A RoarBAT rosszindulatú programot az ukrán CERT észlelte

Az ukrán Computer Emergency Response Team (CERT-UA) egy folyamatban lévő adathalász kampányról számolt be, amely számla témájú csalik segítségével terjeszti a SmokeLoader kártevőt. Az e-maileket feltört fiókokból küldik, és tartalmaznak egy ZIP-archívumot, amely valójában egy poliglott fájl csalidokumentummal és egy JavaScript-fájllal. Ez a fájl a SmokeLoader rosszindulatú program végrehajtására szolgál, amelynek célja hatékonyabb kártevő letöltése a fertőzött rendszerekre. A CERT-UA ezt a tevékenységet az UAC-0006-nak tulajdonította, amely egy pénzügyileg motivált fenyegetési szereplő, amely hitelesítő adatokat lop el és pénzeszközöket utal át engedély nélkül.

Ezenkívül az ukrán kiberbiztonsági hatóság feltárt egy pusztító támadást a közszféra szervezetei ellen, amelyet az UAC-0165 hajtott végre, egy olyan csoport, amelyet a CERT-UA mérsékelten a Sandworm csoportnak tulajdonított. A támadásban a RoarBAT nevű kötegelt szkript-alapú törlő rosszindulatú program része volt, amely rekurzív módon keresett meghatározott kiterjesztésű fájlokat, és a törvényes WinRAR segédprogrammal törölte azokat. A csoport a Linux rendszereket is feltörte egy bash szkript segítségével, amely nulla bájttal írta felül a fájlokat az észlelés elkerülése érdekében.

A támadást elősegítette az MFA hiánya a VPN-hez való távoli kapcsolatok létrehozása során. A támadás pusztító hatása az elektronikus számítógépek, szerverberendezések, automatizált felhasználói munkahelyek és adattároló rendszerek károsodását okozta.

Mik azok a haladó állandó fenyegetés szereplői?

Az Advanced Persistent Threat (APT) szereplői magasan képzett és motivált kibertámadók, akik hosszú távú, célzott kiberkémkampányokat folytatnak meghatározott célpontok, például kormányzati szervek, kritikus infrastruktúra vagy nagyvállalatok ellen. Ezek a támadók kifinomult technikákat alkalmaznak az érzékeny információkhoz és rendszerekhez való jogosulatlan hozzáférésre, azzal a céllal, hogy értékes szellemi tulajdont, minősített információkat vagy pénzügyi adatokat lopjanak el.

Az APT-k általában olyan taktikák kombinációját alkalmazzák, mint például az adathalászat, a social engineering, a rosszindulatú programok és a távoli elérési eszközök, hogy hozzáférjenek a célzott rendszerekhez. Miután megszerezték a hozzáférést, az APT szereplői megvehetik a lábukat a hálózatban, oldalirányban mozoghatnak a célkörnyezeten belül, és hosszú ideig észrevétlenül maradhatnak, miközben kiszűrik az adatokat.

Az APT szereplőit gyakran államilag támogatják, olyan nemzetállamok vagy más nagy szervezetek támogatásával, amelyek jelentős erőforrásokkal rendelkeznek kiberműveleteik támogatására. Lehetnek azonban anyagilag is motiváltak, hiszen olyan bűnszervezetek nevében dolgoznak, amelyek értékes adatokat akarnak eltulajdonítani haszonszerzés céljából.

Az APT-támadások elleni védekezés sokrétű megközelítést igényel, amely magában foglalja a fejlett fenyegetésészlelési és -reagálási képességeket, a szigorú biztonsági higiéniai gyakorlatokat, valamint a hálózati tevékenység folyamatos figyelését a gyanús viselkedés jelei miatt.