APT36 koristi Vibeware za masovni napad

AUTOR ·

APT36 grupa koristi novu strategiju da preplavi odbranu neprekidnim tokom varijanti zlonamjernog softvera, čime tradicionalne metode otkrivanja postaju sve neefikasnije. Ovaj novi pristup ima ozbiljne posljedice za bezbjednosne timove i organizacije, jer ih primorava da prilagode svoje strategije u odgovoru na prijetnje. Sam obim napada otežava prepoznavanje pojedinačnih prijetnji i naglašava potrebu za naprednijim odbrambenim mehanizmima, pokazuje istraživanje kompanije Bitdefender.

APT36 koristi Vibeware

APT36 koristi Vibeware za masovni napad; Source: Bing Image Creator

APT36 I VIBEWARE

Aktivnosti napredne trajne prijetnje APT36 privukle su veliku pažnju sigurnosnih istraživača i organizacija širom svijeta, jer je ova grupa nedavno usvojila nov pristup razvoju zlonamjernog softvera. APT36 grupa koristi moć vještačke inteligencije (eng. artificial intelligence – AI) za formiranje kôda u razmjerama koje do sada nisu viđene.

Ovaj prelazak na formiranje kôda uz pomoć vještačke inteligencije ne predstavlja tek manju izmjenu u njihovoj taktici, već temeljnu promjenu u načinu na koji APT36 grupa pristupa proizvodnji zlonamjernog softvera. Umjesto ranijih pažljivo izrađenih alata prilagođenih određenim ciljevima ili ranjivostima, grupa se sada opredijelila za strategiju velikog obima, gdje se prednost daje količini u odnosu na pojedinačnu naprednost.

Posljedice ovakve promjene su značajne. Prihvatanjem formiranja kôda uz pomoć vještačke inteligencije, APT36 grupa može proizvesti ogromne količine zlonamjernog softvera za jednokratnu upotrebu, i to u različitim programskim jezicima. Ovakav pristup ne samo da povećava složenost i otežava praćenje njihovih aktivnosti, već i jasno pokazuje evoluciju sajber prijetnji.

Sigurnosni istraživači ovaj novi model nazvali su “vibeware” zbog njegovih osobina: brzo formiran, često mijenjan i nerijetko neispravan kôd, koji ipak uspijeva da podrži stvarne operacije upada. Termin vibeware precizno obuhvata suštinu strategije APT36 grupe – neumoljivu baražu varijanti zlonamjernog softvera osmišljenih da probiju odbranu, umjesto da se usavršava pojedinačan napad.

 

Mehanika formiranja Vibeware kôda

Proces formiranja vibeware kôda uključuje korištenje algoritama vještačke inteligencije za brzo stvaranje zlonamjernog softvera u različitim programskim jezicima. Ovaj pristup omogućava APT36 grupi da razvije širok spektar alata za jednokratnu upotrebu, svaki sa svojim jedinstvenim karakteristikama i potencijalnim ranjivostima.

Korištenjem tehnika mašinskog učenja, grupa može da oblikuje kôd prilagođen određenim ciljevima ili platformama bez potrebe za velikim ručnim naporima. Ova efikasnost im omogućava da održe impresivan tempo proizvodnje zlonamjernog softvera, preplavljujući odbranu brojnim varijantama u kratkom vremenskom razmaku.

Pristup vođen vještačkom inteligencijom takođe olakšava eksperimentisanje i prilagođavanje unutar operacija APT36 grupe. Brzim formiranjem novih dijelova kôda, mogu da testiraju različite vektore napada, identifikuju ranjivosti i usavršavaju svoje taktike u hodu – sve bez značajne ručne intervencije.

Sigurnosni istraživači su primijetili da vibeware kôd često pokazuje sljedeće karakteristike:

  • Brzo formiranje: Kôd se proizvodi u neviđenim razmjerama, sa algoritmima vještačke inteligencije sposobnim da formiraju zlonamjerni softver za samo nekoliko minuta ili sati.
  • Česte promjene: Formirani kôd se kontinuirano mijenja kako bi se izbjeglo otkrivanje i poboljšala efikasnost.
  • Manjkav, ali koristan: Uprkos nesavršenostima, vibeware kôd i dalje uspijeva da podrži stvarne operacije upada.

