Bitdefender wykrył nową kampanię cyberszpiegowską


Bitdefender wykrył nową kampanię cyberszpiegowską
2022-12-13
Bitdefender Labs wykrył groźny atak wymierzony przeciwko firmie telekomunikacyjnej z Bliskiego Wschodu. Wszystko wskazuje na to, że stoi za nimi chińska grupa APT (Advanced Persistent Threats).

Bitdefender zidentyfikował operację szpiegowską na podstawie analizy plików binarnych podatnych na ataki typu sideloading, czyli ładowanie boczne. Termin ten odnosi się do instalacji aplikacji pochodzących z nieznanych, niezaufanych źródeł. Według Bitdefendera istnieje bardzo duże prawdopodobieństwo, iż akcję przeprowadziła chińska grupa APT o nazwie BackdoorDiplomacy. Działa ona co najmniej od 2017 roku i znana jest z ataków przeprowadzonych na instytucje w Bliskim Wchodzie i Afryce, a także w Stanach Zjednoczonych.

 

Wektor infekcji wskazuje na zaatakowanie serwera Exchange, wykorzystującego ProxyShell. Jak wynika z dowodów kryminalistycznych atak rozpoczął się w sierpniu 2021 roku od wysłania wiadomości e-mail, aczkolwiek nie był to tradycyjny phishing. Złośliwy ładunek został dołączony do załącznika, a po odebraniu i przetworzeniu informacji przez serwer Exchange wykorzystał lukę i dostał się do sieci (bez kliknięcia załącznika lub nawet wyświetlenia wiadomości e-mail).

 

Napastnicy wdrożyli w organizacji narzędzie NPS proxy i backdoora IRAFAU.

Począwszy od lutego 2022 r. cyberprzestępcy używali innego narzędzia – backdoora Quarian, wraz z kilkoma innymi skanerami i narzędziami proxy/tunelowania.  Ślady ujawniają użycie keyloggerów i narzędzi do eksfiltracji, które łączą tę kampanię z operacją cyberszpiegowską.

 

Jak się bronić przez APT?

Zdaniem specjalistów z Bitdefendera organizacje chcące powstrzymać grupy APT powinny zacząć swoje działania od zmniejszenia powierzchni ataku poprzez zarządzanie poprawkami, nie tylko dla systemu Windows, ale również wszystkich aplikacji i usług dostępnych w Internecie oraz wykrywaniu błędnych konfiguracji. Kolejnym krokiem jest zastosowanie rozwiązań wykorzystujących wiele warstw zabezpieczeń, w tym reputację adresów IP/adresów URL dla wszystkich punktów końcowych oraz ochronę przed atakami bezplikowymi.


Szczególne znacznie ma wdrożenie mechanizmów reputacji adres
ów IP, domen i adresów URL. Według analizy zawartej w raporcie Data Breach Investigations Report 2022, zastosowanie takich rozwiązań sprawia, że zaledwie 0,4 proc. ataków próbujących wykorzystać lukę umożliwiającą zdalne wykonanie kodu (RCE), pozostało niezauważonych.

 

Źródła: marken.com.pl; bitdefender.pl  

Nadesłał:

Marken

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl