APT41 koristi nove zlonamjerne softvere

APT41 napredna trajna prijetnja je ozloglašena kineska grupa za sajber špijunažu koju sponzoriše država koja je nedavno nadogradila svoje alate sa dva nova zlonamjerna softvera pod nazivom DodgeBox i MoonWalk. U nastavku će biti riječi o tome šta rade ovi novi zlonamjerni alati, zašto su važni i kako se organizacije mogu zaštititi od ovih naprednih prijetnji.

APT41

APT41 koristi nove zlonamjerne softvere; Source: Bing Image Creator

APT41

APT41 grupa zlonamjernih aktera, (takođe poznata kao Double Dragon, Barium, Axiom, Blackfly, Brass Typhoon, Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda i Winnti), je visoko kvalifikovana grupa za sajber špijunažu koja je aktivna najmanje od 2016. godine. Ova grupa zlonamjernih aktera sponzorisana od strane kineske države je stekla značajnu slavu zbog svoje tehničke stručnosti i prilagodljivosti u zaobilaženju bezbjednosnih mjera. Primarni cilj APT41 grupe je špijunaža, sa fokusom na krađu osjetljivih informacija i održavanje stalnog pristupa ciljanim mrežama. Široki ciljevi grupe pokazuju svoju svestranost i prilagodljivost, što ih čini značajnom prijetnjom organizacijama širom sveta.

Grupa je poznata po svojim sofisticiranim taktikama, tehnikama i procedurama (TTP), koje im omogućavaju da izbjegnu otkrivanje od strane bezbjednosnog softvera. Oni koriste različite metode kao što su spearphishing elektronske poruke sa zlonamjernim prilozima ili vezama, iskorištavanje ranjivosti u zastarelom softveru i korištenje legitimnih alata za svoje napade. Prilagodljivost APT41 grupe je očigledna iz činjenice da je primijećeno da koriste različite vektore napada u zavisnosti od svojih meta, koje obuhvataju različite sektore, uključujući zdravstvo, telekomunikacije i kompanije za video igre.

APT41 je nedavno nadogradio svoj arsenal sa dva nova zlonamjerna softvera – DodgeBox i MoonWalk. Ovi alati služe različitim svrhama, ali djele zajednički cilj da pomognu APT41 grupi da izbjegne otkrivanje i zadrži pristup kompromitovanim sistemima.

 

DodgeBox

DodgeBox je nova alatka koju je razvila APT41 grupa kako bi im pomogla da izbjegne otkrivanje tokom zlonamjernih aktivnosti. Ovaj alat uključuje napredne mehanizme protiv otkrivanja koji otežavaju antivirusnom softveru i drugim bezbjednosnim mjerama da ga otkriju. DodgeBox je učitavač komandnog okruženja napisan u programskom jeziku C i može se konfigurisati sa različitim funkcijama kao što su dešifrovanje i učitavanje ugrađenih DLL datoteka, sprovođenje provjera okruženja i vezivanja i izvršavanje procedura čišćenja.

Korištenje DodgeBox zlonamjernog softvera su prvi otkrili sigurnosni istraživači kompanije Zscaler ThreatLabz koji su primijetili da su uzorci alata dostavljeni na VirusTotal platformu i sa Tajlanda i sa Tajvana. Ovo zapažanje je u skladu sa prethodnim slučajevima kada je APT41 koristio StealthVector u kampanjama koje su prvenstveno ciljale korisnike u regionu jugoistočne Azije. DodgeBox veoma liči na stariju alatku APT41, StealthVector, ali uključuje značajna poboljšanja u svojoj implementaciji. Neke od ovih mogućnosti uključuju šifrovanje korištenjem naprednog standardnog AESCFB režima za šifrovanje njegove konfiguracije i izvođenje niza provjera okruženja kako bi se osiguralo da je pogodio tačan cilj i da ima prave privilegije da poveća pristup sistemu žrtve.

