APT
В наши дни распространение эксплойтов нулевого дня происходит буквально со скоростью света. Как только такой полезный эксплойт становится достоянием общественности, авторы APT сразу начинают добавлять их в свои творения. В течение месяца, после того как мы уже написали о последних набегах злоумышленников из Darkhotel, взявших на вооружение уязвимость нулевого дня из украденных Hacking Team данных, мы обнаружили, что этот баг Adobe Flash достиг Страны Восходящего Солнца. В данном случае оператор APT BlueTermite решил встроить его в свой набор инструментов.
Из Италии в Японию, с постоянством
Сама по себе эта атака является «постоянной» во многих смыслах. Она активна, по крайней мере, с ноября 2013 года и имеет интересную особенность в том, что её географический охват фактически ограничивается Японией. Её жертвы, в частности, клиенты Пенсионной службы и Сервисов медицинского страхования Японии, проживают только в этой стране, а равно и сами серверы управления BlueTermite расположены там же.
Вспышку активности в середине лета 2015 года, как показано на графике выше, легко объяснить. В этот момент APT получила новый метод заражения. Если до июля 2015 года BlueTermite использовал для распространения только спиэрфишинг, то с этого момента добавилось фоновое заражение. Интересно отметить, что среди инфицированных веб-сайтов оказался сетевой ресурс члена японского правительства. Подобная атака по типу «водопоя» точно нацелена политические круги страны.
Японская национальная кухня угроз: индивидуально, со вкусом зиродея #APT
Tweet
Ещё один интересный аспект атак заключается в том, что, для того чтобы расшифровать код в заражённом «emdivi t20», BlueTermite использует ключ дешифрования, сгенерированный из уникального ID на базе аппаратных средств жертвы. Повторяю, атака «постоянна» на многих фронтах: помимо ограничения одной страной, её инструментарий привязан к зараженной системе, предупреждая любые попытки клонирования или подобных ему методов исследования. Более подробное описание BlueTermite можно найти здесь.
В свете вышесказанного может показаться, что интерес оператора в эксплойте Hacking Team носит массовый характер. Но, по правде, ту же историю можно рассказать о каждом появляющемся баге нулевого дня, становящемся достоянием широкой общественности: киберпреступники спешат воспользоваться преимуществом, «пока не пропатчили».
Если компании не хотят стать жертвами, они должны признать возможность таких атак и быть готовы. По крайней мере, предприятия должны немедленно устанавливать критические обновления, как только они появляются. Конечно, это не аннулирует вероятность направленной атаки, зато значительно снижает риск.
Как продукты «Лаборатории Касперского» защищают от APT BlueTermite
Продукты «Лаборатории Касперского» обнаруживают модули BlueTermite, вынося вердикты согласно приведенным ниже в таблице.
Профилактика вредоносных программ нулевого дня
Существуют эвристические алгоритмы для ранее неизвестных видов вредоносных программ. Эти алгоритмы основаны на знании как структуры, так и эмулированных типичных поведенческих паттернов. Актуальный поведенческий процесс также подлежит мониторингу. Модуль System Watcher способен выявлять подозрительные модели поведения и блокировать нежелательную активность.
Функциональность Automatic Exploit Prevention «Лаборатории Касперского» разработана для противодействия эксплойтам, в том числе нулевого дня, и весьма эффективна в обнаружении компонентов BlueTermite. Элементы эвристики и Automatic Exploit Prevention передового антивредоносного движка «Лаборатории Касперского» составляют важную часть современной многоуровневой защиты.
Встречайте BlueTermite #APT
Tweet
Своевременная установка патчей
Регулярное обновление до последней версии установленного программного обеспечения и установка патчей для ОС помогает предотвратить широкий спектр атак. Своевременное внесение исправлений легче всего достигается с помощью инструмента управления патчами, таким как Patch Management «Лаборатории Касперского», работая вместе или вместо Microsoft WSUS. Сочетание функций мониторинга уязвимостей и установки исправлений [1] также обновит всё популярное программное обеспечение сторонних разработчиков до последних версий. Использование автоматизированных инструментов «Лаборатории Касперского» способствует сокращению «зазора» между выпуском патча и его развертыванием, таким образом, значительно снижая риск пострадать от «вчерашнего бага нулевого дня».
Известные URL контрольных серверов
Когда определяются контрольные серверы управления (CnC) любой атаки, мы добавляем их адреса в нашу базу данных безопасности. Клиенты «Лаборатории Касперского» могут почерпнуть всю текущую информацию об активных серверах CnC из нашего специального канала данных. Этот канал может быть использован (например, в системе SIEM заказчика) для предупреждения системных администраторов о любых попытках связаться с этими вредоносными серверами.
[1] Vulnerability Assessment и Patch Management включены в пакетах Kaspersky Total Security для бизнеса, Kaspersky Endpoint Security для бизнеса Расширенный и Kaspersky Systems Management.
Советы