Η Check Point Research (CPR) αποκαλύπτει σήμερα νέα ευρήματα για μια ομάδα που σχετίζεται στενά με τον Phosphorus. Αυτή η έρευνα παρουσιάζει μια νέα και βελτιωμένη αλυσίδα μόλυνσης που χρησιμοποιούν οι επιτιθέμενοι. Ακολουθώντας τα ίχνη της επίθεσης, η CPR μπόρεσε να διαπιστώσει συνδέσεις με τη Phosphorus, μια ομάδα απειλών με έδρα το Ιράν που δραστηριοποιείται τόσο στη Βόρεια Αμερική όσο και στη Μέση Ανατολή. Η Phosphorus έχει συνδεθεί στο παρελθόν με ένα ευρύ φάσμα δραστηριοτήτων, που κυμαίνονται από ransomware έως spear-phishing ατόμων υψηλού προφίλ..
Στις επιθέσεις που περιγράφονται λεπτομερώς στην παρούσα έκθεση, αποκαλύπτουμε ότι ο δράστης της επίθεσης έχει βελτιώσει σημαντικά τους μηχανισμούς του και έχει υιοθετήσει σπάνια εμφανιζόμενες τεχνικές, όπως η χρήση δυαδικών αρχείων .NET που δημιουργούνται σε μεικτή λειτουργία με κώδικα συναρμολόγησης. Η πρόσφατα ανακαλυφθείσα έκδοση προορίζεται πιθανότατα για επιθέσεις phishing που επικεντρώνονται γύρω από το Ιράκ, χρησιμοποιώντας ένα αρχείο ISO για την έναρξη της αλυσίδας μόλυνσης. Άλλα έγγραφα μέσα στο αρχείο ISO ήταν σε εβραϊκή και αραβική γλώσσα, γεγονός που υποδηλώνει ότι τα δέλεαρ απευθύνονταν σε ισραηλινούς στόχους. Το CPR αποφάσισε να παρακολουθήσει αυτό το σύμπλεγμα δραστηριοτήτων ως Educated Manticore.
Από το 2021, ένα νέο κύμα δραστηριοτήτων με σαφείς δεσμούς με το Ιράν έχει τραβήξει την προσοχή της κοινότητας των υπηρεσιών πληροφοριών για τις απειλές. Ο επιθετικός χαρακτήρας της νέας απειλής, σε συνδυασμό με τους δεσμούς της με την ανάπτυξη ransomware, οδήγησε σε ενδελεχή ανάλυση των δραστηριοτήτων της.
Καθώς η δραστηριότητα εξελισσόταν, οι δεσμοί μεταξύ των διαφόρων ομάδων γίνονταν όλο και πιο δύσκολο να ξετυλιχθούν. Ενώ τα δύο άκρα του φάσματος αυτών των δραστηριοτήτων διαφέρουν σημαντικά, η κοινότητα πληροφοριών για τις απειλές δεν έχει πέσει ούτε μία φορά πάνω σε μια δραστηριότητα που δεν ταιριάζει εύκολα στις γνωστές ομάδες. Η προηγούμενη έκθεση της CPR περιέγραψε ένα από αυτά τα δείγματα και τις επικαλύψεις μεταξύ της δραστηριότητας εκμετάλλευσης Log4J σε μια εφαρμογή Android που είχε προηγουμένως συνδεθεί με το APT35.
Η παραλλαγή που περιγράφεται σε αυτή την έκθεση διανεμήθηκε χρησιμοποιώντας αρχεία ISO, υποδεικνύοντας ότι είναι πιθανό να αποτελεί τον αρχικό φορέα μόλυνσης. Επειδή πρόκειται για μια ενημερωμένη έκδοση κακόβουλου λογισμικού που έχει αναφερθεί προηγουμένως, αυτή η παραλλαγή (PowerLess), που σχετίζεται με ορισμένες από τις επιχειρήσεις Ransomware του Phosphorus, μπορεί να αντιπροσωπεύει μόνο τα αρχικά στάδια της μόλυνσης, με σημαντικά κλάσματα δραστηριότητας μετά τη μόλυνση να μην έχουν ακόμη παρατηρηθεί στη φύση.