Jednom instaliran, DodgeBox uspostavlja stalno prisustvo na kompromitovanoj mašini kreiranjem ključa u sistemskim registrima koji će se automatski pokrenuti nakon ponovnog pokretanja. Takođe postavlja obrnutu vezu sa svojim serverom za komandu i kontrolu (C2) koristeći HTTPS saobraćaj preko porta 443, što otežava bezbjednosnom softveru da ga otkrije kao zlonamjernog. DodgeBox je sposoban za preuzimanje i izvršavanje dodatnih korisnih opterećenja na kompromitovanoj mašini, omogućavajući APT41 da proširi svoju površinu napada.

 

MoonWalk

Novootkriveni backdoor MoonWalk je drugostepeni korisni teret koji DodgeBox preuzima na kompromitovane sisteme. Ovaj backdoor ima modularni dizajn i nudi široke mogućnosti za svoje operatere. Njegova modularna priroda omogućava zlonamjernim akterima APT41 da prošire funkcionalnost MoonWalk zlonamjernog softvera pomoću dodataka, prilagode njegovo ponašanje na osnovu specifičnih ciljeva ili okruženja i obavljaju prilagođene zadatke prilagođene njihovim ciljevima. MoonWalk je dizajniran za eksfiltraciju podataka i omogućava zlonamjernim akterima da se kreću unutar mreže neotkriveni. Dok se DodgeBox fokusira na to da ostane skriven od bezbjednosnih timova, MoonWalk pruža APT41 mogućnost da uspostavi prikrivena uporišta u ciljanim sistemima i izvrši zlonamjerne aktivnosti.

MoonWalk je posebno opasan, jer koristi legitimne Microsoft certifikate za svoj digitalni potpis, što otežava bezbjednosnom softveru da otkrije zlonamjerni softver. Naziv alata potiče od činjenice da koristi tehniku pod nazivom Windows Fibers, koja se obično ne primjećuje kod drugih grupa zlonamjernih aktera. Windows Fibers omogućava MoonWalk zlonamjernom da kreira više niti izvršavanja u okviru jednog procesa, što otežava bezbjednosnom softveru da ga otkrije i okonča. Ove tehnike izbjegavanja u kombinaciji sa korišćenjem prilagođenog složenog C2 komunikacionog protokola koji zloupotrebljava Google Drive da bi se uklopio u legitimni saobraćaj čine MoonWalk naprednom i strašnom prijetnjom.

Jedna od najistaknutijih karakteristika MoonWalk zlonamjernog softvera su njegove napredne tehnike zamagljivanja. Ove metode čine da kôd izgleda zbunjujuće i besmisleno, što ga čini izazovom za stručnjake za sajber bezbjednost da shvate kako backdoor funkcioniše i razviju načine da ga zaustave. Ovaj nivo složenosti dodaje sloj misterije i hitnosti situaciji dok se organizacije bore da zaštite svoje sisteme od ove nove prijetnje.

Štaviše, poboljšani mehanizmi postojanosti MoonWalk zlonamjernog softvera su dizajnirani da osujeti napore analize i uklanjanja od strane bezbjednosnih mehanizama. Ove karakteristike omogućavaju da backdoor zadrži svoje prisustvo na zaraženim sistemima uprkos pokušajima da se ukloni, dodatno naglašavajući važnost kontinuiranog nadgledanja mreže i redovnog ažuriranja obavještajnih podataka o prijetnjama.

 

DodgeBox i MoonWalk uticaj

Novi zlonamjerni alati APT41 grupe predstavljaju značajan napredak u mogućnostima grupe, jer su dizajnirani da izbjegnu otkrivanje i da se krišom kreću unutar mreža. To ih čini ozbiljnom prijetnjom za organizacije svih veličina, posebno one sa ograničenim resursima sajber bezbjednosti ili zastarelim bezbjednosnim sistemima. Zbog toga uvođenje DodgeBox i MoonWalk od strane APT41 grupe zlonamjernih aktera ima značajne implikacije.

