Cercetătorii Kaspersky au identificat un set de instrumente care atacă sistemele industriale folosind steganografie și o suită de tehnici de camuflare, și care acționează încă din 2018. Setul de instrumente utilizat - denumit inițial MT3 de către autorii malware-ului - a fost clasificat de Kaspersky drept „MontysThree” și valorifică inclusiv tendința oamenilor de a deschide mail-uri care conțin date medicale, date de contact sau documentație.
Cercetătorii Kaspersky au descoperit o serie de atacuri extrem de bine țintite împotriva sistemelor industriale, care datează din 2018. Acestea sunt mult mai rare în lumea amenințărilor persistente avansate (APT) decât campaniile împotriva diplomaților și altor actori politici. Setul de instrumente utilizat – denumit inițial MT3 de către autorii malware-ului – a fost clasificat de Kaspersky drept „MontysThree”. Acesta folosește o varietate de tehnici pentru a se sustrage detecției, inclusiv găzduirea comunicațiilor cu serverul de control pe servicii publice de cloud și ascunderea principalului modul malware folosind steganografie.
Entitățile guvernamentale, diplomații și operatorii de telecomunicații tind să fie ținta preferată pentru APT, deoarece aceste persoane și instituții posedă în mod natural informații extrem de confidențiale și sensibile din punct de vedere politic. Campaniile de spionaj orientate împotriva entităților industriale sunt cu mult mai rare, dar pot avea consecințe devastatoare pentru companiile respective. Este și motivul pentru care cercetătorii Kaspersky s-au grăbit să acționeze imediat ce au observat activitatea MontysThree.
Pentru a-și desfășura acțiunile de spionaj, MontysThree instalează un program malware format din patru module. Primul – încărcătorul – este răspândit inițial utilizând fișiere RAR SFX (arhive cu dezarhivare automată), care conțin nume legate de listele de contacte ale angajaților, de documentație tehnică sau rezultate ale analizelor medicale, pentru a încuraja angajații să descarce fișierele – o tehnică obișnuită de spear phishing. Încărcătorul se asigură, în primul rând, că malware-ul nu este detectat pe sistem; pentru a face acest lucru, utilizează o tehnică cunoscută sub numele de steganografie.
Steganografia este folosită pentru a ascunde faptul că datele sunt schimbate. În cazul MontysThree, principalul modul malware este deghizat într-un fișier bitmap (un format pentru stocarea imaginilor digitale). Dacă este introdusă comanda corectă, încărcătorul va utiliza un algoritm personalizat pentru a decripta conținutul din matricea de pixeli și pentru a rula codul malware.
Modulul principal folosește mai multe tehnici de criptare proprii pentru a se sustrage detecției, și anume utilizarea unui algoritm RSA pentru a cripta comunicațiile cu serverul de control și pentru a decripta principalele „sarcini” atribuite de către malware. Acestea includ căutarea documentelor cu extensii specifice, în directoare specifice. MontysThree este conceput pentru a viza în mod specific documentele Microsoft și Adobe Acrobat; de asemenea, poate face capturi de ecran și poate capta „amprenta digitală” a țintei (adună informații despre setările rețelei, numele gazdei etc.) pentru a vedea dacă este de interes pentru atacatori.
Informațiile colectate și alte comunicații cu serverul de control sunt apoi găzduite pe servicii de cloud publice precum Google, Microsoft și Dropbox. Acest lucru face ca traficul de comunicații să fie dificil de detectat ca fiind rău intenționat și, deoarece niciun antivirus nu blochează aceste servicii, se asigură că serverul de control poate executa comenzi neîntrerupt.
MontysThree folosește, de asemenea, o metodă simplă pentru a obține persistență pe sistemul infectat – un modificator pentru Windows Quick Launch. Fără să știe, utilizatorii lansează singuri modulul inițial al malware-ului, de fiecare dată când rulează aplicații legitime, cum ar fi browserele, atunci când utilizează bara de instrumente Quick Launch (Lansare rapidă).
Kaspersky nu a reușit să găsească asemănări cu alte APT-uri cunoscute în codul rău intenționat sau în infrastructură.
„MontysThree este interesant nu doar datorită faptului că vizează sisteme industriale, ci și datorită combinației de TTP-uri sofisticate cu unele oarecum de nivel de „amatori”. În general, sofisticarea variază de la modul la modul, dar nu se poate compara cu nivelul folosit de cele mai avansate APT-uri. Cu toate acestea, utilizează standarde criptografice puternice și încorporează, într-adevăr, unele decizii tehnice interesante, inclusiv steganografia personalizată. Poate cel mai important aspect este acela că atacatorii au depus eforturi semnificative în dezvoltarea setului de instrumente MontysThree, sugerând că sunt hotărâți în scopurile lor – și că aceasta nu va fi o campanie de scurtă durată”, comentează Denis Legezo, senior security researcher din Echipa Globală de Cercetare și Analiză a Kaspersky GReAT.
Aflați mai multe despre MontysThree pe Securelist. Informații detaliate despre Indicatorii de Compromitere legați de acest grup, inclusiv hash-urile de fișiere, pot fi accesate pe portalul Kaspersky Threat Intelligence Portal.
Înscrieți-vă la SAS@Home pentru a viziona prezentarea despre MontysThree și pentru a afla mai multe despre APT-uri și descoperiri de securitate cibernetică de nivel superior aici: https://kas.pr/tr59
Pentru a vă proteja organizațiile de atacuri precum MontysThree, experții Kaspersky recomandă:
- Oferiți personalului dvs. instruire de bază în domeniul igienei securității cibernetice, deoarece multe atacuri vizate încep cu phishing sau alte tehnici de inginerie socială. Efectuați un atac de phishing simulat pentru a vă asigura că angajații știu să distingă e-mailurile de phishing.
- Oferiți echipei dvs. SOC acces la cele mai recente informații privind amenințările informatice (TI). Kaspersky Endpoint Portal este un punct de acces unic pentru TI, oferind date asupra atacurilor colectate de Kaspersky de peste 20 de ani.
- Pentru soluții de detecție Endpoint, de investigație și remediere la timp a incidentelor, implementați soluții EDR, cum ar fi Kaspersky Endpoint Detection și Response.
- În plus față de adoptarea protecției esențiale Endpoint, implementați o soluție de securitate de nivel corporativ, care detectează amenințările avansate la nivel de rețea într-un stadiu incipient, cum ar fi Kaspersky Anti Targeted Attack Platform.
- Asigurați-vă că protejați obiectivele industriale, precum și cele corporative. Soluția Kaspersky Industrial CyberSecurity include protecție dedicată pentru Endpoint și monitorizare a rețelei, pentru a dezvălui orice activitate suspectă și potențial dăunătoare din rețeaua industrială.