Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Кибершпионская группа DeathStalker и их инструменты

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Наши эксперты выявили активность киберпреступной группы, специализирующейся на краже коммерческих секретов. Судя по целям, они в основном интересуются финтех-компаниями, юридическими фирмами и финансовыми консультантами. Хотя как минимум в одном случае они атаковали дипломатическую организацию.

Такой выбор целей может говорить о том, что эти злоумышленники, получившие условное название DeathStalker, либо охотятся за какой-то информацией, чтобы затем выставить ее на продажу, либо предоставляют услугу «атака по заказу». То есть работают наемниками.

Группа действует как минимум с 2018 года, а возможно, и с 2012-го. Первым их инструментом, с которым столкнулись наши эксперты, был имплант Powersing. Однако и в более современных атаках DeathStalker использует те же подходы.

Как злоумышленники действуют

Изначально преступники проникают в сеть жертвы при помощи целевого фишинга, присылая кому-то из сотрудников вредоносный файл LNK, замаскированный под офисный документ. То есть по сути это ярлык, который ведет на системный интерпретатор командной строки cmd.exe и с его помощью выполняет вредоносный скрипт. Причем жертве демонстрируют бессмысленный документ в формате PDF, DOC или DOCX, что создает иллюзию нормального взаимодействия с файлом.

Интересно, что во вредоносном коде нет адреса командного сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки. Такая тактика носит название dead drop resolver.

В процессе выполнения следующего этапа злоумышленники захватывают контроль над компьютером, помещают очередной вредоносный ярлык в папку автозапуска (чтобы оставаться в системе после перезагрузки) и устанавливают связь с настоящим контрольным сервером (опять же, получив его адрес из бессмысленной строки в сообщении на легитимном сайте).

Имплант Powersing, по сути, может выполнять две задачи — периодически делать снимки экрана на машине жертвы и отправлять их на командный сервер, а также исполнять скачанные с командного сервера дополнительные скрипты PowerShell. То есть его цель — закрепиться на машине жертвы и служить для запуска дополнительных инструментов.

Методы обмана защитных технологий

На всех этапах это вредоносное ПО использует различные методы обхода защитных технологий. Причем эти методы варьируются в зависимости от цели. Более того, вредонос определяет, какое антивирусное решение установлено на компьютере жертвы, и в случае чего может сменить тактику или вообще отключиться. Наши эксперты предполагают, что перед каждой атакой злоумышленники изучают цель и подстраивают скрипты под нее.

Но самый любопытный метод, применяемый DeathStalker, — это как раз использование публичных сервисов в качестве механизма dead drop resolver. По сути, эти сервисы обеспечивают размещение по фиксированному адресу зашифрованной информации в публично доступных постах, комментариях, профилях пользователя, описании контента. Выглядит это примерно вот так:

По большому счету это тоже механизм обмана — так злоумышленники пытаются спрятать начало общения с командным сервером, замаскировав его под легитимное обращение к публичным сайтам. Наши эксперты обнаружили, что для этой цели они используют Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube и сайты на WordPress. Вряд ли это полный список. Как бы то ни было, маловероятно, что компании будут блокировать доступ ко всем этим сервисам.

Информацию о возможной связи группы DeathStalker с вредоносами Janicab и Evilnum, а также полное техническое описание Powersing вместе с индикаторами компрометации можно найти в блогпосте на сайте Securelist.

Как защитить компанию от DeathStalker

Описание методов и инструментов этой группы служит неплохой иллюстрацией того, с какими угрозами в современном мире может столкнуться даже относительно небольшая компания. Да, никаких особо сложных приемов они не используют. Однако их инструменты заточены под обход многих защитных решений. Наши эксперты рекомендуют защитникам:

  • Уделять особое внимание процессам, запускаемым интерпретаторами для скриптовых языков, в частности powershell.exe и cscript.exe. Если они объективно не нужны для выполнения бизнес-задач, то их лучше сделать недоступными.
  • Учит ывать возможность атак, которые начинаются с LNK-файлов в почте.
  • Использовать продвинутые защитные технологии, в том числе и решения класса EDR.

В частности, в нашем арсенале есть интегрированное решение, способное взять на себя функции и Endpoint Protection Platform (EPP), и Endpoint Detection and Response (EDR). Узнать о нем подробнее можно официальной странице.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • infobez_bez
      Автоматическое перемещение устройства между группами администрирования
      Автор infobez_bez
      Здравствуйте
      интересует такой вопрос:
      Например есть группа администрирования "Карантин" - в ней 0 устройств, управляется политикой, которая ограничивает доступ в сеть, блокирована USB шина и т.д.
      Есть группа администрирования " Не карантин" - в ней например 100 устройств, там своя политика.
       
      В KSC, во вкладке "Устройства/Правила перемещения" - есть возможность настройки автоматического перемещения устройств между группами/ распределенными и нераспределенными устройствами. Для настройки перемещения есть условия сработки правила перемещения (теги, сеть, программы и т.д.).

      Плюс есть вкладка Устройства/Выборки устройств - где собраны различные выборки, с защитой/без защиты, устаревшие базы, есть активные угрозы и т.д.
       
      Хотелось бы выполнить настройку таким образом, чтобы при наличии на устройстве активных угроз оно автоматически перемещалось в группу администрирования "Карантин".

      В правилах перемещения - условия похожего на "наличие активных угроз" - нет, перемещать по попаданию в выборку тоже нельзя, но появилась мысль зацепиться за теги, например, есть активная угроза -> назначается тег -> по тегу устройство автоматически перемещается в группу администрирования "карантин" и на него действует соответствующая политика. Но в тегах тоже ничего подходящего не смог найти.
       