Prvo, ovi alati pokazuju da grupa stalno evoluira i poboljšava svoje tehnike za prevazilaženje bezbjednosnih mjera koje trenutno koriste organizacije. Drugo, oni su posebno dizajnirani da iskoriste ranjivosti u softveru i operativnim sistemima koji nisu ispravljeni ili ažurirani, što ih čini ozbiljnom prijetnjom bilo kojoj kompaniji, posebno onima sa vrijednim ili osvetljivim podacima.

Upotreba alata kao što su DodgeBox i MoonWalk omogućava APT41 grupi da zadrži pristup i nastavi svoje aktivnosti neotkrivene tokom dužeg perioda. Ovo je posebno zabrinjavajuće s obzirom na potencijalnu štetu koju može prouzrokovati uspješan sajber napad. Finansijski gubici, šteta po reputaciju i regulatorne kazne samo su neke od posljedica sa kojima se organizacije mogu suočiti ako postanu žrtva sofisticirane taktike APT41 grupe.

 

ZAKLJUČAK

APT41 je kineska napredna trajna prijetnja za sajber špijunažu  koja je razvila nove alate pod nazivom DodgeBox i MoonWalk da izbjegne otkrivanje i da se krišom kreće unutar mreža. Ovi alati predstavljaju značajnu prijetnju organizacijama svih veličina zbog svoje sposobnosti da zadrže pristup i nastave da kradu informacije tokom dužeg perioda. Važnost ovih alata leži u činjenici da oni demonstriraju stalnu evoluciju APT41 grupe i poboljšanje njihovih tehnika, zbog čega je od suštinskog značaja za organizacije da budu podjednako budne i proaktivne u svojim naporima za sajber bezbjednost. Štaviše, DodgeBox i MoonWalk su dizajnirani da prevaziđu mnoge postojeće bezbjednosne mjere, naglašavajući potrebu da kompanije ostanu informisane o najnovijim prijetnjama i kontinuirano poboljšavaju svoju odbranu.

Mogućnosti APT41 grupe pokazuju ozbiljnu zabrinutost za organizacije širom sveta, jer se suočavaju sa sve većim brojem sajber napada koji iskorišćavaju poznate ranjivosti u zastarelom softveru. Novi alati APT41 predstavljaju značajan napredak u njihovim sposobnostima kao sajber kriminalcima, naglašavajući važnost informisanja o novim prijetnjama i ulaganja u robusnu odbranu sajber bezbjednosti. Organizacije moraju ostati proaktivne kako bi se zaštitile od sofisticiranih napada poput onih koje koristi APT41 grupa.

 

ZAŠTITA

Evo nekoliko načina na koje se organizacije mogu zaštititi od prijetnji koje predstavlja napredna grupa za trajne prijetnje APT41 i njihovi novi alati:

