Kompanija Kaspersky Lab je nedavno objavila da je otkrivena nova, napredna sajber pretnja koja napada mete visokog profila.
Oleg Gorobets, tehnološki ekspert kompanije Kaspersky Lab dodatno otkriva da ova pretnja iz porodice Duke koristi malver kako bi obavila napad na svoje mete, ali za razliku od svojih prethodnika ne koristi video snimak sa majmunima kao mamac. Veruje se da su među prethodnim metama ove pretnje bili čak i Bela kuća i Stejt Dipartment kao i mnoge druge državne ustanove.
Porodica Duke pretnji
Još jedna Duke APT pretnja napada mete visokog profila, uključujući i kancelariju vlade SAD. Ovog puta radi se o pretnji CozyDuke (poznatija kao CozyBear, CozyCar ili “Office Monkeys”, u čast video snimka koji koristi kao mamac).
Napad je sofisticiran, sadrži kodirane komponente, ima sposobnst izbegavanja detekcije i dobro razvijen skup malver komponenti koje su strukturalno slične prethodnim pretnjama kao što su MiniDuke, CosmicDuke i Onion Duke.
Kancelarijski majmuni su opasni
Međutim, ono što je zaista vredno pomena – i, nažalost, prestavlja uspešan pristup kod mnogih napada – jeste činjenica da su metode sprovođenja ovih napada u potpunosti zasnovane na tehnikama društvenog inženjeringa. Napadači kreiraju izuzetno smešan video snimak o majmunima koji rade u kancelariji, koji služi kao mamac. Dokument, zajedno sa izvršnim video snimkom, biva poslat putem „spear-phishing“ i-mejlova koji imaju određeni fajl kao prilog ili sadrže određeni link ka veb sajtu (nekada je to i legitiman, pa čak i respektabilan veb sajt koji je već ugrožen).
Dok traje video snimak, napadač neprimetno instalira dropper na sistem, koji je zatim spreman da prima komande i dodatne malvere sa servera za kontrolu.
Sajber kriminalci nisu pogrešili kada su mislili da će većina ovih žrtava pogledati video snimak. Ne samo da su ga pogledali nego su i podelili ovaj snimak sa kolegama u kancelariji, i na taj način su aktivno učestvovali u širenju malvera. Uzimajući u obzir da su ove mete bile visokog profila, može se samo nagađati koliko osetljivih informacija je moglo biti ukradeno.
Pitanje je sledeće: kako možete da umanjite ovu strašnu pretnju, kada čak i zaposleni u vašoj kompaniji rade protiv sistema za zaštitu od pretnji? Naravno, nikako ne bi trebalo da podcenite moć društvenog inženjeringa: koliko lojalnih radnika bi, na primer, odbilo da otvori link koji se nalazi u poruci (detaljno falisifikovanoj) koju je poslao njihov šef?
Kako da umanjite pretnju sa kancelarijskim majmunima
Zapravo, nekoliko veoma osnovnih mera predostrožnosti ili strategija za ublažavanje napada mogu da budu efikasni u borbi protiv najsofisticiranijih i do detalja isplaniranih APT napada. Na primer, jednostavno smanjenje administratorskih prava zajedno sa pravovremenim ažuriranjem osetljivih područja i ograničavanjem broja dozvoljenih aplikacija može da umanji broj incidenata i za 85%.[1]
Opcije za kontrolu aplikacija i dinamično kreiranje liste poverljivih programa, koje su dostupne uz programe Kaspersky Endpoint Security for Business, Kaspersky Total Security i Kaspersky Security for Virtualization, bi u ovom slučaju bile od velikog značaja; video snimak sa majmunima, kao i bilo koja druga malver komponenta CozyDuke pretnje, jednostavno ne bi mogli da se aktiviraju pre odobrenja administratora sistema. Neki članovi administrativnog osoblja imaju ograničen opseg zaduženja i odgovornosti, pri čemu svakodnevno dolaze u kontakt sa osetljivom korespodencijom. O ovom slučaju je najbolje da se iskoristi opcija kontrole pristupa aplikacija, pri čemu se striktno ograničavaju izvršni fajlovi koji su neophodni za sistemske komponente i programe koji se koriste tokom posla.
Razmislite o boljoj zaštiti
Pre svakog napada, APT napadači će detaljno ispitati ciljanu organizaciju, uključujući profile svih zaposlenih, poslovne procese kao i specifikacije trenutnih odbrambenih sistema. Ova saznanja se koriste kako bi se izvršila procena ranjivih mesta i zaobišli svi postojeći bezbednosni mehanizmi.
Dakle, ako želite da rešite problem APT napada, neophodno je da primenite višeslojni kocept bezbednosti tako što ćete pojačati već postojeće sisteme za borbu protiv malvera dodatnim proaktivnim merama bezbednosti koje će pokriti različite delove vaše IT mreže. Kada ste adekvatno pripremljeni i spremni za odbranu, vi postajete neprimamljiva i nepogo