Gwałtowny wzrost liczby kampanii ataków ukierunkowanych

Ataki ukierunkowane – APT na ważne systemy informatyczne z dużą ilością danych i dużym wpływem – były i są jednym z trendów ataków wybieranych przez wiele grup hakerskich. Trend ten nabiera coraz większego znaczenia w kontekście przenoszenia działalności wielu organizacji i firm do środowiska cyfrowego, z coraz większymi zasobami danych.

W rzeczywistości sytuacja bezpieczeństwa informacji sieciowej na świecie i w Wietnamie w pierwszych miesiącach tego roku wyraźnie pokazała rosnący trend ukierunkowanych ataków wymierzonych w systemy jednostek działających w kluczowych obszarach, takich jak energetyka, telekomunikacja... Dokładniej, w Wietnamie w pierwszej połowie 2024 roku, ukierunkowane ataki z wykorzystaniem ransomware na systemy VNDIRECT, PVOIL... spowodowały zakłócenia w działalności oraz szkody materialne i wizerunkowe tych przedsiębiorstw, a także działań mających na celu zapewnienie bezpieczeństwa cyberprzestrzeni narodowej.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
Celowy atak z użyciem złośliwego oprogramowania do szyfrowania danych w systemie VNDIRECT, który miał miejsce na początku tego roku, to ważna lekcja dla jednostek w Wietnamie, jak zapewnić bezpieczeństwo informacji. Zdjęcie: DV

W ostatnio udostępnionych informacjach Narodowe Centrum Monitorowania Cyberbezpieczeństwa - NCSC, działające w ramach Departamentu Bezpieczeństwa Informacji, poinformowało, że ostatnio jednostka zarejestrowała informacje dotyczące kampanii cyberataków, w ramach których celowo wykorzystywane jest złożone złośliwe oprogramowanie i wyrafinowane techniki ataków w celu infiltracji ważnych systemów informatycznych organizacji i przedsiębiorstw, a głównym celem są cyberataki, kradzież informacji i sabotaż systemów.

W ostrzeżeniu z 11 września wysłanym do jednostek IT i bezpieczeństwa informacji w ministerstwach, oddziałach i miejscowościach, przedsiębiorstwach państwowych, spółkach sektora publicznego, dostawcach usług telekomunikacyjnych, internetowych i platform cyfrowych oraz organizacjach finansowych i bankowych, Departament Bezpieczeństwa Informacji przekazał szczegółowe informacje na temat kampanii ataków APT prowadzonych przez trzy grupy atakujące: Mallox Ransomware, Lazarus i Stately Taurus (znanej również jako Mustang Panda).

Dokładniej, oprócz syntezy i analizy zachowań ataków grup atakujących w 3 ukierunkowanych kampaniach ataków wymierzonych w ważne systemy informatyczne, w tym: kampania ataków związana z ransomware Mallox, kampania grupy Lazarus wykorzystująca aplikacje Windows podszywające się pod platformy wideokonferencyjne w celu rozprzestrzeniania wielu typów złośliwego oprogramowania oraz kampania grupy Stately Taurus wykorzystująca VSCode do atakowania organizacji w Azji, Departament Bezpieczeństwa Informacji opublikował również wskaźniki ataków cybernetycznych (IoC), dzięki którym agencje, organizacje i firmy w całym kraju mogą przeglądać i wykrywać wczesne zagrożenia atakami cybernetycznymi.

Tuż wcześniej, w sierpniu 2024 r., Departament Bezpieczeństwa Informacji stale publikował ostrzeżenia o innych niebezpiecznych kampaniach ukierunkowanych ataków, takich jak: kampania wykorzystująca technikę „AppDomainManager Injection” do rozprzestrzeniania złośliwego oprogramowania, zidentyfikowana jako powiązana z grupą APT 41 i dotykająca organizacji w regionie Azji i Pacyfiku , w tym w Wietnamie; kampania cyberataków przeprowadzona przez grupę APT StormBamboo, wymierzona w dostawców usług internetowych i mająca na celu wdrażanie złośliwego oprogramowania w systemach macOS i Windows użytkowników, aby w ten sposób przejąć kontrolę i ukraść ważne informacje; kampania cyberataków przeprowadzona przez grupę APT MirrorFace, której „celem” były instytucje finansowe, instytuty badawcze i producenci...

