Activitatea grupurilor APT (advanced persistent threat) din al treilea trimestru al anului 2020 a indicat o tendință interesantă: în timp ce mulți atacatori cibernetici avansează și continuă să își diversifice seturile de instrumente, recurgând uneori la unele extrem de bine personalizate și persistente, alții își ating obiectivele prin utilizarea unor metode de atac bine cunoscute, testate în timp.
În al treilea trimestru al anului 2020, cercetătorii Kaspersky au observat o divizare a abordării generale folosite de atacatori – multiple evoluții în tacticile, tehnicile și procedurile (TTP) grupurilor APT din întreaga lume au fost analizate alături de campanii eficiente care au folosit vectori și instrumente de infectare destul de banale.
Una dintre cele mai relevante descoperiri ale trimestrului a fost o campanie desfășurată de un actor necunoscut, care a decis să distrugă sistemul de securitate al uneia dintre victime, folosind un bootkit personalizat pentru UEFI – o componentă hardware esențială a oricărui dispozitiv computerizat modern. Acest vector a făcut parte dintr-un plan în mai multe etape, denumit MosaicRegressor. Răspândirea UEFI a făcut ca malware-ul plantat pe dispozitiv să fie extrem de persistent și extrem de greu de eliminat. În plus, informația descărcată de malware pe dispozitivul fiecărei victime putea fi diferită – această abordare flexibilă i-a permis actorului să se ascundă și mai multă vreme.
Alți infractori cibernetici folosesc steganografia. O nouă metodă care folosește binarul Windows Defender semnat Authenticode, un program aprobat, parte integrantă pentru soluția de securitate Windows Defender, a fost detectată într-un atac asupra unei companii de telecomunicații din Europa. O campanie în curs atribuită lui Ke3chang a folosit o nouă versiune a backdoor-ului Okrum. Această versiune actualizată a Okrum folosește un binar Windows Defender semnat Authenticode prin utilizarea unei tehnici unice de încărcare laterală. Atacatorii au folosit steganografia pentru a ascunde informația principală în executabilul Defender, păstrând în același timp semnătura digitală validă, și reducând astfel șansele de detectare.
Mulți alți atacatori cibernetici continuă, de asemenea, să își actualizeze seturile de instrumente pentru a le face mai flexibile și mai greu de detectat. Diverse planuri organizate în mai multe etape, precum cel dezvoltat de grupul MuddyWater APT continuă să apară. Această tendință este valabilă și pentru alte programe malware – de exemplu, Dtrack RAT (instrument de acces la distanță), care a fost actualizat cu o nouă caracteristică care permite atacatorului să folosească mai multe tipuri de informație utilă.
Cu toate acestea, unii atacatori încă folosesc cu succes instrumente cu tehnologie rudimentară. Un exemplu este un grup de mercenari numit DeathStalker de către cercetătorii Kaspersky. Acest APT se concentrează în principal pe firme de avocatură și companii care activează în sectorul financiar, colectând informații importante de la victime. Folosind tehnici care au fost în mare parte aceleași din 2018, concentrarea pe evitarea detectării a permis DeathStalker să continue să efectueze o serie de atacuri de succes.
„În timp ce unii atacatori cibernetici rămân consecvenți în timp și pur și simplu caută să folosească subiecte interesante precum COVID-19 pentru a atrage victimele să descarce atașamente rău intenționate, alte grupuri se reinventează și își perfecționează seturile de instrumente”, comentează Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team, Kaspersky. „Diversificarea platformelor atacate, concentrarea asupra unor noi lanțuri de compromitere a securității și utilizarea serviciilor legitime ca parte a infrastructurii lor de atac, este ceva la care am asistat în ultimul trimestru. În general, pentru specialiștii în securitate cibernetică acest lucru înseamnă că multe companii care se concentrează pe securitatea datelor trebuie să investească resurse în detectarea de activități periculoase în medii noi, posibil legitime, care au fost examinate mai puțin în trecut. Aici facem referire la programe malware scrise în limbaje de programare mai puțin cunoscute, sau transmise prin servicii cloud legitime. Urmărirea activităților atacatorilor și a TTP-urilor ne permite să detectăm, pe măsură ce se dezvoltă, noile tehnici și instrumente și astfel să ne pregătim să reacționăm la noi atacuri în timp util.”