пнвтсрчтптсбвс
    123
45678910
11121314151617
18192021222324
25262728293031
       

Реклама


  Технологии/Безопасность

Малый бизнес атакуют

Выявлена кибершпионская группа DeathStalker

Выявлена кибершпионская группа DeathStalker 25.08.2020
12:00

По данным «Лаборатории Касперского», как минимум с 2012 года группа DeathStalker занимается кибершпионажем против финансовых и юридических компаний малого и среднего бизнеса по всему миру, в том числе в России.


«Лаборатория Касперского» с 2018 года следит за деятельностью этой группы, которая сейчас стала особенно активной, что и привлекло внимание компании. Российскими организациями группа DeathStalker заинтересовалась в этом году. Её тактики, техники и процедуры остаются неизменными, при этом не теряют эффективности со временем: заражение происходит через фишинговые письма, содержащие архивы с вредоносными файлами. Когда пользователь нажимает на ярлык, выполняется вредоносный скрипт и происходит загрузка вредоносного ПО, в результате чего атакующие получают контроль над устройством жертвы. Судя по целям и используемым инструментам, группа специализируется на краже данных, связанных с финансовой деятельностью компаний, трейдингом на различных площадках и инвестициями.


В числе инструментов DeathStalker — вредоносные семейства Powersing, Evilnum и Janicab. Powersing — это имплант на базе PowerShell, функционал которого позволяет делать скриншоты на заражённом устройстве и выполнять скрипты PowerShell. Зловред умеет избегать детектирования защитными решениями: прежде чем начать атаку, злоумышленники проверяют с его помощью, могут ли они тайно выполнять действия в системе, а затем обновляют скрипты в соответствии с результатами проверки. Кроме того, в атаках, которые осуществляются с применением Powersing, посредством известного сервиса в легитимный сетевой трафик внедряется бэкдор, что значительно ослабляет защитные возможности устройства. Далее атакующие размещают в легитимных социальных сетях, сервисах для ведения блогов и мессенджерах так называемые резолверы  — зашифрованную информацию о настоящих командных центрах, чтобы иметь возможность быстро и незаметно совершить вредоносные действия. Использование таких распознавателей затрудняет обнаружение настоящего командно-контрольного сервера.


DeathStalker — это пример сложной атаки, представляющей собой угрозу для небольших частных фирм. Деятельность этой группы ярким образом подтверждает то, что малому и среднему бизнесу нужно инвестировать в защитные решения и тренинги для сотрудников. Учитывая, что цели находятся в разных странах и в основном это финтех-, инвестиционные и юридические компании, то, скорее всего, мы имеем дело с профессиональными кибернаемниками, выполняющими взломы на заказ.


По мнению Юрия Наместникова, руководителя российского исследовательского центра «Лаборатории Касперского», для противодействия DeathStalker организациям следует по возможности ограничить или отключить использование скриптовых языков, таких как powershell.exe и cscript.exe, а также объяснить сотрудникам на тренингах по кибербезопасности, что вредоносное ПО может передаваться через фишинг и рассказать, как можно этого избежать.


Чтобы обезопасить инфраструктуру компании от этой и других целевых атак, «Лаборатория Касперского» рекомендует принять следующие меры:

1. предоставить сотрудникам, отвечающим за безопасность, доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за более чем 20 лет работы «Лаборатории Касперского»;


2. для защиты конечных устройств, своевременного расследования и реагирования на инциденты внедрить EDR-решение, например Kaspersky Endpoint Detection and Response;


3. регулярно проводить для сотрудников тренинги по информационной безопасности, например с помощью платформы Kaspersky ASAP, которая позволяет в том числе симулировать фишинговую атаку. Это даёт возможность удостовериться в том, что сотрудники в полной мере овладели навыками распознавания фишинговых писем, которые очень часто используются при проведении кампаний кибершпионажа.


Подробная информация об индикаторах компрометации, относящихся к этой группе, включая хеши файлов и командные серверы, доступна на портале Kaspersky Threat Intelligence Portal.


Больше узнать о деятельности DeathStalker можно по ссылке https://securelist.com/deathstalker-mercenary-triumvirate/98177/ и на новом онлайн-мероприятии серии GReAT Ideas. Powered by SAS, которое состоится 26 августа. Начало в 17.00 по московскому времени. Язык мероприятия — английский. Регистрируйтесь здесь: https://kas.pr/v1oj.
 



<< Предыдущая В начало рубрики Следующая >>



Конкурсы

Реклама