Skip to main content

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

28 April 2023 05:54

Η Check Point ερευνά την ομάδα APT

Η Check Point Research αποκαλύπτει νέα ευρήματα για μια ομάδα που σχετίζεται στενά με τον Phosphorus. Αυτή η έρευνα παρουσιάζει μια νέα και βελτιωμένη αλυσίδα μόλυνσης που χρησιμοποιούν οι επιτιθέμενοι. Ακολουθώντας τα ίχνη της επίθεσης, η CPR μπόρεσε να διαπιστώσει συνδέσεις με τη Phosphorus, μια ομάδα απειλών με έδρα το Ιράν που δραστηριοποιείται τόσο στη Βόρεια Αμερική όσο και στη Μέση Ανατολή. Η Phosphorus έχει συνδεθεί στο παρελθόν με ένα ευρύ φάσμα δραστηριοτήτων, που κυμαίνονται από ransomware έως spear-phishing ατόμων υψηλού προφίλ.

Στις επιθέσεις που περιγράφονται λεπτομερώς στην παρούσα έκθεση, αποκαλύπτεται ότι ο δράστης της επίθεσης έχει βελτιώσει σημαντικά τους μηχανισμούς του και έχει υιοθετήσει σπάνια εμφανιζόμενες τεχνικές, όπως η χρήση δυαδικών αρχείων “.NET” που δημιουργούνται σε μεικτή λειτουργία με κώδικα συναρμολόγησης. Η πρόσφατα ανακαλυφθείσα έκδοση προορίζεται πιθανότατα για επιθέσεις phishing που επικεντρώνονται γύρω από το Ιράκ, χρησιμοποιώντας ένα αρχείο ISO για την έναρξη της αλυσίδας μόλυνσης. Άλλα έγγραφα μέσα στο αρχείο ISO ήταν σε εβραϊκή και αραβική γλώσσα, γεγονός που υποδηλώνει ότι τα «δέλεαρ» απευθύνονταν σε ισραηλινούς στόχους.

Η παραλλαγή που περιγράφεται σε αυτή την έκθεση διανεμήθηκε χρησιμοποιώντας αρχεία ISO, υποδεικνύοντας ότι είναι πιθανό να αποτελεί τον αρχικό φορέα μόλυνσης. Επειδή πρόκειται για μια ενημερωμένη έκδοση κακόβουλου λογισμικού που έχει αναφερθεί προηγουμένως, αυτή η παραλλαγή (PowerLess), που σχετίζεται με ορισμένες από τις επιχειρήσεις Ransomware του Phosphorus, μπορεί να αντιπροσωπεύει μόνο τα αρχικά στάδια της μόλυνσης, με σημαντικά κλάσματα δραστηριότητας μετά τη μόλυνση να μην έχουν ακόμη παρατηρηθεί στη φύση.

Δεδομένου ότι αυτές οι νέες μολύνσεις δεν έχουν παρατηρηθεί ποτέ πριν σε μεθόδους επιθέσεων, η Check Point Software μπορεί να δώσει ορισμένες συμβουλές άμυνας για την προστασία από τέτοιου είδους επιθέσεις:

Επικαιροποιημένες ενημερώσεις: Το WannaCry, μια από τις πιο διάσημες παραλλαγές ransomware που υπάρχουν, είναι ένα παράδειγμα ενός «σκουληκιού» ransomware. Κατά τη στιγμή της διάσημης επίθεσης WannaCry τον Μάιο του 2017, υπήρχε ένα patch για την ευπάθεια EternalBlue που χρησιμοποιούσε το WannaCry. Αυτό το διορθωτικό ήταν διαθέσιμο ένα μήνα πριν από την επίθεση και χαρακτηρίστηκε ως «κρίσιμο» λόγω της μεγάλης πιθανότητας εκμετάλλευσής του. Ωστόσο, πολλοί οργανισμοί και ιδιώτες δεν εφάρμοσαν εγκαίρως την επιδιόρθωση, με αποτέλεσμα να ξεσπάσει μια επιδημία ransomware που μόλυνε 200.000 υπολογιστές μέσα σε τρεις ημέρες. Η ενημέρωση των υπολογιστών και η εφαρμογή των επιδιορθώσεων ασφαλείας, ιδίως εκείνων που χαρακτηρίζονται ως κρίσιμες, μπορεί να συμβάλει στον περιορισμό της ευπάθειας ενός οργανισμού σε επιθέσεις, καθώς οι εν λόγω επιδιορθώσεις συνήθως παραβλέπονται ή καθυστερούν πολύ για να προσφέρουν την απαιτούμενη προστασία.

