Search
Sambata 16 Octombrie 2021
  • :
  • :

Rușii de la Kaspersky semnalează: Vorbitorul de chineză „GhostEmperor” face victime în Microsoft Exchange

Peisajul amenințărilor persistente avansate (APT) a înregistrat o creștere a atacurilor împotriva serverelor Microsoft Exchange în T2 2021, potrivit raportului trimestrial publicat de compania rusă de securitate Kaspersky. În cel mai recent raport APT 2021, experții dezvăluie detaliile unei operațiuni unice de lungă durată, „GhostEmperor”, care folosește vulnerabilitățile Microsoft Exchange pentru a ataca victime importante, cu un set de instrumente avansat și fără vreo legătură cu vreun actor de amenințare cunoscut.

GhostEmperor este un actor vorbitor de chineză, care a fost descoperit de cercetătorii companiei cu sediul central la Moscova.

Acesta iese în evidență, deoarece folosește un rootkit Windows în mod kernel. Rootkit-urile permit controlul de la distanță al serverelor pe care le vizează. Acționând în secret, rootkit-urile sunt cunoscute pentru că se ascund de investigatori și de soluțiile de securitate.

Pe măsură ce tehnicile de detectare și protecție evoluează, la fel se întâmplă și cu actorii APT. De obicei, își reîmprospătează și își actualizează seturile de instrumente. GhostEmperor este un exemplu clar al modului în care infractorii cibernetici caută noi tehnici de utilizat și noi vulnerabilități de exploatat. Folosind un rootkit necunoscut anterior, sofisticat, au ridicat noi probleme în cadrul tendinței deja bine stabilite, de atacuri împotriva serverelor Microsoft Exchange.

David Emm, expert în securitate la Kaspersky

Pentru a ocoli mecanismul Windows Driver Signature Enforcement, GhostEmperor folosește o schemă de încărcare ce implică componenta unui proiect open-source numit „Cheat Engine”. Acest set de instrumente avansate este unic, iar cercetătorii Kaspersky nu văd nicio legătură cu alți actori  deja cunoscuți. Experții au conchis că acest set de instrumente este în uz cel puțin din luna iulie a anului 2020.

Tendințe în peisajul APT

Pe lângă intensificarea atacurilor împotriva serverelor Microsoft Exchange, experții Kaspersky subliniază și următoarele tendințe în peisajul APT în T2:

  • Crește numărul de actori APT care valorifică exploit-urile pentru a obține un punct de sprijin inițial în rețelele atacate – inclusiv vulnerabilitățile de tip zero-days inițiate de dezvoltatorul „Moses” și cele utilizate în PuzzleMaker, atacurile Pulse Secure și vulnerabilitățile serverului Microsoft Exchange
  • Actorii de amenințări APT continuă să investească în actualizarea seturilor de instrumente: acest lucru vizează nu numai includerea de noi platforme, ci și utilizarea unor limbaje suplimentare, așa cum se vede în programul malware Python, acceptat de macOS WildPressure
  • În timp ce unele dintre atacurile asupra lanțurilor de aprovizionare au fost majore și au atras atenția la nivel mondial, experții Kaspersky au observat, de asemenea, atacuri la fel de reușite cu tehnologie mai primitivă, precum BountyGlad, CoughingDown și atacul care țintește Codecov, care a semnalat că toate campaniile low-key reprezintă, încă, o amenințare semnificativă la adresa securității

Recomandări de la specialiști

Mai multe informații despre GhostEmperor și alte descoperiri semnificative ale trimestrului al doilea pot fi găsite raportul tendințelor APT Q2 2021 pe Securelist. Raportul trece în revistă concluziile rapoartelor despre amenințările cibernetice, destinate exclusiv abonaților Kaspersky, care includ, de asemenea, date cu indicatori de compromis (IoC) și reguli YARA pentru a ajuta la cercetarea criminalistică și identificarea malware-ului.

Pentru a evita să deveniți victima unui atac țintit din partea unui actor de amenințare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:

  • Oferiți echipei dumneavoastră SOC acces la cele mai recente informații privind amenințările (TI). Kaspersky Threat Intelligence Portal este un punct unic de acces pentru TI-ul companiei, oferind date despre atacuri cibernetice și informații colectate de Kaspersky pe o perioadă de peste 20 de ani. Accesul gratuit la câteva dintre funcțiile sale, care permit utilizatorilor să verifice fișiere, adrese URL și adrese IP, este disponibil aici.
  • Instruiți-vă echipa de securitate cibernetică pentru a putea aborda cele mai recente amenințări țintite cu sesiunile de training online dezvoltate de experții GReAT.
  • Pentru protecție la nivel endpoint, investigație și remediere la timp a incidentelor, implementați soluții EDR precum Endpoint Detection and Response.
  • Pe lângă adoptarea protecției esențiale la nivelul endpoint, implementați o soluție de securitate la nivel corporativ care detectează amenințările avansate la nivel de rețea într-un stadiu incipient, cum ar fi Anti Targeted Attack Platform.
  • Întrucât multe atacuri țintite încep cu un phishing sau cu alte tehnici de inginerie socială, este necesară instruirea angajaților cu privire la importanța securității IT, și formarea unor abilități practice – de exemplu, prin intermediul Automated Security Awareness Platform.

Despre Kaspersky

Fondată în 1997, compania globală de securitate Kaspersky, cu sediul central la Mocova, oferă soluții de securitate și servicii inovatoare pentru a proteja companiile, infrastructura critică, autoritățile guvernamentale și utilizatorii individuali din toată lumea. Portofoliul companiei include protecție endpoint de top și soluții specializate de securitate și servicii, pentru a combate amenințările digitale tot mai complexe. Peste 400 de milioane de utilizatori individuali sunt protejați de tehnologiile Kaspersky, precum și 250.000 de companii client.




Leave a Reply

Your email address will not be published. Required fields are marked *