RoarBAT kenkėjiška programa, kurią aptiko Ukrainos CERT

Ukrainos kompiuterinio reagavimo komanda (CERT-UA) pranešė apie besitęsiančią sukčiavimo kampaniją, kurios metu SmokeLoader kenkėjiška programa platinama naudojant sąskaitų faktūrų temas. El. laiškai siunčiami iš pažeistų paskyrų ir juose yra ZIP archyvas, kuris iš tikrųjų yra poliglotinis failas su apgaulės dokumentu ir „JavaScript“ failu. Šis failas naudojamas paleisti SmokeLoader kenkėjišką programą, kurios tikslas yra atsisiųsti veiksmingesnę kenkėjišką programą užkrėstose sistemose. CERT-UA šią veiklą priskyrė UAC-0006 – finansiškai motyvuotam grėsmės veikėjui, kuris be leidimo siekia pavogti kredencialus ir pervesti lėšas.

Be to, Ukrainos kibernetinio saugumo institucija atskleidė destruktyvią ataką prieš viešojo sektoriaus organizacijas, kurią vykdė UAC-0165 – grupė, kurią CERT-UA saikingai priskyrė grupei „Sandworm“. Ataka apėmė paketinį scenarijų pagrįstą valytuvą, vadinamą RoarBAT, kuri rekursyviai ieškojo failų su konkrečiais plėtiniais ir ištrynė juos naudodama teisėtą WinRAR įrankį. Grupė taip pat sukompromitavo „Linux“ sistemas naudodama bash scenarijų, kuris perrašė failus nuliu baitų, kad būtų išvengta aptikimo.

Ataką palengvino MFA trūkumas nuotoliniu būdu prisijungiant prie VPN. Dėl destruktyvaus atakos poveikio sutriko elektroniniai kompiuteriai, serverių įranga, automatizuotos vartotojų darbo vietos ir duomenų saugojimo sistemos.

Kas yra pažengę nuolatinės grėsmės veikėjai?

Išplėstinės nuolatinės grėsmės (APT) veikėjai yra aukštos kvalifikacijos ir motyvuoti kibernetiniai užpuolikai, vykdantys ilgalaikes tikslines kibernetinio šnipinėjimo kampanijas prieš konkrečius taikinius, pvz., vyriausybines agentūras, kritinę infrastruktūrą ar dideles korporacijas. Šie užpuolikai naudoja sudėtingas technologijas, kad gautų neteisėtą prieigą prie jautrios informacijos ir sistemų, siekdami pavogti vertingą intelektinę nuosavybę, įslaptintą informaciją arba finansinius duomenis.

APT paprastai naudoja taktikos derinį, pvz., sukčiavimą, socialinę inžineriją, kenkėjiškas programas ir nuotolinės prieigos įrankius, kad gautų prieigą prie tikslinių sistemų. Gavę prieigą, APT dalyviai gali įsitvirtinti tinkle, judėti į šoną tikslinėje aplinkoje ir likti nepastebėti ilgą laiką, kol išfiltruoja duomenis.

APT veikėjai dažnai yra remiami valstybės, remiamos tautinių valstybių ar kitų didelių organizacijų, turinčių daug išteklių savo kibernetinėms operacijoms remti. Tačiau jie taip pat gali būti finansiškai motyvuoti, dirbantys nusikalstamų organizacijų, siekiančių pasipelnyti, pavogti vertingus duomenis, vardu.

Norint apsisaugoti nuo APT atakų, reikalingas daugialypis požiūris, apimantis pažangias grėsmių aptikimo ir reagavimo galimybes, griežtą saugos higienos praktiką ir nuolatinį tinklo veiklos stebėjimą, ar neatsiranda įtartino elgesio požymių.