Hakerzy LuckyMouse atakują banki, firmy i rządy

LuckyMouse przygotowuje ukierunkowane cyberataki

LuckyMouse (określana również jako APT27 i Emissary Panda) to chińskojęzyczna grupa cyberprzestępcza, która głównie działa w Azji Środkowej i na Bliskim Wschodzie. Gang ten został powiązany z wieloma włamaniami wymierzonymi w różne organizacje, w tym ponadnarodowe jak Organizacja Międzynarodowego Lotnictwa Cywilnego (ICAO). Jednak część ataków została przeprowadzona przez LuckyMouse na podmioty rządowe, tak więc ich złośliwe oprogramowanie może zostać wykorzystane do cyberszpiegostwa. Jak słusznie zauważyli badacze ds. cyberbezpieczeństwa kampanie LuckyMouse niemal zawsze zbiegają się w czasie z głośnymi wydarzeniami politycznymi.

Jakie organizacje znajdują się na celowniku cyberprzestępców?

Aktywność LuckyMouse w ostatnim czasie zagrażała wielu organizacjom, w tym agencjom rządowym i dyplomatycznym, dostawcom usług telekomunikacyjnych, firmom medialnym, a nawet bankom komercyjnym. Cele LuckyMouse nie są wybierane przypadkowo, grupa przeprowadza wyrafinowane, ukierunkowane ataki, które mają na celu uzyskanie tajnych informacji. Ostatnie działania inwigilacyjne grupy otrzymały wspólną nazwę EmissarySoldier. Większości naruszeń grupa dokonała za pomocą narzędzia SysUpdate (aka Soldier), dzięki temu LuckyMouse skutecznie włamała się do wielu sieci rządowych w Azji Środkowej i na Bliskim Wschodzie.

podejrzana aktywność EDR

W jaki sposób LuckyMouse przeprowadza ataki?

W ocenie Matthieu Faou, badacza szkodliwego oprogramowania z firmy ESET, napastnicy stojący za LuckyMouse skanują sieć wytypowanej ofiary w celu znalezienia podatnych na ataki serwerów z dostępem do Internetu. Ponadto wykorzystują strony internetowe odwiedzane przez potencjalne ofiary. ESET zaobserwował również infekcje LuckyMouse na bliżej nieokreślonej liczbie systemów działających w Internecie z Microsoft SharePoint, które, jak podejrzewają badacze, miały miejsce dzięki wykorzystaniu luk w zabezpieczeniach aplikacji umożliwiających zdalne wykonanie kodu. Niezależnie od metody wykorzystanej do zdobycia początkowego punktu zaczepienia, łańcuch ataków kończy się wdrożeniem SysUpdate lub HyperBro, które ładują złośliwą bibliotekę DLL i niemal uniemożliwiają wykrycie podejrzanej aktywności w sieci. Eksperci zauważają, że zestaw narzędzi wykorzystywany przez LuckyMouse przeszedł liczne poprawki, a także dodano wiele nowych funkcjonalności, co wskazuje, że atakujący aktywnie pracują nad unowocześnieniem swojego arsenału.

Jak szybko wykryć podejrzaną aktywność w sieci?

Każda podejrzana aktywność w naszej sieci może okazać się potencjalnym zagrożeniem. Narzędzie, które służy wykrywaniu i reagowaniu na podejrzaną aktywność w sieci to EDR (Endpoint Detection and Response). Po wykryciu nietypowej aktywności EDR generuje alert analitykom bezpieczeństwa, którzy nie tylko mogą zbadać jego przyczynę, ale odpowiednio zareagować na określoną nieprawidłowość. Jesteś ciekaw jak EDR działa w praktyce? Zapisz się na nasz webinar, podczas którego nasz inżynier przedstawi BlackBerry Optics – innowacyjny EDR, który wykorzystuje sztuczną inteligencję do wykrywania podejrzanej aktywności w sieci. 

To jest nagłówek

Lorem ipsum dolor sit amet consectetur adipiscing elit dolor

To jest nagłówek

Lorem ipsum dolor sit amet consectetur adipiscing elit dolor
Zapisz się na
newsletter

Zaufali nam:

Sprawdź jak ocenili nas klienci

5/5
Bezpieczeństwo sieci

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66

email: kontakt@vida.pl

Rozwiązania IT

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66
email: kontakt@vida.pl
F-Secure
Dołącz do newslettera i otrzymaj roczną ochronę antywirusową F-Secure Internet Security. Klucz uprawnia do korzystania z rocznej, pełnej wersji oprogramowania, którą możesz zainstalować na 3 urządzeniach z systemem Windows. Wystarczy, że: