APT
На международной конференции Security Analyst Summit наши эксперты из Kaspersky Global Research and Analysis Team (GReAT) представили несколько крайне увлекательных исследований. Мы не станем подробно пересказывать каждое из них — просто кратко обрисуем самое интересное.
Шпионская платформа StripedFly
Практически детективное расследование, в ходе которого наши эксперты выяснили, что зловред, ранее детектировавшийся как обычный майнер криптовалюты Monero, на самом деле является прикрытием для сложной модульной угрозы, способной поражать машины как под Windows, так и под Linux. Различные модули StripedFly умеют красть информацию с компьютера, снимать скриншоты, записывать звук с микрофона, перехватывать пароли Wi-Fi. Впрочем, с тем же успехом модули могут функционировать и в качестве шифровальщика-вымогателя, и для майнинга криптовалюты.
Интересно, что угроза способна распространяться с помощью эксплойта EthernalBlue, хотя, казалось бы, этот вектор был запатчен еще в 2017 году. Кроме того, StripedFly может заражать системы под Linux и Windows с запущенным SSH-сервером, используя для этого украденные ключи и пароли. Подробное исследование c индикаторами компрометации можно найти в блоге Securelist.
Подробности атаки Operation Triangulation
Еще один доклад Security Analyst Summit был посвящен окончанию исследований атаки Operation Triangulation, целью которой были и наши сотрудники. Подробный анализ угрозы позволил нашим экспертам обнаружить пять уязвимостей в системе iOS, причем четыре из них (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 и CVE-2023-41990) были уязвимостями нулевого дня. Они затрагивали не только iPhone, но также iPod, iPad, macOS, Apple TV и Apple Watch. Также выяснилось, что помимо инфицирования устройств через iMessage, злоумышленники могли атаковать и браузер Safari. Вот в этом посте можно прочитать подробности анализа данной угрозы.
Новая кампания группировки Lazarus
Следующий доклад экспертов GReAT рассказывал о новых атаках APT Lazarus. Теперь эта группировка интересуется разработчиками программного обеспечения (некоторых из них атаковали несколько раз), а также активно использует атаки через цепочку поставок.
Через уязвимости в легитимном ПО для шифрования коммуникаций Lazarus инфицирует систему и разворачивает новый имплант SIGNBT, основная часть которого работает исключительно в памяти. Он служит для изучения жертвы (настроек сети, имен процессов и пользователей), а также для запуска дополнительной вредоносной нагрузки. В частности, загружает улучшенную версию уже известного бэкдора LPEClient, который тоже работает в памяти и в свою очередь запускает инструменты для кражи учетных данных или другой информации. Техническую информацию о новых инструментах группировки, равно как и индикаторы компрометации, также можно найти в блоге Securelist.
Атака TetrisPhantom
Помимо этого эксперты представили подробности атаки TetrisPhantom, направленной на правительственные учреждения Азиатско-Тихоокеанского региона. Она проводится при помощи компрометации защищенного USB-накопителя, обеспечивающего аппаратное шифрование и используемого государственными организациями. Исследуя эту угрозу, эксперты выявили целую шпионскую кампанию, применяющую ряд вредоносных модулей для выполнения команд, сбора файлов и информации со скомпрометированных компьютеров и передачи их на другие машины — также при помощи защищенных USB-накопителей в качестве носителя. Немного больше про эту кампанию можно найти в нашем квартальном отчете об APT-угрозах.
Советы