В наши дни кибер-преступность затрагивает все виды бизнеса во всех секторах экономики. В этом году, по мере того как расширялась поверхность атаки из-за увеличения объемов дистанционной работы во время пандемии коронавируса COVID-19, также наблюдается рост целого ряда кибер-угроз в силу всеобщей глобальной неопределенности. Кибер-преступники без колебаний воспользовались ситуацией, чтобы развернуть свои фишинговые кампании, распространять вредоносные программы, использовать новые уязвимости и увеличивать количество DDoS-атак – это лишь некоторые направления их деятельности, которые ставят под угрозу информационную безопасность большинства компаний.

Любая организация может в какой-то момент стать мишенью для кибер-атак. Мы стали свидетелями того, как APT-группа, получившая название «Vicious Panda» ("Злобная Панда"), организовала кампанию целевого фишинга, которая использует пандемию для распространения вредоносных программ этой группы. Кстати, и не только сектор здравоохранения является мишенью для организованной кибер-преступности. Даже самые передовые военные учреждения в мире, такие как Агентство оборонных информационных систем DISA (Defense Information Systems Agency), отвечающее за контроль над коммуникациями Министерства обороны США и Белого дома, сообщили о февральской кибер-атаке, которая смогла скомпрометировать данные почти 200 000 сотрудников и военнослужащих.

Все эти инциденты могут иметь для жертв серьезные последствия, начиная от ущерба репутации организации и заканчивая сбоями в работе или даже полным прекращением деловой активности, что приводит к серьезным финансовым потерям. Нет никаких сомнений в том, что к наиболее уязвимым секторам относятся важнейшие объекты инфраструктуры и те структуры, которые отвечают за обеспечение национальной безопасности. Когда мишенью становятся военные и дипломатические учреждения, жизнь людей может оказаться под угрозой.

Теперь APT-группа CactusPete, базирующаяся в Китае, вступила в борьбу с помощью атак на военные и финансовые организации в Восточной Европе.

CactusPete: очень сложная APT

Базирующаяся в Китае APT-группа, известная как CactusPete, вновь появилась с новой кампанией, направленной на военные и финансовые организации в Восточной Европе, и являющейся новой сферой деятельности этой группы, поскольку ранее она сосредотачивалась на организациях в ограниченном круге стран: Южной Корее, Японии, Соединенных Штатах и Тайване. Нынешние кампании показывают, что у группы есть свои виды на другие организации в Азии и Восточной Европе.

На этот раз группа модернизировала бэкдор для атаки на военные и финансовые организации в Восточной Европе и получения доступа к конфиденциальной информации. Группа использовала новый вариант бэкдора Bisonal, который позволяет злоумышленникам красть информацию, запускать код на компьютерах жертв и проводить горизонтальные перемещения внутри их сетей, о чем сообщили эксперты из Kaspersky. Кроме того, скорость, с которой создаются новые образцы вредоносных программ, говорит о том, что группа быстро расширяется, поэтому потенциальные жертвы должны проявить повышенную готовность. Кроме того, в кампании 2020 года мы видели, как группа улучшила свои методы, получив доступ к более сложному коду, такому как модульная платформа атак ShadowPad.

Как защитить системы от APT

  • Постоянная бдительность. Лучший способ предотвратить любые угрозы от нападения на ваши системы - это в любое время точно знать, что на них происходит. Panda Adaptive Defense непрерывно отслеживает все процессы, запущенные в системах конечных устройств. Решение обнаруживает любую необычную активность и останавливает выполнение неизвестных процессов, тем самым справляясь с угрозой до того, как она сможет осуществить свои действия
  • Проактивная охота на угрозы (threat hunting). Вместо того, чтобы постфактум реагировать на угрозы со стороны вредоносных программ, аналитики безопасности выполняют активную охоту за угрозами. Используя всю информацию, накопленную в течение 30-летнего опыта работы в индустрии безопасности, наши эксперты ищут новые угрозы и сравнивают гипотезы с данными, собранными с помощью EDR- решения, для проверки легитимности процессов
  • Повышение осведомленности пользователей о надлежащей практике обеспечения безопасности. Чтобы человеческий потенциал вашей компании не превратился в слабое звено в цепи безопасности, важно, чтобы вы обеспечили обучение, необходимое для того, чтобы держать всех ваших сотрудников в курсе лучших практик безопасности
  • Корпоративная кибер-устойчивость. Это крайне важно для тех критических целей, которые были выбраны APT-группой CACTUSPETE. Важность обеспечения устойчивости системы безопасности с помощью специального плана возвращения к нормальному функционированию после инцидентов безопасности и устранения их последствий имеет решающее значение. Общая тема всех стратегий, анализируемых Panda, - это предотвращение, обнаружение, сдерживание и реагирование