 

Raznovrsnost zlonamjernog softvera

Raznovrsnost zlonamjernog softvera koji koristi APT36 grupa pokazuje koliko je njihova strategija prilagođena različitim okruženjima i ciljevima. Njihov arsenal obuhvata niz alata razvijenih da zaobiđu uobičajene bezbjednosne mjere i omoguće pristup osjetljivim podacima. Posebno je značajno što se pojedini programi izrađuju u manje poznatim programskim jezicima poput Nim, Zig i Crystal, što otežava njihovo otkrivanje i neutralisanje. Dodatnu složenost unosi činjenica da su usmjereni na više operativnih sistema, čime se širi polje potencijalnih napada.

Primjer takvog pristupa je Warcode, učitavač zlonamjernog kôda razvijen u Crystal programskom jeziku, koji služi kao ulazna tačka za dodatne pakete, među kojima je i Cobalt Strike. Ovaj alat omogućava uspostavljanje veze sa komandnim serverima ili izvlačenje podataka sa ugroženih sistema. Sličnu funkciju ima i NimLoader, koji takođe koristi Cobalt Strike za nastavak štetnih aktivnosti. Ovakvi primjeri pokazuju kako APT36 grupa kombinuje različite komponente da bi ostvarila širi cilj.

CreepDropper, razvijen u .NET okruženju, predstavlja još jedan primjer raznovrsnosti. Njegova uloga je instalacija dodatnih paketa poput SHEETCREEP i MAILCREEP, koji se koriste za izvlačenje podataka ili druge štetne radnje. Korištenje više međusobno povezanih alata ukazuje na promišljenost taktike APT36 grupe i njihovu sposobnost da grade složene lance napada.

Posebnu pažnju zaslužuju SupaServ i LuminousStealer, alati koji koriste platforme poput Supabase i Google Drive za komunikaciju i izvlačenje podataka. Ovakvo oslanjanje na pouzdane servise otežava odbranu, jer se zlonamjerne aktivnosti prikrivaju u okviru legitimnog saobraćaja. Time APT36 grupa pokazuje visok stepen prilagodljivosti i sposobnost da se uklopi u postojeće digitalne tokove.

Na kraju, CrystalShell i ZigShell, zajedno sa alatima poput CrystalFile i LuminousCookies, potvrđuju širinu ambicija APT36 grupe. Njihova sposobnost da ciljaju različite operativne sisteme i koriste raznovrsne tehnike čini arsenal APT36 grupe izuzetno opasnim.

 

Ciljevi

Ciljanje koje sprovodi ATP36 grupa pokazuje jasnu usmjerenost na političke i bezbjednosne strukture u Južnoj Aziji. Najčešće mete su indijske državne institucije i ambasade u različitim zemljama, što ukazuje na težnju da se dođe do povjerljivih podataka od značaja za odbranu i nacionalnu bezbjednost. Ovakav izbor ciljeva otkriva da grupa nastoji da prikupi informacije koje mogu imati direktan uticaj na regionalne odnose i sigurnosne politike, a ugrožavanje ovih podataka otvara prostor za dalju iskorištavanje.

Posebno se ističe korištenje profesionalnih društvenih medija, prije svega LinkedIn, za identifikaciju i profilisanje osoba od značaja. Tragovi ukazuju da zlonamjerni akteri prate zaposlene u indijskim državnim agencijama povezanim sa vojskom, koristeći društvene medije kao izvor obavještajnih informacija o ključnom osoblju. Ovakva praksa pokazuje da ATP36 grupa uspješno koristi društvene medije za prikupljanje podataka koji inače ne bi bili dostupni, naglašavajući značaj ljudskog faktora u bezbjednosnim rizicima.

Kategorije podataka koje su najčešće na meti dodatno potvrđuju ovakvu strategiju. Dokumentacija vojnog osoblja otkriva operativne sposobnosti, planove obuke i procedure, dok diplomatski spisi pružaju uvid u pregovore, sporazume i međunarodne odnose. Strateške politike otkrivaju prioritete i planove država, a podaci o odbrani obuhvataju širi spektar informacija o kapacitetima i planiranju. Pristup ovakvim informacijama omogućava zlonamjernim akterima da oblikuju svoje dalje aktivnosti i pronađu ranjivosti koje se mogu iskoristiti.

