Figyelem: Kaspersky Új eszközkészlet, amelyet az ipari kémrendszerek ellen használnak

kémrendszerek

Utolsó óra

08:20 - Boris Johnson önszigetelésbe került! Olyan személlyel volt kapcsolatban, akinek a COVID-19 tesztje pozitív volt

08:10 - George Puşcaş, üzenet a Románia – Norvégia mérkőzés törlése után: Nem tudom elhinni, hová került ez a vírus

08:00 - Toni Iuruc megdöbbent! Simona Halep bejelentette, mi teszi boldoggá: Minden szenzációt legyőz

07:30 - DOKUMENTUM. Újra megjelenik az önbevallás. Mától, november 16-tól alkalmazandó

07:00 - ortodox naptár november 16. Szent tenger ünnepelt ma! Sok gyermek viseli a nevét! Kit nevezünk Boldog születésnapnak

06:30 - Horoszkóp november 16. Hétfőn elárulnak egy jelet: Valaki pletykált rólad

06:00 - A Panzióház bejelentette: A pénzt visszaadják! Írja be közvetlenül a kártyára decemberben

00:00 - A magyarok felgyújtották egész Európát! Az a terv, amellyel rákényszerítik magukat az EU-ra

A Kaspersky kutatói rendkívül jól célzott támadásokat fedeztek fel az ipari rendszerek ellen, amelyek 2018-ig nyúlnak vissza. Ezek a fejlett tartós fenyegetések (APT) világában sokkal ritkábbak, mint a diplomaták és más politikai szereplők elleni kampányok. A használt eszköztárat - amelyet a rosszindulatú programok szerzői eredetileg MT3-nak hívták - a Kaspersky a "MontysThree" kategóriába sorolta. Különféle technikákat alkalmaz az észlelés kikerüléséhez, ideértve a nyilvános felhőszolgáltatásokban lévő vezérlőszerverrel történő kommunikáció fogadását és a fő kártevő modul elrejtését szteganográfia segítségével.

A kormányzati szervek, diplomaták és telekommunikációs szolgáltatók általában az APT preferált célpontjai, mivel ezek az egyének és intézmények természetesen rendkívül bizalmas és politikailag érzékeny információkkal rendelkeznek. Az ipari vállalkozások elleni kémkedési kampányok sokkal ritkábbak, de pusztító következményekkel járhatnak e vállalatok számára. Ezért a Kaspersky kutatói azonnal cselekedtek, amint észrevették MontysThree munkáját.

A kémkedési műveletek végrehajtása érdekében a MontysThree négy modulból álló rosszindulatú programot telepít. Az elsőt - a feltöltőt - kezdetben SFX RAR fájlok (automatikus kicsomagolással ellátott archívumok) segítségével telepítik, amelyek az alkalmazottak kapcsolattartói listáihoz, műszaki dokumentációihoz vagy orvosi tesztjeihez kapcsolódó neveket tartalmaznak, hogy ösztönözzék az alkalmazókat fájlok letöltésére - ez egy általános technika. lándzsa adathalászat. A betöltő először megbizonyosodik arról, hogy a rendszer nem észlel rosszindulatú programokat; Ehhez használjon steganográfiának nevezett technikát.

A steganográfiát az adatok megváltoztatásának elrejtésére használják. A MontysThree esetében a fő rosszindulatú programot bitképfájlnak (a digitális képek tárolására szolgáló formátumnak) álcázzák. A helyes parancs megadása esetén a betöltő egy egyedi algoritmust használ a pixel tömb tartalmának visszafejtésére és a rosszindulatú program futtatására.

A fő modul számos saját titkosítási technikát alkalmaz az észlelés elkerülése érdekében, nevezetesen egy RSA algoritmus használatát a vezérlő szerverrel folytatott kommunikáció titkosításához és a rosszindulatú programok által kiosztott fő "feladatok" visszafejtéséhez. Ide tartozik a speciális kiterjesztésű dokumentumok keresése meghatározott könyvtárakban. A MontysThree kifejezetten a Microsoft és az Adobe Acrobat dokumentumokat célozza meg; Emellett képernyőképeket készíthet és rögzítheti a cél "ujjlenyomatát" (információkat gyűjthet a hálózati beállításokról, a gazdagép nevéről stb.), hogy lássa, érdekli-e a támadókat.

