Gaza Cybergang и ее операция SneakyPastes

10 апреля 2019

На конференции Kaspersky Security Analyst Summit (SAS) мы традиционно рассказываем об APT-атаках: именно там мы опубликовали сведения о Slingshot, Carbanak, Careto. Поскольку целевых атак меньше не становится, то и традицию мы не нарушаем: на SAS 2019 в Сингапуре мы рассказали об APT-группировке Gaza Cybergang.

Богатый арсенал

Группировка Gaza Cybergang, промышляющая кибершпионажем, действует в основном на территории стран Ближнего Востока и Средней Азии. Ее интересуют политики, дипломаты, журналисты, активисты и прочие политически активные граждане региона. Абсолютным лидером по количеству зафиксированных нами атак с января 2018 по январь 2019 года стали цели, находящиеся на территории Палестины. Немало попыток заражения пришлось также на Иорданию, Израиль и Ливан.

В своих атаках эта группировка использует разные по уровню сложности методы и инструменты, поэтому наши эксперты выделяют в ее составе как минимум три подгруппы.

О двух из них мы уже писали. Одна является автором кампании Desert Falcons, а вторая стояла за узконаправленными атаками Operation Parliament. Настало время поговорить о третьей, названной MoleRATs. Эта группа в основном использует относительно несложные инструменты, однако ее операция SneakyPastes (названа так за активное использование pastebin.com) от этого не становится менее опасной.

SneakyPastes

В рамках этой операции проводятся многоэтапные атаки. Начинаются они с фишинга, причем в нем используются письма с одноразовых адресов и одноразовые домены. Иногда в письмах содержится ссылка на вредонос, а иногда зараженные файлы приложены непосредственно к письму. Если жертва запустит такой файл (или перейдет по ссылке), на устройстве окажется вредоносная программа первой стадии, которая запустит цепочку заражения.

Сами письма, которые должны усыпить бдительность читателя, чаще всего на политическую тематику. Это либо какие-то протоколы переговоров политиков, либо поддельные послания от уважаемых организаций.

Заразив компьютер жертвы вредоносом первой стадии, злоумышленники стремятся закрепиться на устройстве, скрыть свое присутствие от защитных решений и максимально обезопасить командный сервер.

Они полагаются на публичные сервисы (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com и pomf.cat) для организации следующих этапов атаки (в том числе для доставки вредоносов), а главное, для общения с командным сервером. Что интересно, чаще всего используется сразу несколько методов вывода добытой информации.

В конце концов на устройство устанавливается RAT-зловред с широкими возможностями. Среди прочего он может беспрепятственно скачивать и загружать файлы, запускать приложения, искать документы и шифровать информацию.

Этот зловред находит на компьютере жертвы все документы форматов PDF, DOC, DOCX и XLSX, сохраняет их в папках для временных файлов, а затем классифицирует их, архивирует, шифрует и в таком виде через цепочку доменов отправляет на командный сервер.

Впрочем, мы детектируем и множество других инструментов, используемых в этой атаке. Узнать о них больше, а также ознакомиться с остальными техническими подробностями можно в посте на Securelist.

Комплексная защита от комплексных угроз

Наши продукты умеют успешно бороться с компонентами, используемыми в операции SneakyPastes. Чтобы не пополнить список ее жертв, мы предлагаем принять во внимание следующие советы.

  • Атаки Gaza Cybergang начинаются с фишинга. Научите сотрудников вашей компании распознавать опасные письма, причем не только массовые, но и целевые. Наша интерактивная платформа Kaspersky ASAP позволяет не просто давать необходимые для этого знания, но и прививать практические навыки.
  • Сложные многоступенчатые целевые атаки могут оказаться не по зубам антивирусам базового уровня. Используйте комплексные решения, разработанные для защиты от изощренных атак. Для противодействия злоумышленникам на уровне сети мы рекомендуем применять связку из Kaspersky Anti Targeted Attack и Kaspersky Endpoint Detection and Response.
  • Если в вашей компании есть выделенная служба, отвечающая за информационную безопасность, рекомендуем подписаться на рассылку закрытых отчетов «Лаборатории Касперского», в которых мы подробно освещаем актуальные киберугрозы. Приобрести подписку можно, написав по адресу intelreports@kaspersky.com