Азия, Латын Америкасы және Еуропадағы ұйымдарды нысанаға алған күрделі зиянды науқан жүріп жатыр

«Касперский зертханасының» Жаһандық қауіп-қатерлерді зерттеу және талдау орталығының (Kaspersky GReAT) сарапшылары StrikeShark атты жаңа күрделі зиянды бағдарламалық қамтамасыз ету науқанын анықтады. Зиянкестер Тайвань, Индонезия, Гонконг, Ливан, Сирия, Колумбия, Солтүстік Македония, Непал және Сербиядағы бірқатар ұйымдарға еніп кірген. Бұл үшін шабуылдаушылар бұрын белгісіз болған зиянды бағдарлама жүктеушісі — SharkLoader-ді қолданған. Қазіргі уақытта «Касперский зертханасы» бұл науқанды белгілі бір топпен байланыстырмайды және оның белсенділігін қадағалауды жалғастыруда.
Жұқтыру қалай жүзеге асады. Алғашқы жұқтыру үшін әртүрлі тактикалар қолданылды. Атап айтқанда, шабуылдаушылар Microsoft Exchange, Microsoft SharePoint және Openfire сияқты интернетке қосылған қолданбалардағы осалдықтарды пайдаланды. Басқа жағдайларда заңды бағдарламалық жасақтама түрінде жасырынған зиянды дропперлер қолданылды, мысалы, Google Update немесе Cisco AnyConnect орнатқыштары түрінде, тіпті пайдаланушыларды зиянды бағдарламаны жүктеп алуға алдау үшін фишингтік PDF-құжаттар түрінде.
Көп сатылы жұқтыру процесі. SharkLoader-дің техникалық күрделілігі шабуылдаушылардың біліктілік деңгейінің жоғары екенін көрсетеді. Жұқтыру осалдықты пайдаланудан немесе дроппер орнатудан басталады, оның ішінде заңды қолданба түрінде жасырынған дроппер арқылы да жұқтыру мүмкін. Содан кейін шифрланған зиянды модульдерді жүктеу үшін Windows-тың әртүрлі заңды қолданбаларының көмегімен DLL файлдарын бүйірлей жүктеу қолданылады. Бұл модульдер анықтау тетіктерін айналып өту мақсатында API-хуктер орнату үшін арналған қосымша компоненттерді шифрден шығарып, рефлексивті түрде жүктейді, ал ақыр соңында ену тестілеуіне арналған заңды құрал — Cobalt Strike Beacon-ды енгізіп, іске қосады. Шабуылдаушылар оны көбінесе басқару мен бақылау, барлау, желі бойынша жылжу және бұзылған жүйелерден деректерді шығару үшін пайдаланады.
«StrikeShark науқаны киберқауіп-қатерлер ландшафтындағы өзгерістерді көрсетеді. Зиянкестер оңай қолжетімді шабуыл құралдарын жекелей әзірленген зиянды бағдарламалық қамтамасыз етумен және қорғанысты айналып өтудің озық әдістерімен үйлестіруде. Заңды ресурс ретінде көрінетін жалаулардың қолданылуы және белгілі осалдықтарды пайдалану ұйымдар үшін түзетулерді мұқият басқаруды, соңғы құрылғылардағы қауіп-қатерлерді тиімді анықтау мен оларға ден қоюды, сондай-ақ қызметкерлерді ақпараттық қауіпсіздік мәселелері бойынша жан-жақты оқытуды қамтамасыз етудің өзекті қажеттілігін айқын көрсетеді», — деп атап өтті Kaspersky GReAT-тың Азия, Африка және Таяу Шығыстағы жетекшісі Сергей Ложкин.
Қорғанысты қамтамасыз ету үшін «Касперский зертханасы» ұсынады:
- белгілі осалдықтарды жою үшін барлық қолданбаларды үнемі жаңартып отыру;
- зиянды бағдарлама дропперлерін анықтау және бұғаттау үшін тексерілген қорғаныс шешімдерін пайдалану;
- фишингті қоса алғанда, әлеуметтік инженерия әдістерін қолданатын шабуылдар қаупін азайту үшін қызметкерлерді цифрлық сауаттылық дағдыларына үйрету; бұған Kaspersky Automated Security Awareness Platform сияқты арнайы курстар немесе тренингтер көмектеседі;
- Kaspersky Symphony XDR сияқты кешенді қорғаныс шешімін қолдану. Бұл орталықтандырылған мониторинг пен ақпаратты талдау, қауіп-қатерлерді озық анықтау және оларға ден қою мүмкіндіктерін, сондай-ақ қауіпсіздік оқиғаларын зерттеу құралдарын біріктіретін көпдеңгейлі киберқауіпсіздік платформасы. Шешім кез келген саладағы орта және ірі бизнеске жарамды.