Az összegyűjtött információkat és a vezérlő szerverrel folytatott egyéb kommunikációt ezután olyan nyilvános felhőszolgáltatásokban tárolják, mint a Google, a Microsoft és a Dropbox. Ez megnehezíti a kommunikációs forgalom rosszindulatúként történő felismerését, és mivel egyetlen víruskereső sem blokkolja ezeket a szolgáltatásokat, biztosítja, hogy a vezérlőkiszolgáló zavartalan parancsokat hajtson végre.

A MontysThree egy egyszerű módszert is alkalmaz a fertőzött rendszer kitartásának elérésére - a Windows gyorsindításának módosítója. A felhasználók tudta nélkül maguk indítják el az eredeti kártevő modult, valahányszor törvényes alkalmazásokat, például böngészőket futtatnak a Gyorsindítás eszköztár használatakor.

A Kaspersky nem talált hasonlóságot más ismert APT-kkel a rosszindulatú kódokban vagy az infrastruktúrában.
"A MontysThree nemcsak azért érdekes, mert ipari rendszereket céloz meg, hanem a kifinomult TTP-k és néhány" amatőr "szintű kombinációja miatt is. Általában a kifinomultság modulonként változik, de nem hasonlítható össze a legfejlettebb APT-k által használt szinttel. Mindazonáltal szigorú kriptográfiai szabványokat alkalmaz, és néhány érdekes technikai döntést tartalmaz, beleértve az egyedi szteganográfiát. Talán a legfontosabb szempont az, hogy a támadók jelentős erőfeszítéseket tettek a MontysThree eszköztár kifejlesztése érdekében, ami azt sugallja, hogy elszántak a céljaik iránt - és hogy ez nem rövid életű kampány lesz "- mondta Denis Legezo, a csapat vezető biztonsági kutatója. Kaspersky GReAT globális kutatás és elemzés.

Tudjon meg többet a MontysThree-ről a Securelist-en. A csoport kötelezettségvállalási mutatóival kapcsolatos részletes információk, beleértve a fájlok kivonatát is, a Kaspersky Threat Intelligence Portal webhelyen érhetők el.
Iratkozzon fel az [email protected] címre, hogy megnézze a MontysThree előadást, és itt többet megtudhat a legfelső szintű kiberbiztonsági APT-kről és felfedezésekről: https://kas.pr/tr59

Hogy megvédje szervezeteit a MontysThree-hez hasonló támadásoktól, a Kaspersky szakértői a következőket javasolják:

  • Biztosítsa munkatársainak az alapvető kiberbiztonsági higiéniai képzést, mivel sok célzott támadás adathalászattal vagy más társadalmi mérnöki technikával kezdődik. Hajtson végre egy szimulált adathalász támadást, hogy megbizonyosodjon arról, hogy az alkalmazottak tudják-e megkülönböztetni az adathalász e-maileket.
  • Adjon hozzáférést SOC csapatának az informatikai fenyegetésekkel kapcsolatos legfrissebb információkhoz. A Kaspersky Endpoint Portal az IT számára egyedülálló hozzáférési pont, amely adatokat szolgáltat a Kaspersky által több mint 20 éve gyűjtött támadásokról.
  • A végpont észleléséhez, a nyomozáshoz és az időben történő hibaelhárítási megoldásokhoz olyan EDR megoldásokat kell megvalósítani, mint a Kaspersky Endpoint Detection and Response.
  • Az Endpoint Essential Protection bevezetése mellett olyan vállalati szintű biztonsági megoldást is telepítsen, amely már a korai szakaszban észleli a fejlett hálózati szintű fenyegetéseket, mint például a Kaspersky Anti Targeted Attack Platform.
  • Ügyeljen arra, hogy megvédje ipari és vállalati céljait. A Kaspersky Industrial CyberSecurity megoldás dedikált Endpoint védelmet és hálózati megfigyelést tartalmaz az ipari hálózatban gyanús és potenciálisan káros tevékenységek felderítésére.

Ha tetszik a közzétett anyagok, kérjük, kövesse velünk Facebook oldalunkat