Skupina Lazarus neútočí jenom na obranný průmysl, vyvíjí prostředky i pro útok na dodavatelské řetězce

Skupina Lazarus neútočí jenom na obranný průmysl, vyvíjí prostředky i pro útok na dodavatelské řetězce

Aktéři pokročilých perzistentních hrozeb (APT) neustále zdokonalují svoje metody práce. Někteří sice zůstávají ve své strategii konzistentní, jiní si však rychle osvojují nové techniky, taktiky a postupy. Ve třetím čtvrtletí výzkumníci společnosti Kaspersky zaznamenali, že skupina Lazarus, velmi aktivní tvůrce pokročilých hrozeb, rozvíjí svoje schopnosti útoku na dodavatelské řetězce a využívá svůj multiplatformní framework MATA pro kybernetickou špionáž. Tento a další trendy APT z celého světa shrnuje nejnovější čtvrtletní zpráva o hrozbách vydaná společností Kaspersky.

Lazarus patří mezi nejaktivnější iniciátory hrozeb na světě a působí přinejmenším od roku 2009. Tato skupina využívající APT stojí za rozsáhlými kybernetickými špionážními a ransomwarovými kampaněmi a byla vystopována při útocích na obranný průmysl a trh s kryptoměnami. Má k dispozici řadu pokročilých nástrojů a zdá se, že se je rozhodla použít k novým cílům.

V červnu 2021 analytici společnosti Kaspersky zaznamenali, že Lazarus útočí na obranný průmysl pomocí malwarového frameworku MATA, který umožňuje napadat tři operační systémy – Windows, Linux a macOS. Skupina Lazarus používala dříve MATA k útokům na různá průmyslová odvětví, například pro krádeže zákaznických databází nebo šíření ransomwaru. Tentokrát však naši výzkumníci vysledovali, že Lazarus využívá MATA i pro kybernetickou špionáž. Útočníci připravili trojanizovanou verzi aplikace, o které věděli, že ji používá jimi vybraná oběť, což je dobře známý charakteristický postup skupiny Lazarus. Za povšimnutí stojí, že to není poprvé, co tato skupina zaútočila na obranný průmysl – její předchozí kampaň ThreatNeedle byla provedena podobným způsobem v polovině roku 2020.

Skupina Lazarus byla také přistižena při vytváření prostředků schopných zaútočit na dodavatelské řetězce pomocí aktualizovaného clusteru DeathNote, který obsahuje mírně upravenou variantu malwaru BLINDINGCAN, o němž již dříve informovala americká agentura CISA (Cybersecurity and Infrastructure Security Agency). Výzkumníci společnosti Kaspersky objevili kampaně zaměřené na jihokorejský think-tank a dodavatele řešení pro monitorování IT prostředků. V prvním odhaleném případě připravila skupina Lazarus infekční řetězec, který byl zabudován do legitimního jihokorejského bezpečnostního softwaru a nasazoval škodlivý payload; ve druhém případě byla cílem společnost vyvíjející řešení pro monitorování aktiv v Lotyšsku, což je pro Lazarus netypická oběť. Jako součást infekčního řetězce použila skupina Lazarus downloader s názvem „Racket“, který podepsala pomocí ukradeného certifikátu. Podařilo se jí kompromitovat zranitelné webové servery a nahrát několik skriptů pro filtrování a ovládání škodlivých implantátů na úspěšně napadených strojích.

„Současný vývoj naznačuje dvě věci: Lazarus se nadále zajímá o obranný průmysl a snaží se také rozšířit svoje schopnosti o útoky na dodavatelské řetězce. Tato skupina zaměřená na APT přitom není jediná, která má takové plány. V uplynulém čtvrtletí jsme sledovali podobné útoky, které provedly skupiny SmudgeX a BountyGlad. Pokud jsou útoky na dodavatelský řetězec úspěšné, mohou mít ničivé následky a zasáhnout mnohem více než jednu organizaci, což jsme jasně viděli při útoku na SolarWinds v loňském roce. Vzhledem k tomu, že se aktéři hrozeb snaží tyto schopnosti stále rozvíjet, musíme zůstat ostražití a zaměřit tímto směrem svoje obranné úsilí,“ říká Ariel Jungheit, bezpečnostní analytik z týmu GReAT společnosti Kaspersky.

Zpráva o trendech v oblasti APT za 3. čtvrtletí shrnuje výsledky samostatných zpráv o hrozbách, které společnost Kaspersky poskytuje pouze předplatitelům a které obsahují také údaje o indikátorech kompromitace (IoC) a pravidla YARA, která pomáhají při forenzní analýze a vyhledávání malwaru. Pro získání dalších informací kontaktujte: intelreports@kaspersky.com.

