Блог
Что такое апт: Системы автоматического пожаротушения АПТ
В качестве одной из превентивных мер можно привести в пример «контрразведку», то есть поиск информации о компании в интернете. Знания о том, какие данные уже есть в распоряжении потенциальных злоумышленников, могут помочь спрогнозировать векторы атаки и подготовиться заблаговременно. В этом году количество кибератак на российскую инфраструктуру значительно возросло, пик пришелся на первые недели марта. Принимая во внимание тот факт, что ряд утечек произошел из компаний с достаточно высоким уровнем зрелости с позиции ИБ, можно говорить о том, что и количество АПТ-атак пропорционально выросло.
Основная цель атаки класса АРТ — кража конфиденциальной информации, которую впоследствии можно использовать для получения геополитического преимущества или продажи заинтересованным лицам. Установление виновника – это чрезвычайно сложная задача, уверены эксперты. В этом процессе необходимо собрать максимальное число факторов, которые бы указывали на причастность хакерской группы определенной национальности или организации к совершению преступления. Для этого необходимо взаимодействие между компаниями, работающими в сфере информационной безопасности, жертвами, правоохранительными органами разных стран и т.д. Но и в этом случае устанавливаются только единицы виновников, чаще всего из-за грубых ошибок атакующих.
Злоумышленники используют приманки в виде официально выглядящих документов, новостных статей или даже объявлений о вакансиях, в зависимости от целей и региона. В качестве основного инструмента развития атаки злоумышленники использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей, кражи паролей. На финальном этапе они захватывали контроллер домена и далее получали полный контроль над интересующими злоумышленников рабочими станциями и серверами организации. Количество таргетированных атак в мире по итогам какого-либо года достаточно сложно оценить.
ИТ-специалисты отмечают, что таргетированные атаки составляют незначительную долю среди сверившихся инцидентов. Однако большинство опрошенных отмечает, что для предотвращения целевых атак и своевременного обнаружения попыток взлома, потребуются средства защиты более высокого класса, чем антивирусное ПО. Эксперты Лаборатории Касперского уверены, что для минимизации рисков в случае целенаправленных атак компаниям следует применять комплексный подход к обеспечению информационной безопасности. Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
Целевые атаки CozyDuke
Однако, распыляемый в помещении порошок может приводить к разрушению лакокрасочных покрытий, коррозии металла и различным повреждениям пластиковых изделий, резины, бумаги и других материалов. Воздействие порошка на кожу или в дыхательные пути приводит к неблагоприятным последствиям для здоровья людей, поэтому до включения таких систем обязательно должна быть осуществлена эвакуация людей из зоны тушения. Пенные установки пожаротушения используются преимущественно для тушения легко воспламеняющихся жидкостей и горючих жидкостей в резервуарах, горючих веществ и нефтепродуктов, расположенных как внутри, так и вне зданий.
Если вы не устанавливаете обновления и исправления или делаете это с опозданием, ваша компания становится уязвимой для атак. Обращайте внимание на большие файлы, которые находятся не там, где они должны быть. Часто злоумышленники группируют и сжимают данные, прежде чем экспортировать их из вашей системы.
Технология защиты от угроз удаленного администрирования от ЛК
Системы газового пожаротушения предназначены для обнаружения возгорания на всей контролируемой площади помещений, подачи огнетушащего газа и оповещения о пожаре (Рис. 4). Дренчерные системы также применяются в качестве дренчерных завес, которые обеспечивают отсечение «стеной» огнетушащего вещества помещения, где возникло возгорание, от других помещений здания. Водяные и пенные системы пожаротушения подразделяются на спринклерные, дренчерные, спринклерно-дренчерные, установки пожаротушения тонкораспыленной водой и роботизированные. Можно предположить, что лучшие практики борьбы с таргетированными атаками в будущем будут связаны с инструментами, которые могут обеспечить динамичную защиту, сделать ее непредсказуемой для атакующего. На практике это значит, что одна конкретная группа превратилась в целый картель. По сути, это можно сравнить с ростом колумбийского картеля времен Пабло Эскобара.
Злоумышленники компрометируют системы загрузкой вредоносов или эксплуатацией уязвимостей для кражи конфиденциальной информации или для нарушения стабильной работы устройств. Технологии защиты от таргетированных атак были и раньше, но сейчас они выходят на новый уровень. В первую очередь речь идет о различных инструментах для выявления аномалий – как на локальных компьютерах, так и на уровне сетевой активности.
Что могут сделать хакеры, зная адрес вашей электронной почты?
Из инструментов разведки в исследованных кампаниях группа применяла утилиты Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r. Традиционно в качестве начального вектора проникновения атакующим из APT41 приписывают фишинг, эксплуатацию различных уязвимостей, в том числе, и Proxylogon, watering hole или атаки на цепочки поставок. Однако в наблюдаемых Group-IB кампаниях злоумышленники проникали в целевые системы используя SQL-инъекции для веб-сайтов с помощью общедоступного инструмента SQLmap.
- Хакеры находятся в вашей системе c определенной целью — добыть конкретную информацию.
- Если вы не устанавливаете обновления и исправления или делаете это с опозданием, ваша компания становится уязвимой для атак.
- 17 мая 2022 года компания Positive Technologies сообщила, что ее экспертный центр безопасности (PT Expert Security Center, PT ESC) обнаружил очередную киберпреступную группировку.
- Респонденты отметили, что в результате целевых атак они чаще всего сталкивались с такими последствиями, как простой инфраструктуры , нарушение бизнес-процессов и уничтожение или изменение данных.
