קספרסקי: אלו חמשת קבוצות התקיפה הפעילות ביותר ברבעון שני השנה
חברת קספרסקי שמה דגש על חמש קבוצות תקיפה המשתמשות בתקיפות מתקדמות (APT)
עמי רוחקס דומבה
| 04/08/2020
שנת 2020 היא השנה בה שום דבר לא נשאר זהה, ובכל זאת – עבור פושעי סייבר וקבוצות APT (ר"ת Advanced Persistent Threat) נמשכו החיים כאילו לא השתנה דבר, כאשר מגפת הקורונה למעשה משמשת באופן פעיל כפיתיון לקמפיין מתקפות סייבר, קטנות כגדולות. חוקרים של חברת הסייבר קספרסקי המשיכו לצפות בהתפתחות ארסנל התחמושת של קבוצות APT בכל החזיתות: החל מכיוון המתקפות לפלטפורמות חדשות ועד לשימוש בכלים חדשים לחלוטין.
כעת, משחררת חברת קספרסקי את מגמות ה-APT לרבעון Q2 2020, זאת כחלק מדו"ח איומי הסייבר החדש. הדו"ח הרבעוני החדש של קספרסקי בנושא מגמות קבוצות ה-APT מבוסס על מחקר איומי האבטחה של קספרסקי, כמו גם על מקורות אחרים המתייחסים להתפתחויות העיקריות שחוקרי קספרסקי מאמינים כי על המגזר העסקי להיות מודע להם.
על פי הדו"ח החדש, ברבעון השני לשנת 2020, חוקרי קספרסקי הבחינו בהתפתחויות רבות בטקטיקות, בטכניקות ובתהליכים (TTP) של קבוצות ה-APT, כאשר השינויים המשמעותיים ביותר בהם הבחינו החוקרים יושמו על לידי הקבוצות הבאות.
קבוצת לזרוס (Lazarus Group) – שחקנית מרכזית מזה זמן מה בקרב קבוצות APT, אך כעת נראה כי היא משקיעה אף עוד יותר בתקיפות שמאחוריהן מניע כספי. לצד מטרות כמו ריגול-סייבר וחבלת-סייבר, קבוצת לזרוס גם שמה לעצמה למטרה בנקים וחברות נוספות בתחום הפיננסים מסביב לעולם. ברבעון זה, חוקרי קספרסקי אף זיהוי גם שימוש בפלטפורמה חדשה המקושרת ללזרוס בשם MATA. מדובר בפלטפורמת נוזקה חדשה התומכת במספר מערכות הפעלה, ומיועדת להפצת נוזקות.
קבוצת CactusPete – מדובר בקבוצת APT דוברת סינית, הנוהגת לבצע שימוש בפלטפורמת ShadowPad המודולרית והמורכבת, שאף מציעה תוספים (Plugins) ומודולים שונים לפונקציונליות מגוונת. פלטפורמת ShadowPad יושמה בעבר בתקיפות סייבר גדולות עם תוספים שונים במתקפות שונות.
קבוצת MuddyWater – קבוצת APT שהתגלתה ב-2017 ומאז הייתה פעילה בעיקר במזרח התיכון, כאשר בשנת 2019, דיווחו חוקרי קספרסקי על פעילות נגד חברות טלקום וארגונים ממשלתיים במזרח התיכון. לאחרונה, זיהתה קספרסקי כי MuddyWater מבצעת שימוש בכלי C++ שזוהה בגל תקיפות חדש, במרכזו ניצלה הקבוצה כלי קוד-פתוח בשם Secure Socket Funneling.
קבוצת HoneyMyte – מדובר בקבוצת APT שביצעה מתקפה מסוג Watering Hole על אתר ממשלתי בדרום-מזרח אסיה. זה, שהוקם במרץ, ממנף טכניקות של הנדסה חברתית (Social Engineering) ורשימות לבנות (Whitelisting) על מנת להדביק את יעדיו.
קבוצת OceanLotus – קבוצת ה-APT שעומדת מאחורי קמפיין המובייל PhantmLance Mobile. הקבוצה השתמשה ב-Multi-Stage Loader מאז המחצית השנייה של 2019, כאשר הגרסאות החדשות משתמשות במידע קונקרטי ליעד (שם משתמש, Hostname וכד') אותו הם השיגו לפני כן, זאת על מנת לוודא את הפעלת הנוזקה על הקורבן הנכון.