Δεδομένου ότι αυτές οι νέες μολύνσεις δεν έχουν παρατηρηθεί ποτέ πριν σε μεθόδους επιθέσεων, η Check Point Software μπορεί να δώσει ορισμένες συμβουλές άμυνας για την προστασία από τέτοιου είδους επιθέσεις:
- Επικαιροποιημένες ενημερώσεις : Το WannaCry, μια από τις πιο διάσημες παραλλαγές ransomware που υπάρχουν, είναι ένα παράδειγμα ενός σκουληκιού ransomware. Κατά τη στιγμή της διάσημης επίθεσης WannaCry τον Μάιο του 2017, υπήρχε ένα patch για την ευπάθεια EternalBlue που χρησιμοποιούσε το WannaCry. Αυτό το διορθωτικό ήταν διαθέσιμο ένα μήνα πριν από την επίθεση και χαρακτηρίστηκε ως “κρίσιμο” λόγω της μεγάλης πιθανότητας εκμετάλλευσής του. Ωστόσο, πολλοί οργανισμοί και ιδιώτες δεν εφάρμοσαν εγκαίρως την επιδιόρθωση, με αποτέλεσμα να ξεσπάσει μια επιδημία ransomware που μόλυνε 200.000 υπολογιστές μέσα σε τρεις ημέρες. Η ενημέρωση των υπολογιστών και η εφαρμογή των επιδιορθώσεων ασφαλείας, ιδίως εκείνων που χαρακτηρίζονται ως κρίσιμες, μπορεί να συμβάλει στον περιορισμό της ευπάθειας ενός οργανισμού σε επιθέσεις, καθώς οι εν λόγω επιδιορθώσεις συνήθως παραβλέπονται ή καθυστερούν πολύ για να προσφέρουν την απαιτούμενη προστασία.
- Εκπαίδευση ευαισθητοποίησης στον κυβερνοχώρο: είναι ένας από τους πιο δημοφιλείς τρόπους εξάπλωσης κακόβουλου λογισμικού. Με την εξαπάτηση ενός χρήστη ώστε να κάνει κλικ σε έναν σύνδεσμο ή να ανοίξει ένα κακόβουλο συνημμένο αρχείο, οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή του υπαλλήλου.Με το παγκόσμιο κενό σε ταλέντα στον τομέα της κυβερνοασφάλειας να επηρεάζει τους οργανισμούς σε όλο τον κόσμο, η συχνή εκπαίδευση ευαισθητοποίησης στον τομέα της κυβερνοασφάλειας είναι ζωτικής σημασίας για την προστασία του οργανισμού από κυβερνοεπιθέσεις, αξιοποιώντας το προσωπικό τους ως την πρώτη γραμμή άμυνας για τη διασφάλιση ενός προστατευμένου περιβάλλοντος. Η εκπαίδευση αυτή θα πρέπει να καθοδηγεί τους υπαλλήλους να κάνουν τα εξής:
- Να μην κάνουν κλικ σε κακόβουλους συνδέσμους
- Να μην ανοίγουν ποτέ απροσδόκητα ή μη αξιόπιστα συνημμένα αρχεία
- Να αποφεύγουν την αποκάλυψη προσωπικών ή ευαίσθητων δεδομένων σε phishers
- Να επαληθεύουν τη νομιμότητα του λογισμικού πριν το κατεβάσουν
- Ποτέ να μην συνδέουν άγνωστο USB στον υπολογιστή τους
- Να χρησιμοποιούν VPN όταν συνδέονται μέσω μη αξιόπιστου ή δημόσιου Wi-Fi
- Χρησιμοποιήστε μια βελτιωμένη προστασία από απειλές: Οι περισσότερες επιθέσεις μπορούν να εντοπιστούν και να επιλυθούν πριν να είναι πολύ αργά. Πρέπει να έχετε αυτοματοποιημένη ανίχνευση και πρόληψη απειλών στον οργανισμό σας για να μεγιστοποιήσετε τις πιθανότητες προστασίας σας.
