Sterke toename van gerichte aanvalscampagnes

Gerichte aanvallen - APT op belangrijke informatiesystemen met veel data en grote invloed - is en blijft een van de aanvalstrends die door veel hackersgroepen wordt gekozen. Deze trend neemt steeds verder toe nu veel organisaties en bedrijven hun activiteiten verplaatsen naar de digitale omgeving, met steeds grotere hoeveelheden data.

De situatie op het gebied van netwerkinformatiebeveiliging in de wereld en Vietnam in de eerste maanden van dit jaar heeft duidelijk laten zien dat er een toenemende trend is van gerichte aanvallen op de systemen van eenheden die actief zijn in belangrijke sectoren zoals energie, telecommunicatie... Meer specifiek in Vietnam hebben gerichte aanvallen met ransomware op de systemen van VNDIRECT, PVOIL... in de eerste helft van 2024 geleid tot verstoringen van de bedrijfsvoering en materiële en imagoschade aan deze bedrijven, evenals aan activiteiten om de nationale cyberveiligheid te waarborgen.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
De opzettelijke aanval met malware om gegevens in het systeem van VNDIRECT eerder dit jaar te versleutelen, is een belangrijke les voor eenheden in Vietnam over het waarborgen van informatiebeveiliging. Foto: DV

In onlangs gedeelde informatie meldde het Nationaal Centrum voor Cyberbeveiliging (NCSC), dat onder de afdeling Informatiebeveiliging valt, dat de eenheid onlangs informatie heeft vastgelegd met betrekking tot cyberaanvalcampagnes die opzettelijk complexe malware en geavanceerde aanvalstechnieken gebruiken om belangrijke informatiesystemen van organisaties en bedrijven te infiltreren, met als hoofddoel cyberaanvallen, informatiediefstal en systemenabotage.

In de waarschuwing van 11 september aan de IT- en informatiebeveiligingsafdelingen van ministeries, afdelingen en lokale overheden, staatsbedrijven, algemene bedrijven, aanbieders van telecommunicatie-, internet- en digitale platformdiensten en financiële en bancaire organisaties, verstrekte de afdeling Informatiebeveiliging gedetailleerde informatie over APT-aanvalscampagnes van drie aanvalsgroepen: Mallox Ransomware, Lazarus en Stately Taurus (ook bekend als Mustang Panda).

Het Department of Information Security heeft niet alleen het aanvalsgedrag van aanvalsgroepen in drie gerichte aanvalscampagnes op belangrijke informatiesystemen samengevat en geanalyseerd, waaronder: de aanvalscampagne met betrekking tot Mallox-ransomware, de campagne van de Lazarus-groep die gebruikmaakt van Windows-applicaties die zich voordoen als videoconferentieplatforms om allerlei soorten malware te verspreiden, en de campagne van de Stately Taurus-groep die VSCode misbruikt om organisaties in Azië aan te vallen. Daarnaast heeft het Department of Information Security ook cyberaanvalindicatoren (IoC) gepubliceerd, zodat instanties, organisaties en bedrijven in het hele land de risico's van cyberaanvallen kunnen beoordelen en vroegtijdig kunnen detecteren.

Direct daarvoor, in augustus 2024, waarschuwde het Department of Information Security doorlopend voor andere gevaarlijke, gerichte aanvalscampagnes, zoals: De campagne die gebruikmaakt van de 'AppDomainManager Injection'-techniek om malware te verspreiden, die verband houdt met de APT 41-groep en organisaties in de regio Azië -Pacific , waaronder Vietnam, trof; de cyberaanvalcampagne van de APT StormBamboo-groep, die gericht was op internetproviders met als doel malware te installeren op de macOS- en Windows-systemen van gebruikers om zo de controle over te nemen en belangrijke informatie te stelen; de cyberaanvalcampagne van de APT MirrorFace-aanvalsgroep, met als 'doel' financiële instellingen, onderzoeksinstituten en fabrikanten...

aanvalsstapmodel 1.jpg
Diagram van de aanvalsstappen van de APT StormBamboo-groep die zich richt op internetproviders, gewaarschuwd door de afdeling Informatiebeveiliging op 6 augustus 2024. Foto: NCSC

Informatie over gerichte aanvalsgroepen die grote organisaties en bedrijven in Vietnam als doelwit hebben, is ook een onderwerp dat Viettel Cyber ​​​​Security analyseert en deelt in het rapport over de informatiebeveiligingssituatie in Vietnam in de eerste helft van dit jaar.

Uit een analyse van Viettel Cyber ​​​​Security-experts blijkt dat APT-aanvalsgroepen in de eerste helft van 2024 de tools en malware die in aanvalscampagnes worden gebruikt, hebben geüpgraded. De belangrijkste aanvalsmethode van APT-groepen is dan ook het gebruik van nepdocumenten en -software om gebruikers te misleiden tot het uitvoeren van malware; een populaire techniek die door veel groepen wordt gebruikt, is DLL-sideloading, waarbij schone uitvoerbare bestanden worden gebruikt om schadelijke DLL's te laden of via CVE-beveiligingslekken.

De APT-groepen waarvan het technische systeem van Viettel Cyber ​​​​Security heeft beoordeeld dat ze in de eerste maanden van 2024 een grote impact zullen hebben op bedrijven en organisaties in Vietnam, zijn onder andere: Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28 en APT27.

Maatregelen om vroegtijdig risico op een systeemaanval door APT te voorkomen

In waarschuwingen over APT-aanvallen heeft de afdeling Informatiebeveiliging instanties, organisaties en bedrijven gevraagd hun informatiesystemen die mogelijk door de aanval zijn getroffen, te controleren en te evalueren. Tegelijkertijd moeten ze proactief informatie over cyberaanvallen monitoren om deze vroegtijdig te voorkomen en het risico op een aanval te beperken.

W-informatiesysteem-beveiliging-1-1.jpg
Binnenlandse instanties, organisaties en bedrijven wordt geadviseerd de monitoring te versterken en responsplannen op te stellen wanneer ze tekenen van cyberaanvallen detecteren. Foto: LA

Tegelijkertijd wordt eenheden aanbevolen om de monitoring te versterken en responsplannen op te stellen wanneer ze signalen van cyberaanvallen detecteren. Ook moeten ze de waarschuwingskanalen van autoriteiten en grote organisaties voor informatiebeveiliging regelmatig in de gaten houden om risico's van cyberaanvallen snel te kunnen detecteren.

In de context van cyberaanvallen, waaronder gerichte aanvallen, die wereldwijd en in Vietnam voortdurend toenemen, hebben experts op het gebied van informatiebeveiliging ook nationale organisaties en bedrijven een aantal maatregelen aanbevolen waarop ze zich kunnen richten om risico's te minimaliseren en de productie en bedrijfsactiviteiten ononderbroken te laten verlopen.

Dit zijn: het beoordelen van processen en systemen voor het beheer van klantgegevens en interne gegevens; het proactief beoordelen van signalen van indringers in het systeem; het vroegtijdig detecteren van en reageren op gerichte aanvalsgroepen; het beoordelen en upgraden van versies van software en applicaties die beveiligingskwetsbaarheden bevatten met ernstige gevolgen...

Technisch personeel uit landen in de regio Azië-Pacific oefent het reageren op APT-aanvallen . De internationale oefening APCERT 2024 met als thema 'Reageren op APT-aanvallen: oplossingen vinden voor moeilijke problemen' vond plaats op 29 augustus, met deelname van technisch personeel uit Vietnam en andere landen in de regio Azië-Pacific.