S pomocí Kaspersky Threat Attribution Engine dokázali výzkumní pracovníci ze společnosti Kaspersky spojit více než 300 vzorků zadních vrátek Bisonal s kampaní kyberšpionážní skupiny CactusPete, která je klasifikována jako advanced persistent threat actor (APT) a působí minimálně od roku 2012. Jejich poslední akce se zaměřila na vojenské a finanční cíle ve východní Evropě a zdůraznila tak rychlý rozvoj této skupiny.

CactusPete, také známý jako Karma Panda či Tonto Teaь, je kyberšpionážní skupina aktivní minimálně od roku 2012. Jejím členům se v tomto případě podařilo vylepšit jejich zadní vrátka tak, aby dokázali zacílit na představitele z vojenského a finančního sektoru ve východní Evropě. S nejvyšší pravděpodobností šlo o snahu získat důvěrné informace. Rychlost, s jakou navíc nové vzorky malwaru vznikají, naznačuje, že CactusPete se velmi rychle zdokonaluje, a vojenské i finanční organizace v tomto regionu by si měly být tohoto nebezpečí vědomi.

Tato nejčerstvější vlna aktivit byla poprvé zjištěna výzkumníky ze společnosti Kaspersky v únoru 2020, když odhalili aktualizovanou verzi zadních vrátek Bisonal. S pomocí Kaspersky Threat Attribution Engine, což je nástroj, který analyzuje škodlivé kódy a vyhledává podobnosti s již známými protagonisty kyberzločineckého světa, se podařilo tento jeden vzorek spojit s dalšími více než třemi sty, které již někde škodily.

Všech tři sta vzorků se objevilo mezi březnem 2019 a dubnem 2020. To je zhruba 20 vzorků měsíčně, což podtrhuje fakt, že se CactusPete rozvíjí velmi rychle. Skupina postupem času vypilovala své dovednosti a získala přístup k sofistikovanějším kódům jako například ShadowPad v roce 2020.

Funkčnost škodlivého obsahu naznačuje, že kyberšpionážní skupina jde po vysoce citlivých informacích. Po instalaci na zařízení oběti umožňují zadní vrátka Bisonal skupině nepozorovaně spouštět různé programy, ukončovat veškeré procesy, nahrávat/stahovat/mazat soubory a načíst seznam dostupných disků. Navíc, čím hlouběji hackeři pronikají do napadeného systému, tím privilegovanější přihlašovací údaje získávají. To jim postupně umožňuje nad celým systémem získávat stále větší kontrolu.

Jak se v této nejnovější řadě útoků zadní vrátka do zařízení stáhnou není stále jasné. V předchozí akci skupina CactusPete primárně spoléhala a na spear-phishing s e-maily, které obsahovaly škodlivé přílohy. Otevřením přílohy došlo k infikování zařízení.

“CactusPete je velmi zajímavá APT skupina, protož není až tak technologicky vyspělá. Jejich úspěch pramení ze sofistikované a úspěšné aplikace taktik sociálního inženýrství. Infikovat důležité cíle se jim daří hlavně proto, že jejich oběti klikají na phishingové e-maily a otevírají škodlivé přílohy. Tento případ skvěle dokládá, že phishing je stále efektivním nástrojem pro vykonávání kyberútoků. I proto je nesmírně důležité, aby firmy investovaly do vzdělávání svých zaměstnanců ohledně rozpoznání takového škodlivého e-mailu, a aby všichni byli pravidelně zpravování o nejnovějších trendech v oblasti kyberbezpečnosi,” říká Konstantin Zykov, senior security researcher ve společnosti Kaspersky.

Více informací o skupině CactusPete najde na Securelist.

Pro ochranu vaší společnosti před CactusPete a jinými APT organizacemi doporučuje společnost Kaspersky dodržovat následující kroky:

  • Poskytněte svému Security Operations Center (SOC) týmu přístup do nejnovější databáze threat intelligence a držte krok s nejnovějšími nástroji, technikami a způsoby, jakými kyberzločinci škodí.
  • Pro detekci na koncových zařízeních a včasnou nápravu incidentů implementujte EDR řešení, například Kaspersky Endpoint Detection and Response.
  • Vzdělávejte své zaměstnance v základních kyberbezpečnostních zásadách. Mnoho cílených útoků totiž začíná právě phishingem nebo jinými taktikami sociálního inženýrství. Proveďte simulovaný phishingový útok a ujistěte se, že zaměstnanci vědí, jak rozlišit phishingové e-maily.
  • Pro rychlé propojení nových škodlivých vzorků se známými útočníky, implementujte Kaspersky Threat Attribution Engine.