Собрав всю информацию, злоумышленники развертывают небольшую версию программного обеспечения. Эта разведывательная программа помогает проверить сигналы тревоги и выявить слабые места системы. Помимо кражи данных, целью APT может быть саботаж инфраструктуры, разрушение отдельных систем или захват сайта. Каждая атака имеет свою уникальную цель, но цель всегда представляет собой сочетание утечки данных, шпионажа и саботажа. Установки порошкового пожаротушения являются самыми дешевыми в монтаже и эксплуатации системами.
Число целевых атак увеличилось с 77 до 82 в день
На карте гонки киберпротивостояния спецслужб наибольшее количество групп сосредоточено в Китае – 23, в Иране — 8 групп, в Северной Корее и России — по 4 группы, в Индии – 3 группы, в Пакистане и Секторе Газа — по 2 группы. Замыкают антирейтинг Вьетнам, Турция и Южная Корея – по одной группе в каждой стране. Респонденты отметили, что в результате целевых атак они чаще всего сталкивались с такими последствиями, как простой инфраструктуры , нарушение бизнес-процессов и уничтожение или изменение данных. Чтобы еще больше усложнить цепочку заражений, первый C&C-сервер перенаправляет IP-адрес жертвы на другой VBS-сервер, который затем сравнивает его со входящим запросом, который генерируется после открытия жертвой документа-приманки.
Согласно полученным данным, в некоторых финансовых организациях используются лишь базовые средства защиты, которых недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий. Лишь 22% респондентов, представляющих финансовую отрасль, считают, что их компания в состоянии отразить атаки APT-группировок. При этом 63% респондентов на практике сталкивались с последствиями кибератак, и 34% признали, что организация понесла прямые финансовые потери. В ходе реагирований на инциденты, связанные с группой RedCurl, DFIR-специалисты Group-IB выяснили, что после получения первоначального доступа атакующие находятся в сети жертвы от 2-х до 6-ти месяцев. Троян RedCurl.Dropper, как и остальные инструменты группы, не подключается к командному серверу злоумышленников напрямую. Вместо этого все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища, такие как Cloudme, koofr.net, pcloud.com и другие.
Спринклерная (водная) система пожаротушения
Группа действовала максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др. Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.
22 ноября 2019 года эксперты Positive Technologies подвели итоги третьего квартала 2019 года. Trojan.XPath.2 является драйвером и служит для сокрытия присутствия вредоносной активности в скомпрометированной системе, параллельно запуская другой модуль. Драйвер имеет китайские цифровые подписи, а его работа основана на проектах с открытым исходным кодом. В отличие от других компонентов, хранимых в системном реестре, файлы драйвера располагаются на диске, при этом программа работает скрытно. Помимо сокрытия файла драйвера на диске в задачи компонента входит внедрение загрузчика полезной нагрузки в процесс lsass.exe, а также маскировка сетевой активности трояна. После компиляции его кодировали в Base64, а затем разбивали ровно по 775 символов и добавляли в текстовый файл определенной командой.
Это сокращает и время реакции на инцидент, и увеличивает оперативность действий, уменьшая количество времени киберпреступника на раздумья и ответные действия. Субъективные атаки могут быть направлены абсолютно на любую компанию, поскольку она оплачивается третьей стороной, как правило – компанией-конкурентом. Базовый признак – преступник получает деньги за атаку, а не в результате ее. В ход идут самые разные инструменты, от OSINT-исследований до подкупа или «дружбы» с бывшими или действующими сотрудниками компании, изучения ее контрагентов, известных клиентов и подрядчиков. Есть и вторичные признаки, которые связаны с организационными моментами, моделью взаимодействия с заказчиками и жертвами уже после выполнения атаки, возможностями в плане социальной инженерии.
Несколько лет назад бэкдор этого семейства был обнаружен в фишинговом письме, направленном в одно из государственных учреждений Казахстана. Кроме того, RTF-документ, устанавливающий этот образец BackDoor.Apper.14, впервые был загружен на VirusTotal из Казахстана 19 марта 2019 года. Компании удалось подробно изучить информацию с нескольких внутрисетевых серверов, принадлежащих пострадавшим учреждениям Казахстана и Киргизии. Все рассматриваемые в исследовании устройства работают под управлением операционных систем Microsoft Windows.
По мнению ИБ-экспертов из Microsoft Threat Intelligence Center (MSTIC) и Digital Security Unit (DSU), данная деятельность является частью более обширной шпионской кампании по компрометации объектов, представляющих интерес для иранского режима. Уведомлений более 40 ИТ-компаний, предупредив о попытках взлома, координируемых иранскими APT. Большинство атак нацелены на индийские компании, а также на несколько компаний в Израиле и Объединенных Арабских Эмиратах. Особый интерес представляет инструментарий Space Pirates, который состоит из необычных загрузчиков (в изучаемых случаях они содержали приманки с русским текстом) и ранее не описанных бэкдоров, таких как MyKLoadClient, BH_A006 и Deed RAT. Группа использует особенности файлов HTML-Application (HTA) и Compiled HTML Help (CHM) в качестве приманки для компрометации системы. Правоохранительные органы не сообщили, какая федеральная организация стала жертвой хакеров, сказав лишь, что она является одним из агентств (Federal Civilian Executive Branch Agencies, FCEB).
Что такое целевая продолжительная атака повышенной сложности (APT)
Задачей таких систем является поиск всего необычного, что происходит, а не поиск вредоносного года. Это объясняется тем, что во многих случаях атакующие могут вообще не использовать вредоносные программы. Важно отметить, что хакеры могут инициировать атаки, используя методы тагетирования, которые не являются ни новыми, ни постоянно применяемыми.
