точка доступу для ІТ, яка надає дані про атаки, зібрані Kaspersky протягом 20 років.
  • Для вирішення проблем виявлення, розслідування та своєчасного вирішення проблем упровадьте рішення EDR, такі як виявлення кінцевої точки Касперського та відповідь.
  • На додаток до прийняття Endpoint Essential Protection, розгорніть рішення безпеки на корпоративному рівні, яке виявляє розширені загрози на мережевому рівні на ранній стадії, такі як Kaspersky Anti Target Attack Platform.
  • Переконайтеся, що ви захищаєте свої виробничі та корпоративні цілі. Рішення Kaspersky Industrial CyberSecurity включає спеціальний захист кінцевої точки та моніторинг мережі для виявлення будь-якої підозрілої та потенційно шкідливої ​​діяльності в промисловій мережі.

Якщо вам подобаються опубліковані матеріали, ми запрошуємо вас стежити за нами на нашій сторінці у Facebook