Οι ειδικοί της Kaspersky πρόσφατα αποκάλυψαν μία νέα σειρά επιθέσεων τύπου APT (Advanced Persistent Threat) από την Awaken Likho με στόχο κυβερνητικούς και βιομηχανικούς τομείς στη Ρωσία. Η απειλητική ομάδα, που είναι ακόμα ενεργή, έχει προσαρμόσει τις τακτικές της για να βελτιώσει την αποτελεσματικότητα των επιθέσεών της και να αποφύγει τον εντοπισμό της. Σε αυτή την τελευταία εκστρατεία, οι επιτιθέμενοι χρησιμοποιούν το MeshCentral, μια δωρεάν, διαδικτυακή πλατφόρμα για τον εξ αποστάσεως χειρισμό συστημάτων υπολογιστών, κάνοντας στροφή από την πρότερη χρήση του λογισμικού UltraVNC.
Η “Awaken Likho”, γνωστή και ως Core Werewolf, είναι μια ομάδα APT που δραστηριοποιείται από το 2021 τουλάχιστον, αλλά παρουσίασε σημαντική αύξηση δραστηριότητας μετά το ξέσπασμα της σύρραξης ανάμεσα στη Ρωσία και την Ουκρανία. Κατά τη διεξαγωγή της έρευνας της Kaspersky σχετικά με τις δραστηριότητες της ομάδας, οι ειδικοί αποκάλυψαν μια νέα κακόβουλη εκστρατεία που ξεκίνησε τον Ιούνιο του 2024 και συνεχίστηκε τουλάχιστον μέχρι τον Αύγουστο. Αυτή η εκστρατεία με στόχο την κυβερνοκατασκοπεία και την ανάληψη ελέγχου συσκευών στοχοποιούσε συγκεκριμένα κυβερνητικούς και βιομηχανικούς οργανισμούς στη Ρωσία και τους συνεργάτες τους.
Η ανάλυση της Kaspersky αποκαλύπτει ότι η πρόσφατη εκστρατεία έφερε αλλαγές στα εργαλεία και τις τεχνικές της ομάδας. Οι επιτιθέμενοι χρησιμοποίησαν το MeshCentral, μια διαδικτυακή πλατφόρμα ανοιχτού κώδικα για απομακρυσμένη πρόσβαση στην επιφάνεια εργασίας, διαχείριση συσκευών, μεταφορά αρχείων και παρακολούθηση σε πραγματικό χρόνο. Για να δημιουργηθεί μια βάση μέσα στο δίκτυο, μεταφορτώθηκε στις συσκευές των θυμάτων ένα εμφύτευμα από κακόβουλη διεύθυνση URL, όπως φαίνεται μέσω στοχευμένων μηνυμάτων phishing. Σε προηγούμενες παρόμοιες εκστρατείες, οι επιτιθέμενοι είχαν χρησιμοποιήσει μηχανές αναζήτησης για να συλλέξουν αναλυτικές πληροφορίες σχετικά με τα θύματα και να συντάξουν email που φαίνονταν νόμιμα. Αυτά τα email περιλάμβαναν αρχεία αυτόματης εξαγωγής (SFX) και κακόβουλους συνδέσμους, οι οποίοι, μόλις άνοιγαν, εγκαθιστούσαν έναν ιό σχεδιασμένο για κυβερνοκατασκοπεία.
Χάρη στις τακτικές τους, οι επιτιθέμενοι μπορούσαν να αποκτήσουν πρόσβαση σε ευαίσθητα κυβερνητικά και βιομηχανικά δεδομένα, συμπεριλαμβανομένων εμπιστευτικών πληροφοριών, σχεδίων, επικοινωνιών και λεπτομερειών σχετικά με δομικές λειτουργίες.
