Специалисты по кибербезопасности из Kaspersky GReAT (Глобальный центр исследований и анализа угроз «Лаборатории Касперского») выявили серию сложных целевых кибератак на Российские компании в сфере информационных технологий и государственные учреждения.
Эти атаки, названные EastWind, направлены на компрометацию служебной и корпоративной информации.
Этапы проводимых атак
На начальном этапе киберпреступники рассылают массовые электронные письма с вложениями в виде архивов, содержащих вредоносные ярлыки, замаскированные под различные документы. При нажатии на ярлык происходит установка вредоносного ПО, которое взаимодействует с хакерами через облачное хранилище, например, Dropbox.
Внедрение вредоносного программного обеспечения
После успешного проникновения в IT-инфраструктуру целевой организации злоумышленники активируют шпионское ПО на скомпрометированных устройствах.
Одним из таких инструментов является новая версия бэкдора CloudSorcerer, о которой сообщалось ранее. Интересно, что после публикации информации о CloudSorcerer, хакеры усовершенствовали его, добавив возможность использования сервиса «Живой Журнал» в качестве командного сервера, что позволило им лучше скрывать свои действия.
Кроме CloudSorcerer, злоумышленники также используют вредоносные инструменты, ранее применявшиеся группами APT27 и APT31.
Рекомендации по защите
Для предотвращения успешных атак и защиты критической инфраструктуры эксперты из Kaspersky рекомендуют:
- Регулярно проводить оценку безопасности систем OT для выявления и устранения потенциальных уязвимостей.
- Внедрить непрерывную оценку уязвимостей и расстановку приоритетов как основу управления уязвимостями.
- Своевременно обновлять ключевые компоненты корпоративной сети OT; применять исправления безопасности и реализовывать компенсирующие меры.
- Использовать решения EDR, такие как Kaspersky Endpoint Detection and Response, для своевременного обнаружения сложных угроз и эффективного реагирования на инциденты.
- Повышать квалификацию команд в области предотвращения, обнаружения и реагирования на инциденты через специализированные тренинги.
Своевременное выявление и устранение уязвимостей, а также повышение осведомленности и квалификации персонала являются ключевыми мерами защиты от сложных целевых атак на критическую инфраструктуру.