Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Chiến dịch CommonMagic APT mở rộng phạm vi mục tiêu đến miền Trung và miền Tây Ukraine

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 145

Woburn, MA – ngày 19 tháng 2023 năm XNUMX – Các nhà nghiên cứu của Kaspersky đã cung cấp thêm chi tiết về ma thuật chung chiến dịch, lần đầu tiên được quan sát vào tháng XNUMX nhắm mục tiêu vào các công ty trong khu vực xung đột Nga-Ukraine. Nghiên cứu mới cho thấy các hoạt động độc hại tinh vi hơn từ cùng một tác nhân đe dọa. Cuộc điều tra xác định rằng khuôn khổ mới được phát hiện đã mở rộng nạn nhân của nó bao gồm các tổ chức ở miền Trung và miền Tây Ukraine. Các chuyên gia của Kaspersky cũng đã liên kết tác nhân không xác định với các chiến dịch APT trước đây, chẳng hạn như Chiến dịch BugDrop và Chiến dịch Groundbai (Prikormka).

Vào tháng 2023 năm XNUMX, Kaspersky báo cáo một chiến dịch APT mới trong khu vực xung đột Nga-Ukraine. Chiến dịch này, được đặt tên là CommonMagic, sử dụng các thiết bị cấy ghép PowerMagic và CommonMagic để tiến hành các hoạt động gián điệp. Hoạt động kể từ tháng 2021 năm XNUMX, nó sử dụng một phần mềm độc hại chưa được xác định trước đó để thu thập dữ liệu từ các thực thể được nhắm mục tiêu. Mặc dù tác nhân đe dọa chịu trách nhiệm cho cuộc tấn công này vẫn chưa được biết vào thời điểm đó, nhưng các chuyên gia của Kaspersky vẫn kiên trì điều tra, truy tìm hoạt động không xác định trở lại các chiến dịch bị lãng quên để thu thập thêm thông tin chi tiết.

Chiến dịch được phát hiện gần đây đã sử dụng một khung mô-đun có tên là CloudWizard. Nghiên cứu của Kaspersky đã xác định tổng cộng 9 mô-đun trong khuôn khổ này, mỗi mô-đun chịu trách nhiệm cho các hoạt động độc hại riêng biệt như thu thập tệp, ghi bàn phím, chụp ảnh màn hình, ghi âm đầu vào micrô và đánh cắp mật khẩu. Đáng chú ý, một trong những mô-đun tập trung vào việc lọc dữ liệu từ tài khoản Gmail. Bằng cách trích xuất cookie Gmail từ cơ sở dữ liệu trình duyệt, mô-đun này có thể truy cập và chuyển lậu nhật ký hoạt động, danh sách liên hệ và tất cả thư email được liên kết với tài khoản được nhắm mục tiêu.

Hơn nữa, các nhà nghiên cứu đã phát hiện ra một phân phối nạn nhân mở rộng trong chiến dịch. Mặc dù các mục tiêu trước đây chủ yếu nằm ở các khu vực Donetsk, Luhansk và Crimea, nhưng phạm vi hiện đã được mở rộng để bao gồm các cá nhân, tổ chức ngoại giao và tổ chức nghiên cứu ở miền Tây và miền Trung Ukraine.

Sau khi nghiên cứu sâu rộng về CloudWizard, các chuyên gia của Kaspersky đã đạt được tiến bộ đáng kể trong việc quy nó cho một tác nhân đe dọa đã biết. Họ đã quan sát thấy những điểm tương đồng đáng chú ý giữa CloudWizard và hai chiến dịch đã được ghi lại trước đó: Chiến dịch Groundbait và Chiến dịch BugDrop. Những điểm tương đồng này bao gồm sự giống nhau về mã, cách đặt tên tệp và mẫu liệt kê, lưu trữ bởi các dịch vụ lưu trữ của Ukraine và hồ sơ nạn nhân được chia sẻ ở Tây và Trung Ukraine, cũng như khu vực xung đột ở Đông Âu.

Hơn nữa, CloudWizard cũng thể hiện sự tương đồng với chiến dịch CommonMagic được báo cáo gần đây. Một số phần của mã giống hệt nhau, chúng sử dụng cùng một thư viện mã hóa, tuân theo định dạng đặt tên tệp tương tự và chia sẻ vị trí nạn nhân trong khu vực xung đột Đông Âu.

Dựa trên những phát hiện này, các chuyên gia của Kaspersky đã kết luận rằng các chiến dịch độc hại Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic và CloudWizard đều có thể được quy cho cùng một tác nhân đe dọa đang hoạt động.  

Georgy Kucherin, nhà nghiên cứu bảo mật tại Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky cho biết: “Tác nhân đe dọa chịu trách nhiệm cho các hoạt động này đã thể hiện cam kết liên tục và bền bỉ đối với hoạt động gián điệp mạng, liên tục nâng cao bộ công cụ của chúng và nhắm mục tiêu vào các tổ chức quan tâm trong hơn mười lăm năm. “Các yếu tố địa chính trị tiếp tục là động lực quan trọng cho các cuộc tấn công APT và do căng thẳng phổ biến ở khu vực xung đột Nga-Ukraine, chúng tôi dự đoán rằng tác nhân này sẽ tiếp tục hoạt động trong tương lai gần”.

Đọc báo cáo đầy đủ về chiến dịch CloudWizard trên Securelist.

Để tránh trở thành nạn nhân của một cuộc tấn công có chủ đích của một tác nhân đe dọa đã biết hoặc chưa biết, các nhà nghiên cứu của Kaspersky khuyến nghị thực hiện các biện pháp sau:

  • Cung cấp cho nhóm SOC của bạn quyền truy cập vào thông tin tình báo về mối đe dọa (TI) mới nhất. Cổng thông tin về mối đe dọa của Kaspersky là một điểm truy cập duy nhất cho TI của công ty, cung cấp cho TI dữ liệu tấn công mạng và thông tin chuyên sâu do Kaspersky thu thập trong hơn 20 năm.
  • Nâng cao kỹ năng cho nhóm an ninh mạng của bạn để giải quyết các mối đe dọa được nhắm mục tiêu mới nhất với đào tạo trực tuyến kaspersky được phát triển bởi các chuyên gia GReAT
  • Để phát hiện, điều tra và khắc phục kịp thời các sự cố ở cấp độ điểm cuối, hãy triển khai các giải pháp EDR như Phát hiện và phản hồi điểm cuối của Kaspersky
  • Ngoài việc áp dụng biện pháp bảo vệ điểm cuối thiết yếu, hãy triển khai giải pháp bảo mật cấp công ty để phát hiện các mối đe dọa nâng cao ở cấp độ mạng ở giai đoạn đầu, chẳng hạn như Nền tảng chống tấn công có mục tiêu của Kaspersky
  • Vì nhiều cuộc tấn công nhắm mục tiêu bắt đầu bằng kỹ thuật lừa đảo hoặc kỹ thuật xã hội khác, hãy giới thiệu đào tạo nhận thức về bảo mật và dạy các kỹ năng thực tế cho nhóm của bạn – ví dụ: thông qua Nền tảng nâng cao nhận thức về bảo mật tự động của Kaspersky
tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.