APT

Подкрепяната от Китай APT група Silk Typhoon е проникнала в Комитета за чуждестранни инвестиции в САЩ (CFIUS). CFIUS е правителствена служба, която преглежда външните финансови потоци и сделките с недвижими имоти, за да определи ефекта им върху националната сигурност на страната.

Същите нападатели са пробили и Службата за контрол на чуждестранните активи (OFAC), също част от Министерството на финансите. Тя администрира програмите за търговски и икономически санкции.

Не на последно място, те са хакнали и Службата за финансови изследвания на ведомството.

Хакерите използваха откраднат BeyondTrust Remote Support SaaS API ключ, за да проникнат в мрежата на Министерството на финансите на САЩ. За кампанията беше съобщено преди няколко седмици, но досега липсваха подробости за конкретните цели.

Този случай за пореден път повдигна въпроса за важността, която имат външните доставчици за киберсигурността на всяка организация.

Подкрепяна от Китай APT група е хакнала системите на Министерството на финансите на САЩ. Пробивът е станал възможен през платформа за дистанционна поддръжка, използвана от федералната агенция.

Според New York Times става въпрос за BeyondTrust. Компанията предлага SaaS софтуер, който може да се използва за отдалечен достъп до компютри.

Инцидентът се счита за особено сериозен.

По-рано този месец BleepingComputer съобщи, че BeyondTrust е била пробита. Тогава стана ясно, че нападателите са получили достъп до някои от инстанциите на SaaS услугата Remote Support на компанията. Те са използвали откраднат API ключ, за да нулират паролите на акаунтите на локалните приложения и да получат допълнителен привилегирован достъп до системите.

След като разследва атаката, BeyondTrust откри две Zero day уязвимости, които са позволили да се случи този пробив.

Министерството на финансите на САЩ е сред клиентите на една от тези компрометирани инстанции. Това е позволило на хакерите да откраднат документи от разстояние.

След като BeyondTrust откри нарушението, компанията изключи всички компрометирани инстанции и отмени откраднатия API ключ. Според ФБР и CISA няма доказателства хакерите все още да имат достъп до компютрите на агенцията.

Този пробив идва, след като наскоро APT групата Salt Typhoon проби системите на девет американски телекомуникационни компании. Сред тях бяха и някои от най-големите, включително Verizon, AT&T, Lument и T-Mobile.

Хакерските групи, подкрепяни от национални държави, използват нов инструмент за атаки срещу гражданска критична инфраструктура в западните страни.

Зловреднията софтуер IOCONTROL е специално създаден за заразяване IoT системи и такива за управление и събиране на данни (SCADA). Засегнатите устройства включват рутери, програмируеми логически контролери (PLC), интерфейси човек-машина (HMI), защитни стени и други базирани на Linux IoT/OT платформи.

Компанията за киберсигурност Claroty засича новият инструмент след атака срещу система за управление на гориво. Тя е компрометирана от CyberAv3ngers – APT група, зад която стои Корпуса на гвардейците на ислямската революция на Иран.

В списъка със засегнатите от IOCONTROL доставчици влизат Baicells, D-Link, Hikvision, Red Lion, Orpak, Phoenix Contact, Teltonika и Unitronics.

 

Водещите APT групи са променили съществено тактиките си. Правителствените организации остават основна цел на атаките, но се забелязват нови тенденции в използваните инструменти и подходи.

Кампаниите на всички наблюдавани APT групи стават по-сложни. Те се адаптират все по-добре към промените в защитните механизми на целите си.

Това са основните изводи в проучването APT Activity Report на ESET, покриващо периода април-септември 2024.

Останалите тенденции включват:

• увеличена употреба на легитимни инструменти и услуги за злонамерени цели;
• разширяване на географското покритие на дейността;
• засилено внимание към критичната инфраструктура – енергийни мрежи, транспортен сектор, правителствени ресурси, здравни и финансови системи и др.

Китайски APT групи възприемат нови тактики

Няколко китайски APT групи, включително FlaxTyphoon, WebWorm и Gallium, са преминали към използване на отворения софтуер SoftEtherVPN. Той е основен инструмент за поддържане на достъп до компрометираните мрежи. Този подход им позволява да заобикалят защитни стени, като същевременно трафикът им изглежда легитимен.

Групата MirrorFace, известна с атаките си срещу японски организации, за първи път е насочила вниманието си към европейска дипломатическа организация. За целта тя е използвала Световното изложение 2025 в Осака като примамка.

Интересен момент е завръщането на backdoor инструмента NL след 5-годишно отсъствие.

Иран засилва присъствието си в Африка

Групата Muddy Water, свързвана с иранското разузнаване, показва подобрение в офанзивните си способности.

Наблюдава се засилено насочване към африкански финансови институции, което съвпада с търговските интереси на Техеран в Кения, Замбия и Гана.

Израел остава основна цел, като групата проявява особен интерес към транспортния сектор.

Северна Корея: От криптовалути до шпионаж

Групата Lazarus продължава Operation Dreamjob, насочена към отбранителния сектор. Тя използва основно фалшиви предложения за работа. Нова кампания, наречена Deceptive Development, се фокусира върху freelance разработчици с цел кражба на криптовалути.

KimSuki въвежда иновативна техника за злоупотреба с MSC файлове, която впоследствие е възприета и от други групи. Забелязва се засилена употреба на облачни услуги за хостване на примамливи документи и командни сървъри.

Руски групи: Нови играчи и подобрени инструменти

Идентифицирана е нова група, GreenCube, специализирана в кражба на credentials чрез уязвимости в Roundcube webmail. Групата е активна от 2022 г. и се фокусира върху правителствени и отбранителни организации в Гърция, Полша, Сърбия и Украйна.

Gameretin остава най-активната APT група в Украйна. Тя постоянно подобрява инструментите си, включително Terosig за извличане на данни от Signal.

Sandworm продължава да атакува критична инфраструктура в Украйна, демонстрирайки задълбочено познаване на Linux системите.

 

В продължение на близо 9 години хакерската APT група XDSpy е успявала да се добере до различни правителствени тайни и да остане добре прикрита. И така, до 2020 г.

Разкритието на организацията е станало след изпратен до ESET сигнал от центърa за действие при инциденти в информационната сигурност (CERT) на Белрус до ESET.

Групата е действала по добре позната схема: заразата на жертвите става посредством фишинг. В кампаниите, анализирани от ESET, са използвани примамки, свързани със загубени и намерени предмети и с пандемията COVID-19. При отваряне/изтегляне от линк на злонамерени прикачени файлове, на заразеното устройство се зареждат вторични модули, изпълняващи различни специализирани задачи.

APT групата е започнала дейността си още през 2011 г. и е атакувала правителствени агенции и частни компании в Източна Европа и на Балканите. Основният ѝ фокус е бил  разузнаването и кражбите на документи. Списъкът на известните към момента целеви държави включва Беларус, Молдова, Русия, Сърбия и Украйна.