      Подскажите, можно ли выполнить настройку автоматического перемещения устройства между группами администрирования (или между политиками)  по наличию на устройстве активных угроз или нахождения вирусной активности? 
      Используется KSC 14.2 для Windows
    • KL FC Bot
      Инструменты контейнерной безопасности и их польза для бизнеса
      Автор KL FC Bot
      Три из четырех организаций в мире используют гибридные облака, и три четверти из них называют свои проекты по миграции и обновлению ИТ успешными. Но что такое успех и как успешный ИТ-проект влияет на бизнес и возможности компании? Этим вопросом задались авторы исследования «Модернизация корпоративных приложений» и обобщили доступную информацию о том, как переход к облачной и контейнерной инфраструктуре повлиял на деятельность компаний, совершивших эту трансформацию.
      Экономические аргументы в пользу перехода получились весомые. В изученных организациях в среднем на 31% снизились операционные расходы на ИТ, а инфраструктурные затраты — на 45%, в том числе затраты на рутинное обслуживание уменьшаются на 52%. Что более важно — впервые за многие годы бизнесы смогли разгрузить свои ИТ-команды от задач по техподдержке старого кода в пользу новых разработок. В крупных организациях ИТ-службы тратят до 80% бюджета на поддержку legacy, и переход на современную разработку не только ее ускоряет, но и высвобождает дополнительные кадры для инноваций. Циклы обновлений ПО ускоряются в итоге на 65%, обеспечивая быструю реакцию на рыночные изменения и лучшее удовлетворение нужд пользователей.
      «Тремя китами» эффективности, которые отвечают за все эти радикальные улучшения, авторы называют переход на контейнерные и микросервисные архитектуры в облачной среде, а также автоматизированные сборочные конвейеры.
      Часть исследования посвящена вопросам информационной безопасности. Благодаря этому можно увидеть, какой вклад вносят различные инструменты ИБ в повышение эффективности ИТ-разработки и к каким показателям стоит стремиться в своей организации. Мы решили проанализировать основные принципы и инструменты и объяснить, как они реализованы в обновленной версии Kaspersky Cloud Workload Security.
      Автоматическое применение и отслеживание политик ИБ
      Ключевым вызовом для ИТ и ИБ является сохранение видимости и контроля над всеми ИТ-активами, и эта задача усложнилась с переходом на гибридные облачные инфраструктуры. Разнообразие активов и инструментов управления ими оборачивается для компании ростом расходов и затрат времени на менеджмент этого «зоопарка». Поэтому унификация управления, контроля соответствия (Compliance), создания и применения политик должна быть одной из приоритетных целей в проектах ИТ-трансформации. Если выбранный набор инструментов ИБ способен решать эту задачу в облачной инфраструктуре компании, службы ИТ и ИБ сэкономят 73% времени, затрачиваемого на менеджмент политик и достижение Security Compliance.
      Практическое воплощение этого принципа можно увидеть в новой версии Kaspersky Cloud Workload Security, решения, обеспечивающего комплексную защиту контейнерных инфраструктур, облачных серверов и виртуальных машин. Сразу несколько инструментов упрощают работу с политиками и дают администраторам централизованный обзор и управление всей инфраструктурой.
      Функция анализа безопасности оркестратора и его кластеров помогает быстро находить проблемы, структурируя их по типам проблем. Автоматическое профилирование контейнеров позволяет с минимальным участием людей улучшать политики безопасности, применяемые в инфраструктуре, а также находить аномально работающие контейнеры для детального анализа.
      Унифицированная облачная консоль Kaspersky Security для виртуальных и облачных сред дает общий обзор облачной или гибридной инфраструктуры и позволяет мгновенно обновлять политики для больших групп ИТ-активов или одновременно запускать на них задачи.
      Что касается виртуальных и физических серверов, то легкий агент, осуществляющий их защиту, выполняет несколько функций, связанных с Compliance и Security Posture, в автоматическом режиме: от автоматического патч-менеджмента и харденинга системы до детального протоколирования событий и применения ролевой системы управления доступом (RBAC).
       
      View the full article
    • Pavel Postnikov
      Не переносятся хосты в группу
      Автор Pavel Postnikov
      Проблема заключается в том что при нормально установленных и рабочих агенте и клиенте (полностью работоспособных) хост не переносится
      в другую группу.
      Удаляли клиент. С работающим агентом переносили хост в другую группу (переносится) а после установки клиента возвращается в исходную
      при этом невозможно перетащить хост в другую группу.
      Хосты сервера в кластере.
    • Evgenqr
      Kaspersky security center. Настроить доступ другому пользователю к определенной группе администрирования, а не ко всему Серверу администрирования
      Автор Evgenqr
      Добрый день, коллеги!
      Помогите решить проблему.
      Дано:  Kaspersky Security Center 14.2. В структуре Сервера администрирование 4 группы администрирования, допустим "Группа1""Группа2""Группа3""Группа4".
      Необходимо: выдать другому пользователю права администрирования только Группы4.
      Что делаю:
      1. захожу в Свойства Группы4
      2. вкладка Безопасность
      3. снимаю галку наследовать параметры
      4. добавляю пользователя Windows
      5. назначаю ему Роли ли Права
      6 сохраняю.
      7 при попытки подключения выдает ошибку: "Неудалось получить информацию о Сервере администрирования. Error "Access is denied" occured.
      Если добавить пользователя не в группе а в Сервере администрирования такой ошибке нет, но доступ ко всему серверу, а не к нужной группе.
      Можно ли давать доступ только к определенной группе или это технически не возможно?
×
×
  • Создать...