Podczas naszych konferencji Kaspersky Security Analyst Summit (SAS) zwykle mówimy o atakach APT: to właśnie na nich po raz pierwszy poinformowaliśmy o takich zagrożeniach jak Slingshot, Carbanak czy Careto. Ataki ukierunkowane zdarzają się coraz częściej, a ten rok nie jest wyjątkiem: podczas spotkania SAS 2019 w Singapurze opowiedzieliśmy o ugrupowaniu przestępczym APT o nazwie „cybergang Gaza”.
Bogate uzbrojenie
Cybergang Gaza specjalizuje się w cyberszpiegostwie, a jego kampania ogranicza się głównie do Bliskiego Wschodu i krajów Azji Środkowej. W centrum jego zainteresowania znajdują się politycy, dyplomaci, dziennikarze, aktywiści i inne osoby politycznie aktywne w tym regionie.
Jeśli chodzi o liczbę ataków, jakie zarejestrowaliśmy od stycznia 2018 r. do stycznia 2019 r., znajdowały się one na Terytoriach Palestyńskich. Ponadto infekcje zarejestrowaliśmy również w Jordanii, Izraelu i Libanie. W swoich atakach gang wykorzystuje metod i narzędzi o różnym stopniu skomplikowania.
Nasi eksperci zidentyfikowali trzy podgrupy tego cybergangu. Opisaliśmy już dwie z nich: jedna była autorem kampanii Desert Falcons, a druga stała za atakiem ukierunkowanym znanym pod nazwą Operation Parliament.
Teraz nadszedł czas na trzecią, którą nazwaliśmy MoleRATs. Mimo że grupa ta dysponuje stosunkowo prostymi narzędziami, nie sprawia to, że jej kampania SneakyPastes (nazwana ze względu na jej aktywne wykorzystywanie serwisu pastebin.com) niesie ze sobą mniejsze zagrożenie.
SneakyPastes
Kampania składa się z kilku etapów. Rozpoczyna się od wiadomości phishingowej pochodzącej z jednorazowych adresów i domen. Czasami wiadomości te zawierają odnośniki do szkodliwych programów lub zainfekowane załączniki. Jeśli ofiara uruchomi załączony plik (lub kliknie łącze), na urządzenie trafia szkodliwy program Stage One odpowiedzialny za aktywowanie łańcucha infekcji.
Wiadomości, których celem jest uśpienie czujności odbiorcy, poruszają przeważnie tematy związane z polityką — są zapisami negocjacji politycznych lub pochodzą od jakichś wiarygodnych organizacji.
Gdy szkodliwy program Stage One przedostanie się na komputer, próbuje bezpiecznie się schronić, tak aby nie zidentyfikowały go programy antywirusowe, jak również ukryć serwer poleceń.
Atakujący wykorzystują serwery publiczne (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com i pomf.cat) do przeprowadzania kolejnych etapów ataku (w tym dostarczania szkodliwego oprogramowania) i, co ważniejsze, do komunikacji z serwerem poleceń. Zazwyczaj w celu przesłania zdobytych informacji używają różnych metod równocześnie.
Ostatecznie urządzenie zostaje zainfekowane szkodliwym programem RAT, który oferuje potężne możliwości: może na przykład dowolnie pobierać i przesyłać pliki, uruchamiać aplikacje, wyszukiwać dokumenty i szyfrować informacje.
Szkodliwy program skanuje komputer ofiary w celu zlokalizowania wszystkich plików PDF, DOC, DOCX i XLSX, zapisuje je w folderach plików tymczasowych, klasyfikuje, archiwizuje i szyfruje, aby ostatecznie wysyłać na serwer kontroli poprzez łańcuch domen.
Zarejestrowaliśmy wiele narzędzi użytych w takim ataku. Więcej informacji i szczegółów technicznych znajduje się w tym poście w serwisie Securelist.
Zintegrowana ochrona na zintegrowane zagrożenia
Nasze produkty są stworzone z myślą o efektywnym zwalczaniu komponentów używanych w kampanii SneakyPastes. Aby uniknąć ataku, warto postępować z poniższymi radami:
- Naucz pracowników rozpoznawać niebezpieczne wiadomości, zarówno wysyłane masowo, jak i ukierunkowane; cybergang Gaza rozpoczyna atak od phishingu.
- Używaj zintegrowanych rozwiązań wbudowanych w celu zwalczania złożonych i wieloetapowych ataków, które mogą być zbyt skomplikowane dla zwykłych produktów antywirusowych. Aby zatrzymać atak na poziomie sieci, zalecamy korzystanie z pakietu składającego się z rozwiązania Kaspersky Anti Targeted Attack i Kaspersky Endpoint Detection and Response.
- Jeśli Twoja firma korzysta ze specjalnej usługi bezpieczeństwa informacji, zadbaj o otrzymywanie zamkniętych raportów Kaspersky Lab, w których podajemy szczegółowe informacje na temat aktualnych cyberzagrożeń. Subskrypcji można dokonać, pisząc na pod adres intelreports@kaspersky.com.