Trong ba tháng đầu năm 2022, các nhà nghiên cứu của Kaspersky tiếp tục khám phá các mối đe dọa APT trên khắp thế giới, các công cụ, kỹ thuật và hoạt động mới do các nhóm đưa ra. Báo cáo xu hướng APT hàng quý được tổng hợp từ nghiên cứu tình báo mối đe dọa độc quyền của Kaspersky, những diễn biến chính và sự cố mạng mà mọi người nên biết.
Mối đe dọa APT là gì và cách bảo vệ chúng?
Các hoạt động của APT tiếp tục diễn ra trong quý đầu tiên của năm 2022, được thúc đẩy bởi một loạt các hoạt động và cuộc tấn công mới được triển khai nhằm vào các sự kiện địa chính trị nhạy cảm. Những phát hiện quan trọng nhất của báo cáo được liệt kê như sau:
Khủng hoảng địa chính trị là động lực chính cho sự phát triển của APT
Bối cảnh mối đe dọa đã chứng kiến nhiều cuộc tấn công xung quanh cuộc khủng hoảng Ukraine. HermeticRansom, DoubleZero và nhiều cuộc tấn công mới khác nhắm vào tài sản của Ukraine đã được báo cáo vào tháng 2 và tháng 3. Người ta nhận thấy sự gia tăng đáng kể về số lượng các mối đe dọa mới được triển khai bởi các nhóm APT Gamaredon và UNC1151 (Ghostwriter). Các nhà nghiên cứu của Kaspersky đã xác định trình tự thử nghiệm của thông báo đòi tiền chuộc được quan sát thấy trong các mẫu được chia sẻ của Microsoft và hai nguyên mẫu WhisperGate. Có sự nhất trí cao rằng những mẫu này là những mẫu cần gạt nước lặp lại trước đây được cho là đã được sử dụng ở Ukraina.
Các nhà nghiên cứu của Kaspersky cũng xác định được ba hoạt động liên quan đến nhóm đe dọa Konni, hoạt động từ giữa năm 2021, nhắm vào các tài sản ngoại giao của Nga. Mặc dù những kẻ tấn công đã sử dụng cùng một bộ cấy Konni RAT trong các hoạt động khác nhau, nhưng các vectơ lây nhiễm khác nhau trong mỗi hoạt động: tài liệu có macro nhúng, trình tải lên trông giống như ứng dụng ghi âm COVID-19 và cuối cùng là trình tải xuống có bẫy bảo vệ màn hình Năm Mới .
Sự trở lại của các cuộc tấn công cấp thấp
Năm ngoái, các nhà nghiên cứu của Kaspersky đã dự đoán sẽ tiếp tục phát triển các thiết bị cấy ghép cấp độ thấp vào năm 2022. Một ví dụ nổi bật về xu hướng này là trường hợp thứ ba được biết đến về việc khởi động chương trình cơ sở trong môi trường ảo được phát hiện bởi Kaspersky. ánh trăng nó đã xảy ra. Bộ cấy độc hại này được ẩn trong Giao diện phần mềm mở rộng hợp nhất (UEFI), một phần thiết yếu của máy tính. Thiết bị cấy ghép được tìm thấy trong vùng bộ nhớ flash SPI, một thành phần lưu trữ bên ngoài của ổ cứng. Hoạt động này được cho là do nhóm APT nổi tiếng APT41 thực hiện.
Các nhóm APT đang theo đuổi tiền điện tử
Quý này, Kaspersky nhận thấy các nhóm APT tiếp tục săn lùng tiền điện tử. Không giống như hầu hết các nhóm APT được nhà nước tài trợ, Lazarus và các nhóm đe dọa khác có liên quan đến nó đã coi lợi ích tài chính là một trong những mục tiêu chính của họ. Trọng tâm mối đe dọa này đã triển khai các ứng dụng tài chính phi tập trung (DeFi) được nhúng trong Trojan để tăng lợi nhuận. Lazarus lạm dụng các ứng dụng hợp pháp được sử dụng để quản lý ví tiền điện tử bằng cách phân phối phần mềm độc hại nhằm giành quyền kiểm soát hệ thống của nạn nhân.
Cập nhật và lạm dụng các dịch vụ trực tuyến
Các nhóm APT không ngừng tìm kiếm những cách mới để nâng cao hiệu quả các cuộc tấn công của mình. Nhóm lính đánh thuê mạng DeathStalker tiếp tục cập nhật các công cụ đơn giản của mình để thực hiện các cuộc tấn công hiệu quả hơn. Janicab, một phần mềm độc hại cũ được phát hành lần đầu tiên vào năm 2013, là một ví dụ điển hình cho xu hướng này. Nhìn chung, Janicab có chức năng tương tự như các dòng phần mềm độc hại tương ứng. Nhưng thay vì tải xuống một vài công cụ sau này trong vòng đời xâm nhập, như nhóm đã làm với các vụ hack EVILNUM và Powersing, hầu hết các phiên bản mới đều có các công cụ được nhúng và ẩn. Ngoài ra, DeathStalkers được sử dụng làm công cụ phân giải điểm chết (DDR) để thực thi lệnh và kiểm soát tàng hình hiệu quả. YouTubeNó sử dụng các dịch vụ trực tuyến lớn nhất thế giới như Google+ và WordPress.
Giám đốc nghiên cứu bảo mật của Kaspersky GReAT David Emm cho biết: “Điều kiện địa chính trị luôn là động lực chính dẫn đến các cuộc tấn công APT. Điều này chưa bao giờ được thể hiện rõ ràng như bây giờ. Chúng ta đang sống trong thời kỳ hỗn loạn và điều này được thể hiện rõ qua lăng kính an ninh mạng. Đồng thời, chúng ta có thể thấy rõ rằng trong quý đầu tiên, nhiều nhóm đe dọa đã liên tục cập nhật công cụ và triển khai các hoạt động mới không chỉ theo đuổi thông tin mà còn cả tiền bạc. Các tổ chức, như mọi khi, cần phải cảnh giác. Điều đó cũng có nghĩa là họ cần đảm bảo rằng họ được trang bị các công cụ phù hợp để thu thập thông tin về mối đe dọa và bảo vệ khỏi các mối đe dọa hiện tại và mới nổi.”
Báo cáo Xu hướng APT Q1 tóm tắt những phát hiện của báo cáo tình báo mối đe dọa chỉ dành cho người đăng ký, bao gồm dữ liệu Chỉ số thỏa hiệp (IoC) của Kaspersky và các quy tắc YARA để hỗ trợ pháp y và săn tìm phần mềm độc hại. Thông tin thêm có tại [email protected].
Kaspersky GReAT đã có bài thuyết trình vào đầu quý này về các cuộc tấn công mạng ở Ukraine, bao gồm cả sự kiện APT mới nhất. Đăng ký hội thảo trên web từ đâyđể tóm tắt từ đây có thể truy cập.
Để đọc toàn bộ báo cáo xu hướng APT Q1 2022 danh sách bảo mật.com địa chỉ có thể được truy cập.
Để tránh trở thành nạn nhân của một cuộc tấn công do một nhóm mối đe dọa đã biết hoặc chưa biết nhắm đến, các nhà nghiên cứu của Kaspersky khuyến nghị các biện pháp sau:
- Nhóm SOC phải có quyền truy cập vào thông tin tình báo về mối đe dọa (TI) mới nhất. Cổng thông tin về mối đe dọa của Kaspersky là một điểm truy cập hiệu quả cho Thông tin về mối đe dọa của các công ty, cung cấp dữ liệu tấn công mạng và thông tin chi tiết được Kaspersky thu thập trong hơn 20 năm. Để giúp các doanh nghiệp tăng cường khả năng phòng vệ trong thời điểm hỗn loạn này, Kaspersky đã thông báo rằng thông tin độc lập, được cập nhật liên tục và có nguồn gốc toàn cầu về các cuộc tấn công và mối đe dọa mạng đang diễn ra này được cung cấp miễn phí. Để truy cập tài nguyên, bạn có thể đăng ký bằng cách điền vào biểu mẫu này.
- Với chương trình đào tạo trực tuyến của Kaspersky do các chuyên gia GReAT phát triển, các nhóm an ninh mạng có thể được nâng cấp để đối phó với các mối đe dọa mới nhất.
- Các giải pháp EDR như Phát hiện và phản hồi điểm cuối của Kaspersky có thể được sử dụng để phát hiện, điều tra và khắc phục kịp thời các sự cố ở cấp độ điểm cuối.
- Ngoài việc áp dụng biện pháp bảo vệ điểm cuối cơ bản, cần triển khai một giải pháp bảo mật cấp doanh nghiệp, chẳng hạn như Kaspersky Anti Targeted Attack Platform, giúp phát hiện các mối đe dọa cấp mạng nâng cao ở giai đoạn đầu.
- Vì nhiều cuộc tấn công có mục tiêu bắt đầu bằng lừa đảo hoặc các kỹ thuật lừa đảo xã hội khác nên các nhóm có thể được đào tạo nâng cao nhận thức về bảo mật và kỹ năng thực tế. Thông tin này có sẵn từ trang web Nền tảng nhận thức bảo mật tự động của Kaspersky.