Pored indijskih institucija, na meti su i afganistanske državne strukture, kao i pojedine privatne kompanije. Ovakvo proširenje obuhvata ukazuje na težnju da se stekne šira slika političkih i ekonomskih kretanja u regionu. Na taj način ATP36 grupa ne djeluje isključivo u jednom pravcu, već nastoji da obuhvati različite izvore informacija radi potpunijeg razumijevanja odnosa među državama i mogućnosti za dalju iskorištavanje.

Korištenje društvenih medija u ovakve svrhe pokazuje sposobnost prilagođavanja i razvijanja metoda ciljanja. Platforme koje se inače koriste za zapošljavanje i povezivanje postaju izvor podataka za obavještajne aktivnosti. Fokus na pojedince unutar organizacija naglašava značaj ljudskog faktora u bezbjednosnim rizicima, jer se upravo preko njih može doći do povjerljivih informacija koje tehničke mjere zaštite teško mogu spriječiti. Istovremeno, ovakav pristup otvara pitanje sigurnosti samih društvenih medija, koji se sve više koriste u poslovne i državne svrhe.

 

Vektor napada

Phishing poruke predstavljaju početnu tačku napada. ATP36 grupa ih oblikuje tako da izgledaju vjerodostojno, a u prilozima se nalaze datoteke u ZIP ili ISO formatu. U njima su prečice koje na prvi pogled djeluju bezopasno, ali zapravo pokreću zlonamjerni kôd. Pored toga, koriste se PDF dokumenti sa lažnim uputama za preuzimanje, koji korisnika usmjeravaju ka zlonamjernim internet stranicama.

Kada žrtva otvori datoteku ili klikne na vezu, aktivira se PowerShell skripta. Ona je ključni element napada, jer preuzima i pokreće glavni alat za tajni pristup (eng. backdoor). Time se zlonamjernim akterima omogućava trajno prisustvo u sistemu i otvara prostor za dalju kontrolu. Skripta je osmišljena da radi neprimjetno, pa se ugrožavanje odvija bez očiglednih znakova za korisnika.

Nakon uspostavljanja osnovnog pristupa, ATP36 grupa koristi bezbjednosne alate, među kojima se izdvajaju Cobalt Strike i Havoc. Njihova uloga je da prikriju zlonamjerne aktivnosti kroz imitaciju legitimnog mrežnog saobraćaja. Na taj način otežavaju otkrivanje i omogućavaju zlonamjernim akterima da ostanu prisutni u mreži duže vrijeme.

U narednoj fazi zlonamjerni akteri preduzimaju novi niz aktivnosti. Povezuju se ručno na inficirane sisteme, što im daje mogućnost da prikupljaju osjetljive podatke, instaliraju dodatne komponente ili prošire pristup. Ova interaktivna kontrola pokazuje njihovu sposobnost da se prilagode situaciji i precizno usmjere aktivnosti ka željenim ciljevima.

Posebno je značajno što se ljudska intervencija kombinuje sa automatizovanim alatima. Skripte obezbjeđuju tehničku osnovu, dok ručne radnje omogućavaju fleksibilnost i kreativnost u daljem razvoju napada. Ovakva kombinacija čini ATP36 grupu opasnim protivnikom, jer spaja mehanizme koji otežavaju otkrivanje sa sposobnošću brzog prilagođavanja.

Cijeli tok napada oslanja se na slojevitu strukturu: od obmane kroz phishing, preko tehničkog ugrožavanja putem PowerShell okruženja, do prikrivanja aktivnosti i ručne kontrole. Razumijevanje ovih faza ključno je za prepoznavanje ranih znakova napada i pravovremeno reagovanje.

 

Industrijalizacija zlonamjernog softvera

Industrijalizacija zlonamjernog softvera pokazuje kako se prijetnje u sajber prostoru stalno razvijaju, što jasno demonstrira APT36 grupa kroz upotrebu vještačke inteligencije za masovnu proizvodnju zlonamjernog softvera u jezicima koji se rijetko koriste, poput Nim, Zig ili Crystal. Ovakav izbor otežava rad odbrambenih sistema, jer se oslanja na nepoznate obrasce i time zaobilazi tradicionalne metode otkrivanja.