Pokud se chcete vyhnout cílenému útoku známého nebo neznámého aktéra hrozeb, zvažte následující doporučení bezpečnostních expertů společnosti Kaspersky:

• Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách (TI). Jednotným přístupovým bodem k takovým informacím je Kaspersky Threat Intelligence Portal, který poskytuje data o kybernetických útocích a poznatky nashromážděné společností Kaspersky za více než 20 let. Bezplatný přístup k jeho administrátorským funkcím, které uživatelům umožňují kontrolovat soubory, adresy URL a IP adresy, je k dispozici zde.

• Zvyšujete kvalifikaci svého bezpečnostního týmu, aby dokázal čelit nejnovějším cíleným hrozbám, pomocí online školení Kaspersky vyvinutého odborníky z týmu GReAT (Global Research & Analysis Team).

• Implementujte řešení EDR pro detekci, vyšetřování a včasnou nápravu incidentů na úrovni koncových bodů, například Kaspersky Endpoint Detection and Response.

• Kromě nasazení základní ochrany koncových bodů implementujte firemní bezpečnostní řešení, které detekuje pokročilé hrozby v síti již v rané fázi, například Kaspersky Anti Targeted Attack Platform.

• Vzhledem k tomu, že mnoho cílených útoků začíná phishingem nebo jinými technikami sociálního inženýrství, zaveďte školení o kybernetické bezpečnosti a naučte svůj tým praktickým dovednostem – například prostřednictvím Kaspersky Automated Security Awareness Platform.

Zdroj informací

Kaspersky a NejBusiness.cz

Datum

31. října 2021

Sociální sítě NejBusiness.cz

Přihlášení

Přihlášení
E-mail:
Heslo:

Doporučujeme

Zajímavosti a tiskové zprávy

3. července 2025

Program turistických voucherů pro Jeseníky přinesl regionu téměř 300 milionů korun

rogram turistických voucherů pro Jeseníky realizovaný Ministerstvem pro místní rozvoj (MMR) ve spolupráci...

11. června 2025

SÚIP: V roce 2024 provedl bezmála 19 000 kontrol a udělil pokuty za téměř 470 miliónů

Celkem 18 969 provedených kontrol, 5 595 udělených pokut v celkové výši 468 994 500 korun, ale i 1 934...

6. června 2025

První vysokorychlostní trať v ČR „Moravská brána“ je blíže realizaci

První vysokorychlostní trať v České republice uspěla v procesu posouzení vlivů na životní prostředí (EIA)...

4. června 2025

Firmy v železničním průmyslu nabízejí stovky pracovních míst pro letošní absolventy technicky zaměřených středních škol

Členské firmy Asociace podniků českého železničního průmyslu - ACRI letos nabízejí stovky pracovních míst,...

16. května 2025

Samsung přebírá špičkového globálního výrobce HVAC zařízení FläktGroup

Společnost Samsung Electronics oznámila, že uzavřela dohodu o převzetí veškerých akcií skupiny FläktGroup,...

27. dubna 2025

SGEF reportuje 36% nárůst financování strojů a technologických zařízení

Société Générale Equipment Finance (SGEF), tuzemský lídr nebankovního financování firem a člen Skupiny...

25. dubna 2025

Flexibilních kanceláří v Česku už je přes 172 500 metrů čtverečních. A bude jich více i v regionech

Flexibilní kanceláře v Česku zažívají rekordní růst. Po utlumení poptávky během pandemie sledujeme výrazné...

22. dubna 2025

IROP v roce 2024: 2 409 podpořených projektů a investice za 26,5 miliardy korun

Integrovaný regionální operační program (IROP) v roce 2024 významně podpořil rozvoj regionů napříč všemi...

17. dubna 2025

Inspekce práce v loňském roce při kontrolách odhalila téměř 2 tisíce nelegálně pracujících osob

V uplynulém roce 2024 bylo při kontrolách Státního úřadu inspekce práce odhaleno téměř 2 tisíce nelegálně...

9. dubna 2025

ABB, Smart View a Keyence otevřely studentům dveře do reálného světa robotiky na RoboVision Hackathonu

ABB, Smart View a Keyence uspořádali RoboVision Hackathon, který studentům nabídl jedinečnou možnost...

Reklama

Page generated in 1.5327 seconds.
Redakční systém teal.cz naprogramoval Vítězslav Dostál