Εκπαίδευση ευαισθητοποίησης στον κυβερνοχώρο: Είναι ένας από τους πιο δημοφιλείς τρόπους εξάπλωσης κακόβουλου λογισμικού. Με την εξαπάτηση ενός χρήστη, ώστε να κάνει κλικ σε έναν σύνδεσμο ή να ανοίξει ένα κακόβουλο συνημμένο αρχείο, οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή τού υπαλλήλου. Με το παγκόσμιο κενό σε ταλέντα στον τομέα της κυβερνοασφάλειας να επηρεάζει τους οργανισμούς σε όλο τον κόσμο, η συχνή εκπαίδευση ευαισθητοποίησης στον τομέα της κυβερνοασφάλειας είναι ζωτικής σημασίας για την προστασία του οργανισμού από κυβερνοεπιθέσεις, αξιοποιώντας το προσωπικό τους ως την πρώτη γραμμή άμυνας για τη διασφάλιση ενός προστατευμένου περιβάλλοντος. Η εκπαίδευση αυτή θα πρέπει να καθοδηγεί τους υπαλλήλους να κάνουν τα εξής:

• Να μην κάνουν κλικ σε κακόβουλους συνδέσμους.

• Να μην ανοίγουν ποτέ απροσδόκητα ή μη αξιόπιστα συνημμένα αρχεία.

• Να αποφεύγουν την αποκάλυψη προσωπικών ή ευαίσθητων δεδομένων σε phishers.

• Να επαληθεύουν τη νομιμότητα του λογισμικού πριν το κατεβάσουν.

• Να μην συνδέουν άγνωστο USB στον υπολογιστή τους.

• Να χρησιμοποιούν VPN όταν συνδέονται μέσω μη αξιόπιστου ή δημόσιου Wi-Fi.

Χρησιμοποιήστε μια βελτιωμένη προστασία από απειλές: Οι περισσότερες επιθέσεις μπορούν να εντοπιστούν και να επιλυθούν πριν να είναι πολύ αργά. Πρέπει να έχετε αυτοματοποιημένη ανίχνευση και πρόληψη απειλών στον οργανισμό σας για να μεγιστοποιήσετε τις πιθανότητες προστασίας σας.

Πρόληψη των επιθέσεων: Η υπηρεσία πληροφοριών απειλών παρέχει τις πληροφορίες που απαιτούνται για τον αποτελεσματικό εντοπισμό επιθέσεων zero-day. Η προστασία από αυτές απαιτεί λύσεις που μπορούν να μεταφράσουν αυτές τις πληροφορίες σε ενέργειες που εμποδίζουν την επίτευξη της επίθεσης. Η Check Point έχει αναπτύξει πάνω από εξήντα μηχανές πρόληψης απειλών που αξιοποιούν την τεχνολογία ThreatCloud AI threat intelligence για την πρόληψη των επιθέσεων μηδενικής ημέρας.

Ενοποίησης της ασφάλειας: Πολλοί οργανισμοί βασίζονται σε ένα ευρύ φάσμα αυτόνομων και ασύνδετων λύσεων ασφαλείας. Ενώ αυτές οι λύσεις μπορεί να είναι αποτελεσματικές στην προστασία από μια συγκεκριμένη απειλή, μειώνουν την αποτελεσματικότητα της ομάδας ασφαλείας ενός οργανισμού, καθώς την κατακλύζουν με δεδομένα και την αναγκάζουν να ρυθμίζει, να παρακολουθεί και να διαχειρίζεται πολλές διαφορετικές λύσεις. Ως αποτέλεσμα, το καταπονημένο προσωπικό ασφαλείας παραβλέπει κρίσιμες ειδοποιήσεις.

Τεύχος 274

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