Veliki jezički modeli dodatno ubrzavaju ovaj proces, jer omogućavaju brzo stvaranje kôda u relativno nepoznatim jezicima i smanjuju razliku između zlonamjernih aktera i branilaca. Čak i oni bez velikog iskustva sada mogu da sastave funkcionalne zlonamjerne softvere, dok iskusni zlonamjerni akteri koriste iste alate da oblikuju napredne i prilagodljive zlonamjerne module. Time se otvara prostor za masovnu proizvodnju zlonamjernog softvera koja ranije nije bila moguća.

Ovi modeli uče iz ogromnih količina podataka i prilagođavaju izlaz kroz povratne petlje sa ljudskim programerima ili drugim sistemima. Takav način rada omogućava zlonamjernim akterima da oblikuju kôd prema specifičnim ciljevima i okruženjima. Rezultat su zlonamjerni softveri koji se stalno mijenjaju i prilagođavaju, pa ih je teško prepoznati i analizirati. To stavlja dodatni pritisak na organizacije koje se oslanjaju na klasične metode zaštite.

Pored tehničkih izazova, postavlja se i pitanje uloge ljudskog znanja u ovom procesu. Dok manje iskusni zlonamjerni akteri koriste modele da brzo dođu do funkcionalnog kôda, oni sa većim znanjem kombinuju vještačku inteligenciju sa sopstvenim iskustvom i stvaraju izuzetno složene i prikrivene softvere. Granica između početnika i stručnjaka se briše, a prijetnja postaje sve šira.

 

Taktika raspodijeljenog izbjegavanja otkrivanja

APT36 grupa pokazuje kako se savremeni napadi sve više oslanjaju na obim, a ne na vještinu. Umjesto da razvijaju mali broj pažljivo oblikovanih alata, oni koriste vještačku inteligenciju da proizvode veliki broj uzoraka zlonamjernog kôda. Ovakav pristup naziva se raspodijeljeno izbjegavanje otkrivanja (eng. Distributed Denial of Detection – DDoD), jer cilj nije da se pronađe savršen način zaobilaženja zaštite, već da se odbrambeni timovi iscrpe stalnim prilivom novih prijetnji.

Zlonamjerni akteri u praksi koriste sloj za prevođenje zasnovan na velikim jezičkim modelima kako bi osnovnu logiku napisanu u jednom jeziku pretvorili u niz drugih jezika. Tako nastaju višejezičke binarne datoteke, koji se mogu pokretati na različitim platformama i u različitim okruženjima. Svaka varijanta ima svoje osobenosti, pa je sistemima za zaštitu teško da ih prepoznaju i analiziraju. Time se stvara stalna struja novih uzoraka, od kojih mnogi nisu funkcionalni, ali sama količina povećava vjerovatnoću da će neki proći kroz filtere.

Posebno je značajno što se ovakvi napadi oslanjaju na usluge koje se inače koriste u legitimne svrhe, pa se zlonamjerni kôd koji se oslanja na njih lako uklapa u normalan mrežni saobraćaj. Na taj način zlonamjerni akteri postižu da njihovi implanti izgledaju kao dio redovnog rada, što dodatno otežava otkrivanje.

Ovakva taktika pokazuje da je glavni oslonac zlonamjernih aktera automatizacija. Veliki jezički modeli omogućavaju da se kôd u relativno nepoznatim jezicima proizvodi brzinom i obimom koji ranije nisu bili mogući. Odbrambeni timovi se tako suočavaju sa stalnim pritiskom, jer moraju da razlikuju bezbroj slabih prijetnji od malog broja onih koje zaista mogu nanijeti štetu.

Posljedice ovakvog pristupa su dalekosežne. Tradicionalni načini otkrivanja i analize zlonamjernog softvera postaju nedovoljni kada se suoče sa tolikom količinom varijanti. Dok sistemi zaštite postaju sve napredniji, zlonamjerni akteri se prilagođavaju i pronalaze nove načine da ostanu djelotvorni. Raspodijeljeno izbjegavanje otkrivanja time postaje izazov koji mijenja samu prirodu borbe između zlonamjernih aktera i branilaca.