  1. Ulaganje u napredne sisteme za otkrivanje prijetnji je ključno za identifikaciju i reagovanje na sofisticirani zlonamjerni softver kao što su DodgeBox i MoonWalk koji koristi APT41 Ovi sistemi koriste vještačku inteligenciju i algoritme mašinskog učenja da bi otkrili neobične obrasce koji bi mogli ukazivati na sajber napad, omogućavajući organizacijama da preduzmu brzu akciju pre nego što dođe do značajne štete,
  2. Organizacije treba da podjele svoju mrežu na manje, izolovane segmente kako bi ograničile širenje zlonamjernog softvera u slučaju da dođe do napada. Na taj način, za APT41 ili slične grupe postaje izazovnije da se kreću bočno unutar mreže i dobiju pristup osjetljivim podacima. Ovaj pristup takođe olakšava obuzdavanje svih potencijalnih ugrožavanja i smanjuje njihov uticaj na poslovanje,
  3. Implementacija autentifikacije u više koraka (eng. multi-factor authentication – MFA) u svim sistemima, aplikacijama i korisničkim nalozima je od suštinskog značaja za zaštitu od pokušaja neovlaštenog pristupa. Autentifikacije u više koraka dodaje dodatni nivo bezbjednosti zahvaljujući od korisnika da obezbijede dva ili više oblika verifikacije pre nego što dobiju pristup osjetljivim podacima ili kritičnoj infrastrukturi,
  4. Održavanje softvera ažurnim sa najnovijim ispravkama i ažuriranjima je od vitalnog značaja za sprečavanje da napadači poput APT41 iskoriste poznate ranjivosti. Redovno skeniranje mreža u potrazi za neispravljenim sistemima, blagovremena primjena bezbjednosnih ispravki i održavanje robusnog procesa upravljanja zakrpama može značajno smanjiti rizik organizacije da postane žrtva ciljanih napada,
  5. Pružanje redovne obuke za podizanje svesti o sajber bezbjednosti za zaposlene je od suštinskog značaja kako bi im se pomoglo da identifikuju potencijalne prijetnje i reaguju na odgovarajući način. Ovo uključuje edukaciju korisnika o važnosti jakih lozinki, prepoznavanje phishing elektronske pošte i razumijevanje praksi bezbjednog pregledanja. Negovanjem kulture svesti o bezbjednosti unutar organizacije, preduzeća mogu značajno da smanje rizik da postanu plen napada socijalnog inženjeringa ili drugih taktika koje koriste APT grupe kao što je APT41,
  6. Posjedovanje dobro definisanog Plan odgovora na sajber prijetnju je ključno za smanjivanje uticaja i štete izazvane sajber napadima. Ovo uključuje jasne procedure za identifikaciju, obuzdavanje, iskorjenjivanje i oporavak od incidenata što je brže moguće. Redovno testiranje i ažuriranje ovog plana može pomoći organizacijama da efikasno odgovore na prijetnje koje predstavljaju APT grupe kao što je APT41,
  7. Implementacija jakih kontrola pristupa je od suštinskog značaja za ograničavanje površine napada koja je dostupna potencijalnim protivnicima. Ovo uključuje implementaciju politika kontrole pristupa zasnovane na ulogama (eng. role-based access control – RBAC), sprovođenje principa najmanje privilegija i redovno preispitivanje korisničkih dozvola kako bi se osiguralo da su prikladne za njihove funkcije posla. Na taj način, organizacije mogu značajno smanjiti rizik od unutrašnjih prijetnji ili pokušaja neovlaštenog pristupa koji bi mogli da dovedu do ugrožavanja podataka ili drugih incidenata u sajber bezbjednosti,
  8. Sprovođenje redovnih procjena ranjivosti i penetracijskog testiranja je od suštinskog značaja za identifikaciju potencijalnih slabosti unutar IT infrastrukture organizacije. Proaktivnim rješavanjem ovih problema pre nego što ih napadači mogu iskoristiti, preduzeća mogu značajno smanjiti rizik da postanu žrtve ciljanih napada poput onih koje sprovodi APT41,
  9. Biti informisan o najnovijim prijetnjama i taktikama koje koriste napredne grupe za trajne prijetnje kao što je APT41 je od suštinskog značaja za održavanje snažnog stava sajber bezbjednosti. Pretplatom na renomirane izvore obavještajnih podataka o prijetnjama, organizacije mogu da steknu vrijedne uvide u nove prijetnje, potencijalne ranjivosti i ciljane napade, omogućavajući im da preduzmu odgovarajuće mjere pre nego što dođe do štete,
  10. Konačno, saradnja između organizacija, industrijskih grupa i agencija za sprovođenje zakona je od suštinskog značaja u borbi protiv rastuće prijetnje koju predstavljaju napredne grupe trajnih prijetnji poput APT41. Dijeleći obavještajne podatke, najbolje prakse i resurse, preduzeća mogu zajedno da ojačaju svoju odbranu u sajber bezbjednosti i efikasnije se suprotstave ovim sofisticiranim protivnicima.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.