Επιπλέον, μπορούσαν να αποκτήσουν πλήρη έλεγχο των συσκευών των θυμάτων, επιτρέποντάς τους να διαταράξουν εργασιακές λειτουργίες, να χειραγωγήσουν συστήματα ή να ξεκινήσουν περαιτέρω επιθέσεις εντός των παραβιασμένων δικτύων.
Με βάση τις τακτικές, τεχνικές και διαδικασίες (TTP) που χρησιμοποιούνται, καθώς και τις πληροφορίες σχετικά με τα θύματα, οι ειδικοί της Kaspersky αποδίδουν αυτή την εκστρατεία στην ομάδα APT Awaken Likho με μεγάλη βεβαιότητα.
«Η γεωπολιτική παραμένει βασικός παράγοντας των επιθέσεων APT, οι οποίες εξελίσσονται ραγδαία καθώς οι επιτιθέμενοι βελτιώνουν τις τεχνικές τους για να παραμείνουν απαρατήρητοι, μεγιστοποιώντας παράλληλα τη ζημιά. Οι επιθέσεις αυτές επισημαίνουν για άλλη μια φορά την κρίσιμη ανάγκη για ολοκληρωμένα μέτρα ασφαλείας, ιδίως στον κυβερνητικό και βιομηχανικό τομέα, καθώς αποτελούν πρωταρχικούς στόχους για τους επιτήδειους. Οι προληπτικές στρατηγικές άμυνας και η γνωστοποίηση απειλών σε πραγματικό χρόνο είναι απαραίτητες για την αντιμετώπιση αυτών των ολοένα και πιο εξελιγμένων απειλών», σχολιάζει ο Alexey Shulmin, ειδικός ασφάλειας στην Kaspersky.
Για να μάθετε περισσότερα σχετικά με την εκστρατεία Awaken Likhο, επισκεφτείτε το Securelist.com.
Για αποκλειστικές πληροφορίες σχετικά με τις τελευταίες εκστρατείες APT και τις αναδυόμενες τάσεις στο τοπίο των απειλών, εγγραφείτε στο Security Analyst Campaign εδώ.
Για να αποφύγετε το ενδεχόμενο στοχευμένης επίθεσης από γνωστό ή άγνωστο επιτήδειο, οι ερευνητές της Kaspersky συνιστούν την εφαρμογή των ακόλουθων μέτρων:
* Δώστε στην ομάδα SOC σας πρόσβαση στην πιο πρόσφατη πληροφόρηση απειλών (TI). Το Kaspersky Threat Intelligence είναι ένα ενιαίο σημείο πρόσβασης για το TI της εταιρείας, που παρέχει δεδομένα ψηφιακών επιθέσεων και πληροφορίες που συλλέγονται από την Kaspersky για πάνω από 20 χρόνια.
* Αναβαθμίστε την ομάδα ψηφιακής ασφάλειας για να αντιμετωπίσετε τις πιο πρόσφατες στοχευμένες απειλές με το online training της Kaspersky που αναπτύχθηκε από ειδικούς της GreAT.
* Για τον εντοπισμό, τη διερεύνηση και την έγκαιρη αποκατάσταση περιστατικών σε επίπεδο τερματικού σημείου, εφαρμόστε λύσεις EDR, όπως το Kaspersky Endpoint Detection and Response.
* Συμπληρωματικά με την απόκτηση της απαραίτητης προστασίας τερματικού σημείου, εφαρμόστε μια μέθοδο ασφάλειας εταιρικού επιπέδου που ανιχνεύει εξελιγμένες απειλές στο δίκτυο σε πρώιμο στάδιο, όπως η πλατφόρμα Kaspersky Anti Targeted Attack Platform.
* Καθώς πολλές στοχευμένες επιθέσεις ξεκινούν με phishing ή άλλες τεχνικές κοινωνικής μηχανικής, παρέχετε μια εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια και διδάξτε πρακτικές δεξιότητες στην ομάδα σας – για παράδειγμα, μέσω της Kaspersky Automated Security Awareness Platform.