W raporcie poświęconym ewolucji zaawansowanych cyberzagrożeń w III kwartale 2020 r. badacze z firmy Kaspersky wskazują na rozbieżności w ogólnym podejściu cyberprzestępców: z jednej strony ugrupowania stosujące zaawansowane długotrwałe ataki APT (ang. Advanced Persistent Threats) rozwijały swoje taktyki, techniki oraz procedury, a z drugiej wykorzystywano dobrze znane i sprawdzone metody ataków oparte na dosyć trywialnych wektorach infekcji i zestawach narzędzi.
Jednym z istotniejszych wydarzeń w III kwartale br. była kampania przeprowadzona przez nieznanych sprawców, którzy zainfekowali jedną z ofiar z wykorzystaniem niestandardowego szkodliwego narzędzia (bootkita) dla UEFI, czyli niezbędnego komponentu sprzętowego każdego współczesnego urządzenia komputerowego. Ten wektor infekcji wchodził w skład wieloetapowej platformy o nazwie MosaicRegressor. Dzięki zainfekowaniu UEFI zainstalowane na urządzeniu szkodliwe oprogramowanie mogło utrzymać się na nim wyjątkowo długo i było bardzo trudne do usunięcia. Dodatkowo pozwalało to szkodliwemu oprogramowaniu pobierać na każde urządzenie ofiary inną szkodliwą funkcję.
Cyberprzestępcy stosowali także stenografię. W ataku na europejską firmę telekomunikacyjną wykryto nową metodę wykorzystującą podpisany przy użyciu technologii Authenticode moduł aplikacji Windows Defender. Z kolei w aktywnej kampanii przypisywanej ugrupowaniu Ke3chang użyto nowej wersji backdoora Okrum, która wykorzystuje taki moduł poprzez zastosowanie unikatowej techniki ładowania pośredniego. Atakujący wykorzystali stenografię w celu ukrycia głównej szkodliwej funkcji pliku wykonywalnego Defendera, dbając jednocześnie o zachowanie ważności jego podpisu cyfrowego, by zmniejszyć ryzyko wykrycia.
Wciąż pojawiają się różne wieloetapowe platformy, jak na przykład ta stworzona przez cybergang MuddyWater. Tendencja ta dotyczy także innych szkodliwych programów, czego przykładem może być narzędzie zdalnego dostępu (RAT) Dtrack, które zostało uaktualnione o nową funkcję umożliwiającą wykonanie większej liczby rodzajów szkodliwych funkcji.
Z drugiej strony, część cyberprzestępców nadal skutecznie stosuje łańcuchy infekcji o niskim stopniu zaawansowania technicznego. Przykładem może być ugrupowanie cybernajemników, któremu badacze z firmy Kaspersky nadali nazwę DeathStalker. Gang ten bierze na celownik głównie kancelarie prawne oraz firmy działające w sektorze finansowym, gromadząc wrażliwe i cenne informacje swoich ofiar.
– Podczas gdy niektórzy cyberprzestępcy konsekwentnie trzymają się sprawdzonych metod, szukając jedynie nowych gorących tematów, jak np. COVID-19, które mogą wykorzystać, by skłonić ofiary do pobrania szkodliwych załączników, inne ugrupowania przeobrażają siebie i swoje narzędzia. Szerszy zakres atakowanych platform, ciągła praca nad nowymi łańcuchami infekcji oraz wykorzystywanie legalnych usług w ramach infrastruktury ataków to tendencje obserwowane w minionym kwartale. Dla specjalistów zajmujących się cyberbezpieczeństwem oznacza to jedno: konieczność angażowania zasobów w tropienie szkodliwej aktywności w nowych, potencjalnie legalnych, słabo zbadanych środowiskach. Mowa tu między innymi o szkodliwym oprogramowaniu napisanym w mniej znanych językach programowania, jak również rozprzestrzenianym za pośrednictwem legalnych usług chmury – powiedział cytowany w komunikacie Ariel Jungheit, starszy badacz ds. cyberbezpieczeństwa w zespole ds. badań i analiz w firmie Kaspersky.
