LuckyMouse przygotowuje ukierunkowane cyberataki
LuckyMouse (określana również jako APT27 i Emissary Panda) to chińskojęzyczna grupa cyberprzestępcza, która głównie działa w Azji Środkowej i na Bliskim Wschodzie. Gang ten został powiązany z wieloma włamaniami wymierzonymi w różne organizacje, w tym ponadnarodowe jak Organizacja Międzynarodowego Lotnictwa Cywilnego (ICAO). Jednak część ataków została przeprowadzona przez LuckyMouse na podmioty rządowe, tak więc ich złośliwe oprogramowanie może zostać wykorzystane do cyberszpiegostwa. Jak słusznie zauważyli badacze ds. cyberbezpieczeństwa kampanie LuckyMouse niemal zawsze zbiegają się w czasie z głośnymi wydarzeniami politycznymi.
Jakie organizacje znajdują się na celowniku cyberprzestępców?
Aktywność LuckyMouse w ostatnim czasie zagrażała wielu organizacjom, w tym agencjom rządowym i dyplomatycznym, dostawcom usług telekomunikacyjnych, firmom medialnym, a nawet bankom komercyjnym. Cele LuckyMouse nie są wybierane przypadkowo, grupa przeprowadza wyrafinowane, ukierunkowane ataki, które mają na celu uzyskanie tajnych informacji. Ostatnie działania inwigilacyjne grupy otrzymały wspólną nazwę EmissarySoldier. Większości naruszeń grupa dokonała za pomocą narzędzia SysUpdate (aka Soldier), dzięki temu LuckyMouse skutecznie włamała się do wielu sieci rządowych w Azji Środkowej i na Bliskim Wschodzie.
W jaki sposób LuckyMouse przeprowadza ataki?
W ocenie Matthieu Faou, badacza szkodliwego oprogramowania z firmy ESET, napastnicy stojący za LuckyMouse skanują sieć wytypowanej ofiary w celu znalezienia podatnych na ataki serwerów z dostępem do Internetu. Ponadto wykorzystują strony internetowe odwiedzane przez potencjalne ofiary. ESET zaobserwował również infekcje LuckyMouse na bliżej nieokreślonej liczbie systemów działających w Internecie z Microsoft SharePoint, które, jak podejrzewają badacze, miały miejsce dzięki wykorzystaniu luk w zabezpieczeniach aplikacji umożliwiających zdalne wykonanie kodu. Niezależnie od metody wykorzystanej do zdobycia początkowego punktu zaczepienia, łańcuch ataków kończy się wdrożeniem SysUpdate lub HyperBro, które ładują złośliwą bibliotekę DLL i niemal uniemożliwiają wykrycie podejrzanej aktywności w sieci. Eksperci zauważają, że zestaw narzędzi wykorzystywany przez LuckyMouse przeszedł liczne poprawki, a także dodano wiele nowych funkcjonalności, co wskazuje, że atakujący aktywnie pracują nad unowocześnieniem swojego arsenału.
Jak szybko wykryć podejrzaną aktywność w sieci?
Każda podejrzana aktywność w naszej sieci może okazać się potencjalnym zagrożeniem. Narzędzie, które służy wykrywaniu i reagowaniu na podejrzaną aktywność w sieci to EDR (Endpoint Detection and Response). Po wykryciu nietypowej aktywności EDR generuje alert analitykom bezpieczeństwa, którzy nie tylko mogą zbadać jego przyczynę, ale odpowiednio zareagować na określoną nieprawidłowość. Jesteś ciekaw jak EDR działa w praktyce? Zapisz się na nasz webinar, podczas którego nasz inżynier przedstawi CylanceOPTICS – innowacyjny EDR, który wykorzystuje sztuczną inteligencję do wykrywania podejrzanej aktywności w sieci.