model kroku ataku 1.jpg
Schemat przedstawiający kroki ataku grupy APT StormBamboo, atakującej dostawców usług internetowych, ostrzeżonej przez Departament Bezpieczeństwa Informacji 6 sierpnia 2024 r. Zdjęcie: NCSC

Informacje o grupach dokonujących ukierunkowanych ataków na duże organizacje i przedsiębiorstwa w Wietnamie to również temat, na którym Viettel Cyber ​​Security skupia się w raporcie na temat sytuacji bezpieczeństwa informacji w Wietnamie w pierwszej połowie bieżącego roku.

W szczególności, analiza przeprowadzona przez ekspertów Viettel Cyber ​​Security pokazuje, że w pierwszej połowie 2024 roku grupy APT udoskonaliły narzędzia i złośliwe oprogramowanie wykorzystywane w kampaniach. W związku z tym, główną metodą ataku grup APT jest wykorzystywanie fałszywych dokumentów i oprogramowania w celu nakłonienia użytkowników do uruchomienia złośliwego oprogramowania. Popularną techniką stosowaną przez wiele grup jest DLL-Sideloading, czyli wykorzystywanie czystych plików wykonywalnych do ładowania złośliwych bibliotek DLL lub wykorzystywanie luk w zabezpieczeniach CVE.

Grupy APT, które według systemu technicznego Viettel Cyber ​​Security będą miały największy wpływ na przedsiębiorstwa i organizacje w Wietnamie w pierwszych miesiącach 2024 r., to: Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28, APT27.

Środki zapobiegające wczesnemu ryzyku ataku systemu przez APT

W ostrzeżeniach przed atakami APT, Departament Bezpieczeństwa Informacji zwrócił się do agencji, organizacji i firm o sprawdzenie i przegląd systemów informatycznych, które mogą zostać dotknięte atakiem. Jednocześnie należy proaktywnie monitorować informacje związane z cyberatakami, aby zapobiegać im na wczesnym etapie i unikać ryzyka ataku.

W-information-system-security-1-1.jpg
Zaleca się, aby krajowe agencje, organizacje i firmy wzmocniły monitoring i przygotowały plany reagowania w przypadku wykrycia oznak cyberwykorzystywania i ataków. Zdjęcie: LA

Jednocześnie jednostkom zaleca się wzmocnienie monitoringu i przygotowanie planów reagowania w przypadku wykrycia oznak nadużyć i ataków cybernetycznych; regularne monitorowanie kanałów ostrzegawczych organów ścigania i dużych organizacji zajmujących się bezpieczeństwem informacji w celu szybkiego wykrywania zagrożeń związanych z atakami cybernetycznymi.

W kontekście ataków cybernetycznych, w tym ataków ukierunkowanych, których skala stale rośnie na całym świecie, w tym w Wietnamie, eksperci ds. bezpieczeństwa informacji zalecili również krajowym organizacjom i przedsiębiorstwom podjęcie szeregu działań mających na celu zminimalizowanie ryzyka oraz utrzymanie ciągłości produkcji i działalności biznesowej.

Należą do nich: przegląd procesów i systemów zarządzania danymi klientów i danymi wewnętrznymi; proaktywne przeglądanie oznak włamań do systemu, wczesne wykrywanie grup ataków ukierunkowanych i reagowanie na nie; przegląd i uaktualnianie wersji oprogramowania i aplikacji zawierających luki w zabezpieczeniach mogące mieć poważne konsekwencje...

Personel techniczny z krajów Azji i Pacyfiku ćwiczy reagowanie na ataki APT . Międzynarodowe ćwiczenia APCERT 2024 pod hasłem „Reagowanie na ataki APT: Znajdowanie rozwiązań trudnych problemów” odbyły się 29 sierpnia z udziałem personelu technicznego z Wietnamu i innych krajów Azji i Pacyfiku.