חברת קספרסקי שמה דגש על חמש קבוצות תקיפה המשתמשות בתקיפות מתקדמות (APT)
שנת 2020 היא השנה בה שום דבר לא נשאר זהה, ובכל זאת – עבור פושעי סייבר וקבוצות APT (ר"ת Advanced Persistent Threat) נמשכו החיים כאילו לא השתנה דבר, כאשר מגפת הקורונה למעשה משמשת באופן פעיל כפיתיון לקמפיין מתקפות סייבר, קטנות כגדולות. חוקרים של חברת הסייבר קספרסקי המשיכו לצפות בהתפתחות ארסנל התחמושת של קבוצות APT בכל החזיתות: החל מכיוון המתקפות לפלטפורמות חדשות ועד לשימוש בכלים חדשים לחלוטין.
כעת, משחררת חברת קספרסקי את מגמות ה-APT לרבעון Q2 2020, זאת כחלק מדו"ח איומי הסייבר החדש. הדו"ח הרבעוני החדש של קספרסקי בנושא מגמות קבוצות ה-APT מבוסס על מחקר איומי האבטחה של קספרסקי, כמו גם על מקורות אחרים המתייחסים להתפתחויות העיקריות שחוקרי קספרסקי מאמינים כי על המגזר העסקי להיות מודע להם.
על פי הדו"ח החדש, ברבעון השני לשנת 2020, חוקרי קספרסקי הבחינו בהתפתחויות רבות בטקטיקות, בטכניקות ובתהליכים (TTP) של קבוצות ה-APT, כאשר השינויים המשמעותיים ביותר בהם הבחינו החוקרים יושמו על לידי הקבוצות הבאות.
קבוצת לזרוס (Lazarus Group) – שחקנית מרכזית מזה זמן מה בקרב קבוצות APT, אך כעת נראה כי היא משקיעה אף עוד יותר בתקיפות שמאחוריהן מניע כספי. לצד מטרות כמו ריגול-סייבר וחבלת-סייבר, קבוצת לזרוס גם שמה לעצמה למטרה בנקים וחברות נוספות בתחום הפיננסים מסביב לעולם. ברבעון זה, חוקרי קספרסקי אף זיהוי גם שימוש בפלטפורמה חדשה המקושרת ללזרוס בשם MATA. מדובר בפלטפורמת נוזקה חדשה התומכת במספר מערכות הפעלה, ומיועדת להפצת נוזקות.
קבוצת CactusPete – מדובר בקבוצת APT דוברת סינית, הנוהגת לבצע שימוש בפלטפורמת ShadowPad המודולרית והמורכבת, שאף מציעה תוספים (Plugins) ומודולים שונים לפונקציונליות מגוונת. פלטפורמת ShadowPad יושמה בעבר בתקיפות סייבר גדולות עם תוספים שונים במתקפות שונות.
קבוצת MuddyWater – קבוצת APT שהתגלתה ב-2017 ומאז הייתה פעילה בעיקר במזרח התיכון, כאשר בשנת 2019, דיווחו חוקרי קספרסקי על פעילות נגד חברות טלקום וארגונים ממשלתיים במזרח התיכון. לאחרונה, זיהתה קספרסקי כי MuddyWater מבצעת שימוש בכלי C++ שזוהה בגל תקיפות חדש, במרכזו ניצלה הקבוצה כלי קוד-פתוח בשם Secure Socket Funneling.
קבוצת HoneyMyte – מדובר בקבוצת APT שביצעה מתקפה מסוג Watering Hole על אתר ממשלתי בדרום-מזרח אסיה. זה, שהוקם במרץ, ממנף טכניקות של הנדסה חברתית (Social Engineering) ורשימות לבנות (Whitelisting) על מנת להדביק את יעדיו.
קבוצת OceanLotus – קבוצת ה-APT שעומדת מאחורי קמפיין המובייל PhantmLance Mobile. הקבוצה השתמשה ב-Multi-Stage Loader מאז המחצית השנייה של 2019, כאשר הגרסאות החדשות משתמשות במידע קונקרטי ליעד (שם משתמש, Hostname וכד') אותו הם השיגו לפני כן, זאת על מנת לוודא את הפעלת הנוזקה על הקורבן הנכון.
