Kapersky: Cele mai recente ameninţări ale companiilor în al doilea trimestru al anului 2023

În cel mai recent raport al Kaspersky privind tendinţele legate de ameninţările persistente avansate (APT) din al doilea trimestru al anului 2023, cercetătorii analizează dezvoltarea campaniilor noi şi existente, se arată într-un comunicat remis redacţiei. Raportul evidenţiază activitatea APT în această perioadă, inclusiv actualizarea seturilor de instrumente, crearea de noi variante de malware şi adoptarea de noi tehnici de către atacatori, potrivit sursei citate.

Kaspersky a descoperit un nou atacator aparţinând familiei Elephants, care operează în regiunea Asia-Pacific, numit "Mysterious Elephant". În ultima sa campanie, acesta a angajat noi familii de backdoors, capabile să execute fişiere şi comenzi pe computerul victimei şi să primească fişiere sau comenzi de la un server rău intenţionat pentru a fi executate pe sistemul infectat. În timp ce cercetătorii Kaspersky au observat suprapuneri cu Confucius şi SideWinder, cei din spatele Mysterious Elephant posedă un set distinctiv şi unic de TTP, care îi deosebeşte de celelalte grupuri, se arată în comunicat.

Atacatorii îşi îmbunătăţesc în mod constant tehnicile, Lazarus actualizându-şi cadrul MATA şi introducând o nouă variantă a familiei sofisticate de programe malware MATA, MATAv5. BlueNoroff, un subgrup al lui Lazarus axat pe atacuri financiare, foloseşte acum noi metode de livrare şi limbaje de programare, inclusiv utilizarea cititoarelor PDF troiene în campaniile recente, implementarea malware-ului macOS şi limbajul de programare Rust. În plus, grupul ScarCruft APT a dezvoltat noi metode de infecţie, eludând mecanismul de securitate Mark-of-the-Web (MOTW). Tacticile în continuă evoluţie ale acestor atacatori prezintă noi provocări pentru profesioniştii în securitate cibernetică, se mai arată în raportul Kapersky.

Campaniile APT rămân dispersate geografic, atacatorii concentrându-şi atacurile asupra unor regiuni precum Europa, America Latină, Orientul Mijlociu şi diverse părţi ale Asiei. Spionajul cibernetic, cu un fundal geopolitic solid, continuă să fie dominant pe agendă, informează sursa precizată.

"În timp ce unii atacatori se folosesc de tactici familiare, cum ar fi ingineria socială, alţii au evoluat, reîmprospătându-şi seturile de instrumente şi extinzându-şi activităţile. Mai mult, apar în mod constant noi actori avansaţi, precum cei care desfăşoară campania "Operation Triangulation". Acest grup de atacatori din spatele campaniei foloseşte o platformă malware iOS necunoscută anterior, distribuită prin exploit-uri iMessage zero-click. Vigilenţa cu privire la informaţiile despre ameninţări şi instrumentele de apărare potrivite este esenţială pentru companiile globale, astfel încât să existe un nivel de siguranţă semnificativ atât împotriva ameninţărilor existente, cât şi a celor emergente. Evaluările noastre trimestriale sunt concepute pentru a evidenţia cele mai relevante evoluţii dintre grupurile APT pentru a ajuta specialiştii în securitate să combată şi să atenueze riscurile aferente", comentează David Emm, cercetător principal în domeniul securităţii la Kaspersky Global Research and Analysis Team, conform sursei citate.

Pentru a evita să deveniţi victima unui atac ţintit din partea unui actor de ameninţare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri, aşa cum se arată în comunicat:

• Pentru a genera un nivel de securitate complex pentru sistemul dumneavoastră, este esenţial să vă actualizaţi periodic sistemul de operare şi alte programe software de la terţi, la cele mai recente versiuni ale acestora. Menţinerea unui program regulat de actualizare este esenţială pentru a rămâne protejat de potenţiale vulnerabilităţi şi riscuri de securitate.

• Susţinerea echipei de securitate cibernetică cu ajutorul cursurilor online Kaspersky, dezvoltate de experţii GReAT, este esenţială pentru a aborda cele mai recente ameninţări.

• Utilizaţi cele mai recente informaţii despre Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de actorii ameninţărilor.

• Pentru detectarea la nivel endpoint, investigarea şi remedierea în timp util a incidentelor, implementaţi soluţii EDR, precum Kaspersky Endpoint Detection and Response.

• Serviciile dedicate pot ajuta la combaterea atacurilor de anvergură. Serviciul Kaspersky Managed Detection and Response poate ajuta la identificarea şi oprirea intruziunilor în stadiile incipiente, înainte ca făptuitorii să-şi atingă obiectivele. Dacă vă confruntaţi cu un incident de securitate, serviciul Kaspersky Incident Response vă va ajuta să răspundeţi şi să minimizaţi consecinţele, în special - identificaţi nodurile compromise şi protejaţi infrastructura de atacuri similare în viitor, se mai arată în raportul Kapersky.