- Σάρωση και παρακολούθηση μηνυμάτων ηλεκτρονικού ταχυδρομείου. Τα μηνύματα ηλεκτρονικού ταχυδρομείου αποτελούν κοινή επιλογή των κυβερνοεγκληματιών που εκτελούν συστήματα ηλεκτρονικού “ψαρέματος”, οπότε αφιερώστε χρόνο για να σαρώνετε και να παρακολουθείτε τα μηνύματα ηλεκτρονικού ταχυδρομείου σε συνεχή βάση και εξετάστε το ενδεχόμενο να αναπτύξετε μια αυτοματοποιημένη λύση ασφάλειας ηλεκτρονικού ταχυδρομείου για να αποκλείσετε τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου από το να φτάσουν ποτέ στους χρήστες.
- Σάρωση και παρακολούθηση της δραστηριότητας αρχείων. Είναι επίσης καλή ιδέα να σαρώνετε και να παρακολουθείτε τη δραστηριότητα των αρχείων. Θα πρέπει να ενημερώνεστε κάθε φορά που υπάρχει ένα ύποπτο αρχείο στο παιχνίδι – πριν αυτό γίνει απειλή.
- Η υπηρεσία πληροφοριών απειλών παρέχει τις πληροφορίες που απαιτούνται για τον αποτελεσματικό εντοπισμό επιθέσεων zero-day. Η προστασία από αυτές απαιτεί λύσεις που μπορούν να μεταφράσουν αυτές τις πληροφορίες σε ενέργειες που εμποδίζουν την επίτευξη της επίθεσης. Η Check Point έχει αναπτύξει πάνω από εξήντα μηχανές πρόληψης απειλών που αξιοποιούν την τεχνολογία ThreatCloud AI threat intelligence για την πρόληψη των επιθέσεων μηδενικής ημέρας.
- Ενοποίησης της ασφάλειας: Πολλοί οργανισμοί βασίζονται σε ένα ευρύ φάσμα αυτόνομων και ασύνδετων λύσεων ασφαλείας. Ενώ αυτές οι λύσεις μπορεί να είναι αποτελεσματικές στην προστασία από μια συγκεκριμένη απειλή, μειώνουν την αποτελεσματικότητα της ομάδας ασφαλείας ενός οργανισμού, καθώς την κατακλύζουν με δεδομένα και την αναγκάζουν να ρυθμίζει, να παρακολουθεί και να διαχειρίζεται πολλές διαφορετικές λύσεις. Ως αποτέλεσμα, το καταπονημένο προσωπικό ασφαλείας παραβλέπει κρίσιμες ειδοποιήσεις.
Μια ενοποιημένη πλατφόρμα ασφάλειας είναι απαραίτητη για την αποτροπή επιθέσεων μηδενικής ημέρας. Μια ενιαία λύση με ορατότητα και έλεγχο σε ολόκληρο το οικοσύστημα ΤΠ ενός οργανισμού διαθέτει το πλαίσιο και τη διορατικότητα που απαιτούνται για τον εντοπισμό μιας κατανεμημένης κυβερνοεπίθεσης. Επιπλέον, η δυνατότητα εκτέλεσης συντονισμένων, αυτοματοποιημένων αντιδράσεων σε ολόκληρη την υποδομή ενός οργανισμού είναι απαραίτητη για την αποτροπή ταχέως εξελισσόμενων εκστρατειών επιθέσεων zero-day.
Για την πλήρη εμβάθυνση στο Educated Manticore, επισκεφθείτε το CPR blog.
Ο Sergey Shykevich, Threat Group Manager, Check Point Software δήλωσε: “Στη σχετική μελέτη μας, παρουσιάζουμε τη συνεχιζόμενη εξέλιξη των δυνατοτήτων των ιρανικών εθνικών φορέων. Παρόμοια με τον τρόπο με τον οποίο οι εγκληματίες του κυβερνοχώρου προσαρμόζουν τις αλυσίδες μόλυνσης για να συμβαδίζουν με τα μεταβαλλόμενα οικοσυστήματα, αυτοί οι εθνικοί κρατικοί φορείς χρησιμοποιούν επίσης αρχεία ISO για να παρακάμψουν τους νέους περιορισμούς στην κακόβουλη χρήση αρχείων γραφείου. Παράλληλα με τις αλυσίδες μόλυνσης, τα εργαλεία που χρησιμοποιεί ο συγκεκριμένος απειλητικός παράγοντας έχουν επίσης βελτιωθεί, υποδεικνύοντας τη συνεπή επένδυση του Ιράν στην ενίσχυση των δυνατοτήτων του στον κυβερνοχώρο”.
