Telecom News - מחקר: קבוצות APT ממשיכות להרחיב את ארסנל התחמושת שלהן

מחקר רבעון שני 2020: סגר זו לא חופשה - קבוצות APT ממשיכות להרחיב את ארסנל התחמושת שלהן
מאת: מערכת Telecom News, 2.8.20, 18:30 CYBER FREE

עבור פושעי סייבר וקבוצות APT (Advanced Persistent Threat) נמשכים החיים כאילו לא השתנה דבר, כאשר מגפת הקורונה משמשת באופן פעיל כפיתיון לקמפיין מתקפות סייבר. מהן התפתחויות העיקריות אצל 5 קבוצות APT, שעל המגזר העסקי להיות מודע להן?

2020 היא השנה בה שום דבר לא נשאר זהה, ובכל זאת, עבור פושעי סייבר וקבוצות APT (Advanced Persistent Threat) נמשכו החיים כאילו לא השתנה דבר, כאשר מגפת הקורונה, למעשה, משמשת באופן פעיל כפיתיון לקמפיין מתקפות סייבר, קטנות כגדולות.

חוקרים של חברת הסייבר קספרסקי המשיכו לצפות בהתפתחות ארסנל התחמושת של קבוצות APT בכל החזיתות: החל מכיוון המתקפות לפלטפורמות חדשות ועד לשימוש בכלים חדשים לחלוטין.

כעת, משחררת החברה את מגמות ה-APT לרבעון Q2 2020. זאת, כחלק מדו"ח איומי הסייבר החדש. הדו"ח הרבעוני בנושא מגמות קבוצות ה-APT מבוסס על מחקר איומי האבטחה של החברה, כמו גם על מקורות אחרים המתייחסים להתפתחויות העיקריות שהחוקרים מאמינים, שעל המגזר העסקי להיות מודע להם.

על פי הדו"ח החדש, ברבעון השני לשנת 2020, החוקרים הבחינו בהתפתחויות רבות בטקטיקות, בטכניקות ובתהליכים (TTP) של קבוצות ה-APT, כאשר השינויים המשמעותיים ביותר בהם הבחינו החוקרים יושמו ע"י הקבוצות הבאות:

קבוצת לזרוס (Lazarus Group) - שחקנית מרכזית מזה זמן מה בקרב קבוצות APT. אולם, כעת נראה, שהיא משקיעה אף עוד יותר בתקיפות, שמאחוריהן מניע כספי. לצד מטרות כמו ריגול-סייבר וחבלת-סייבר, קבוצת לזרוס גם שמה לעצמה למטרה בנקים וחברות נוספות בתחום הפיננסים מסביב לעולם. ברבעון זה, חוקרי החברה זיהוי גם שימוש בפלטפורמה חדשה המקושרת ללזרוס בשם MATA. מדובר בפלטפורמת נוזקה חדשה, שתומכת במספר מערכות הפעלה, ומיועדת להפצת נוזקות.

קבוצת CactusPete - מדובר בקבוצת APT דוברת סינית, שנוהגת לבצע שימוש בפלטפורמת ShadowPad המודולרית והמורכבת, שאף מציעה תוספים (Plugins) ומודולים שונים לפונקציונליות מגוונת. פלטפורמת ShadowPad יושמה בעבר בתקיפות סייבר גדולות עם תוספים שונים במתקפות שונות.

קבוצת MuddyWater - קבוצת APT, שהתגלתה ב-,2017 ומאז הייתה פעילה בעיקר במזרח התיכון, כאשר ב-2019 דיווחו חוקרי החברה על פעילות נגד חברות טלקום וארגונים ממשלתיים במזרח התיכון. לאחרונה, זיהתה החברה, ש-MuddyWater מבצעת שימוש בכלי C++, שזוהה בגל תקיפות חדש, במרכזו ניצלה הקבוצה כלי קוד-פתוח בשם Secure Socket Funneling.

קבוצת HoneyMyte - מדובר בקבוצת ,APT שביצעה מתקפה מסוג Watering Hole על אתר ממשלתי בדרום-מזרח אסיה. זה, שהוקם במרץ, ממנף טכניקות של הנדסה חברתית (Social Engineering) ורשימות לבנות (Whitelisting) כדי להדביק את יעדיו.

קבוצת OceanLotus - קבוצת ה-APT העומדת מאחורי קמפיין המובייל PhantmLance Mobile. הקבוצה השתמשה ב-Multi-Stage Loader מאז המחצית השנייה של 2019, כאשר הגרסאות החדשות משתמשות במידע קונקרטי ליעד (שם משתמש, Hostname וכד') אותו הם השיגו לפני כן. זאת, כדי לוודא את הפעלת הנוזקה על הקורבן הנכון.

הדו"ח המלא - כאן.