•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа в Азиатско-Тихоокеанском регионе.

«Лаборатория Касперского» обнаружила новую кампанию кибершпионажа в Азиатско-Тихоокеанском регионе.

 В июне 2020 года исследователи «Лаборатории Касперского» выявили новую кампанию кибершпионажа, нацеленную на правительственные и военные организации во Вьетнаме.


"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА..

logo.jpg   РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Kaspersky для бизнеса Стандартный 
Бизнес меняется и становится цифровым, поэтому важно обеспечить надежную защиту каждого вашего сервера, ноутбука и мобильного устройства. Решение нового поколения с единой консолью управления поможет надежно защитить от киберугроз все рабочие места вашей организации. Kaspersky для бизнеса Стандартный купить Подробнее>>
Kaspersky для бизнеса Расширенный 
Бизнес меняется и становится цифровым, поэтому важно обеспечить надежную защиту каждого вашего сервера, ноутбука и мобильного устройства. Решение нового поколения с единой консолью управления поможет надежно защитить от киберугроз все рабочие места вашей организации. Kaspersky для бизнеса Расширенный купить Подробнее>>
Kaspersky Total Security для бизнеса 
Бизнес меняется и становится цифровым, поэтому важно обеспечить надежную защиту каждого вашего сервера, ноутбука и мобильного устройства. Решение нового поколения с единой консолью управления поможет надежно защитить от киберугроз все рабочие места вашей организации. Kaspersky Total Security для бизнеса купить Подробнее>>
Безопасность нового поколения для бизнеса. Купить (Kaspersky Base lic) или продлить (Kaspersky renewal lic) лицензию (ключ) Kaspersky.


Её конечной целью была установка инструмента удалённого администрирования, который обеспечивал полный контроль над заражённым устройством. Дальнейший анализ показал, что вредоносную кампанию с использованием усовершенствованных техник провели злоумышленники, связанные с Cycldek — китайскоязычной APT-группировкой, действующей по меньшей мере с 2013 года.
Зачастую китайскоязычные APT-группировки делятся методиками друг с другом. Это позволяет исследователям «Лаборатории Касперского» проще выявлять целевые атаки, за которыми стоят широко известные LuckyMouse, HoneyMyte и Cycldek. Изучая новую кампанию кибершпионажа, эксперты сразу обратили внимание на тактики, применяемые против правительственных и военных организаций во Вьетнаме, в частности — на подмену динамически загружаемых библиотек для запуска вредоносного кода.
Используемый злоумышленниками способ защиты вредоносного кода от анализа демонстрирует, что техники APT-группировок Азиатско-Тихоокеанского региона совершенствуются. Заголовки исполняемых файлов финальных троянцев были полностью удалены, а оставшиеся содержали бессмысленные значения. Таким образом атакующие значительно затрудняют экспертам исследование вредоносного ПО. Помимо этого, компоненты цепи заражения были тесно связаны, а значит, отдельные фрагменты трудно и иногда невозможно анализировать изолированно, вне общей картины вредоносной активности.
Исследователи «Лаборатории Касперского» обнаружили, что в ходе атак загружались ещё две вредоносные программы. Первая — DropPhone — собирала информацию о том, что происходило на заражённом устройстве, и отправляла её в DropBox. Вторая — CoreLoader — запускала код, который помогал вредоносному ПО избегать обнаружения защитными решениями.
Кампания кибершпионажа затронула десятки компьютеров, 80% из них находились во Вьетнаме. В большинстве случаев атакам подвергались правительственные и военные организации, а также учреждения, связанные со здравоохранением, дипломатией, образованием или политикой. Кроме того, были выявлены редкие случаи целевых атак в Центральной Азии и Таиланде.

«Вредоносная программа, использованная в последних атаках, имеет сходство со зловредом RedCore, который мы обнаружили в прошлом году. Не без доли сомнения мы считаем, что за новой кампанией кибершпионажа стоит Cycldek. Ранее она казалась нам наименее изобретательной APT-группировкой, действующей в Азиатско-Тихоокеанском регионе, однако её недавняя активность демонстрирует совершенствование техник и значительный прогресс, — комментирует Марк Лехтик, старший эксперт команды GReAT. — Сейчас можно подумать, что эта кампания кибершпионажа представляет собой локальную угрозу, однако есть вероятность, что в будущем зловред FoundCore появится и в других регионах».

Более детальная информация о кампании кибершпионажа в Азиатско-Тихоокеанском регионе доступна на Securelist https://securelist.com/the-leap-of-a-cycldek-related-threat-actor/101243/.
Также 8 апреля в 17.00 по московскому времени эксперты GReAT проведут воркшоп по реверс-инжинирингу целевого вредоносного ПО. Подробности можно найти по ссылке: https://xtraining.kaspersky.com.
Для защиты организации от целевых атак «Лаборатория Касперского» рекомендует придерживаться следующих мер:
- установить решения Kaspersky Anti Targeted Attack Platform и Kaspersky Endpoint Detection and Response, которые позволяют своевременно обнаруживать киберинциденты и реагировать на них;
- предоставить сотрудникам SOC-центров доступ к наиболее актуальным аналитическим данным о киберугрозах и регулярно повышать их квалификацию, например с помощью Kaspersky Security Awareness.


Материал подготовлен АО "Лаборатория Касперского"
Kaspersky Security - Решения для защиты бизнеса Купить со скидкой.

Переход в он-лайн магазин Датасиcтем - официального Поставщика Kaspersky Lab в Российской Федерации.




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.