Резкий рост числа кампаний целевых атак

Целевые атаки - APT на важные информационные системы с большим объемом данных и большим влиянием были и остаются одним из направлений атак, выбранных многими хакерскими группами. Эта тенденция все больше усиливается в контексте того, что многие организации и предприятия переводят свою деятельность в цифровую среду со все большими активами данных.

Фактически, ситуация с кибербезопасностью в мире и во Вьетнаме в первые месяцы этого года наглядно продемонстрировала тенденцию к росту целевых атак на системы подразделений, работающих в таких ключевых секторах, как энергетика, телекоммуникации и т. д. В частности, во Вьетнаме в первой половине 2024 года целевые атаки с использованием программ-вымогателей на системы VNDIRECT, PVOIL и т. д. привели к сбоям в работе и материальному и имиджевому ущербу этих предприятий, а также мероприятий по обеспечению национальной кибербезопасности.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
Преднамеренная атака с использованием вредоносного ПО для шифрования данных в системе VNDIRECT в начале этого года стала большим уроком для подразделений во Вьетнаме по обеспечению информационной безопасности. Фото: DV

В недавно предоставленной информации Национальный центр мониторинга кибербезопасности (NCSC) при Департаменте информационной безопасности сообщил, что недавно подразделение зарегистрировало информацию, связанную с кампаниями кибератак, в которых намеренно используются сложные вредоносные программы и изощренные методы атак для проникновения в важные информационные системы организаций и предприятий с основной целью кибератак, кражи информации и саботажа систем.

В предупреждении от 11 сентября, направленном в ИТ-подразделения и подразделения информационной безопасности министерств, отраслей и местных органов власти, государственные корпорации, компании общего назначения, телекоммуникационные компании, поставщики услуг Интернета и цифровых платформ, а также финансовые и банковские организации, Департамент информационной безопасности предоставил подробную информацию о кампаниях APT-атак, проводимых тремя группами атак: Mallox Ransomware, Lazarus и Stately Taurus (также известной как Mustang Panda).

В частности, наряду с синтезом и анализом поведения атакующих групп в 3 целевых кампаниях атак, нацеленных на важные информационные системы, включая: кампанию атак, связанную с программой-вымогателем Mallox, кампанию группы Lazarus с использованием приложений Windows, имитирующих платформы видеоконференций , для распространения многих типов вредоносного ПО и кампанию группы Stately Taurus с использованием VSCode для атак на организации в Азии, Департамент информационной безопасности также предоставил индикаторы кибератак (IoC), чтобы агентства, организации и предприятия по всей стране могли анализировать и выявлять ранние риски кибератак.

Непосредственно перед этим, в августе 2024 года, Департамент информационной безопасности также постоянно выпускал предупреждения о других опасных целевых кампаниях атак, таких как: кампания с использованием техники «AppDomainManager Injection» для распространения вредоносного ПО, идентифицированная как связанная с группой APT 41 и затрагивающая организации в Азиатско -Тихоокеанском регионе, включая Вьетнам; кампания кибератак, проводимая группой APT StormBamboo, нацеленная на интернет-провайдеров с целью развертывания вредоносного ПО на системах macOS и Windows пользователей, чтобы таким образом захватить контроль и украсть важную информацию; кампания кибератак, проводимая группой APT MirrorFace, при этом «целью» являются финансовые учреждения, научно-исследовательские институты и производители...

модель шага атаки 1.jpg
Схема этапов атаки APT-группы StormBamboo, нацеленной на интернет-провайдеров, о которой Департамент информационной безопасности предупредил 6 августа 2024 года. Фото: NCSC

Информация о целевых группах атак, нацеленных на крупные организации и предприятия во Вьетнаме, также является контентом, который Viettel Cyber ​​Security анализирует и публикует в отчете о ситуации с информационной безопасностью во Вьетнаме за первую половину этого года.

В частности, анализ экспертов Viettel Cyber ​​Security показывает, что в первой половине 2024 года группы атак APT обновили инструменты и вредоносное ПО, используемые в кампаниях атак. Соответственно, основным методом атак групп APT является использование поддельных документов и программного обеспечения для обмана пользователей с целью запуска вредоносного ПО; а популярной техникой, используемой многими группами, является DLL-Sideloading, использование чистых исполняемых файлов для загрузки вредоносных DLL или через уязвимости безопасности CVE.

По оценке технической системы Viettel Cyber ​​Security, в первые месяцы 2024 года APT-группы окажут серьезное влияние на предприятия и организации во Вьетнаме, в том числе: Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28, APT27.

Меры по предотвращению ранних рисков атаки системы со стороны APT

В предупреждениях об атаках APT Департамент информационной безопасности рекомендовал агентствам, организациям и предприятиям проводить проверки и обзоры используемых ими информационных систем, которые могут быть затронуты кампанией атак. В то же время им следует активно отслеживать информацию, связанную с кампаниями кибератак, чтобы принимать ранние меры для предотвращения риска атак.

W-информационная-система-безопасности-1-1.jpg
Внутренним агентствам, организациям и предприятиям рекомендуется усилить мониторинг и подготовить планы реагирования при обнаружении признаков киберэксплуатации и атак. Фото: LA

В то же время подразделениям также рекомендуется усилить мониторинг и подготовить планы реагирования при обнаружении признаков эксплуатации и кибератак, регулярно отслеживать каналы оповещения органов власти и крупных организаций по информационной безопасности для оперативного выявления рисков кибератак.

В условиях постоянно растущего числа кибератак, включая целенаправленные атаки, как в мире, так и во Вьетнаме, эксперты по информационной безопасности также рекомендовали отечественным организациям и предприятиям ряд мер, на которых следует сосредоточиться для минимизации рисков и поддержания непрерывности производственной и деловой активности.

К ним относятся: проверка процессов и систем управления данными клиентов и внутренними данными; упреждающий анализ признаков вторжения в систему, раннее обнаружение и реагирование на целевые группы атак; проверка и обновление версий программного обеспечения и приложений, содержащих уязвимости безопасности с серьезными последствиями...

Технические специалисты из стран Азиатско-Тихоокеанского региона отрабатывают реагирование на APT-атаки . 29 августа состоялись международные учения APCERT 2024 на тему «Реагирование на APT-атаки: поиск решений сложных проблем», в которых приняли участие технические специалисты из Вьетнама и других стран Азиатско-Тихоокеанского региона.