 

APT36 GRUPA

APT36 grupa, poznata i pod imenima Transparent Tribe, Mythic Leopard, Earth Karkaddan, ProjectM i COPPER FIELDSTONE, aktivna je najmanje od 2013. godine. Povezuje se sa državnim ili vojnim strukturama Pakistana, iako priroda tih veza nije u potpunosti razjašnjena. Njeno pojavljivanje u ranim godinama prošle decenije označilo je važan trenutak u razvoju sajber špijunaže, jer su tada počeli da usmjeravaju napade ka indijskim vojnim i diplomatskim institucijama koristeći phishing kampanje i daljinski pristup preko trojanaca. Vremenom su proširili djelovanje na kritičnu infrastrukturu širom Južne Azije, pokazujući sposobnost prilagođavanja novim servisima i mrežnim okruženjima.

Glavne mete obuhvataju državne organe, vojne institucije, obrazovne ustanove i infrastrukturne sisteme u Indiji. Njihovi napadi nisu ograničeni samo na tu zemlju – poznato je da su usmjeravali aktivnosti i ka avganistanskim vojnim i državnim strukturama, kao i ka pakistanskim disidentima i novinarima. Ovakav izbor ciljeva ukazuje na težnju da se prikupe podaci od strateškog značaja, naročito oni koji se odnose na bezbjednost, politiku i akademsku sferu. Posebnu pažnju posvećuju odbrambenim ugovorima, diplomatskim misijama i istraživačkim institucijama, čime nastoje da obezbijede pristup povjerljivim informacijama sa dugoročnim posljedicama.

Taktike koje koriste uključuju phishing, daljinski pristup preko trojanaca, zlonamjerno oglašavanje i instaliranje softvera za bilježenje pritisaka na tastaturi. Često se oslanjaju na društveni inženjering kako bi iskoristili ranjivosti ljudskog faktora, a ne samo tehničke propuste u sistemima. Njihova praksa obuhvata i korištenje validnih podataka za prijavu, kao i širenje preko USB uređaja radi kretanja unutar mreža. Upotreba ugroženih platformi poput Google API ili Telegram botova za izvlačenje podataka pokazuje da raspolažu znanjem koje im omogućava da ostanu prisutni i kada se organizacije trude da ojačaju zaštitu.

Tokom godina APT36 grupa je pokazala sposobnost da mijenja metode i prilagođava se novim tehnologijama, što ih čini stalnom prijetnjom u regionu. Vještina zlonamjernih aktera koji stoje iza ove grupe nije na najvišem nivou, ali je dovoljno razvijena da im omogući ostvarenje ciljeva. Upravo zbog toga organizacije koje se nalaze na meti moraju da primjenjuju sveobuhvatne mjere zaštite: redovne provjere ranjivosti, obuke zaposlenih o rizicima društvenog inženjeringa, stroge kontrole pristupa i praćenje mrežnih aktivnosti. Saradnja među institucijama u regionu i razmjena informacija o napadima dodatno može doprinijeti jačanju odbrane. Sve ovo ukazuje da APT36 grupa ostaje ozbiljan izazov u sajber prostoru Južne Azije, sa jasnim usmjerenjem ka prikupljanju podataka od strateškog značaja.

 

UTICAJ

Aktivnosti grupe APT36 pokazuju kako masovna proizvodnja zlonamjernog softvera mijenja prirodu sajber prijetnji. Korištenjem vibeware pristupa, gdje se kôd formira uz pomoć vještačke inteligencije u velikom obimu, odbrambeni timovi suočeni su sa stalnim pritiskom. Umjesto da se bore protiv ograničenog broja pažljivo izrađenih alata, sada moraju da analiziraju neprekidni tok varijanti koje se brzo mijenjaju i prilagođavaju, što iscrpljuje kapacitete i otežava pravovremeno reagovanje.

Vibeware uticaj ogleda se u složenosti analize i otkrivanja. Korištenje rijetkih programskih jezika i višejezičkih datoteka stvara dodatne prepreke, jer se kôd uklapa u legitimne tokove i time zamagljuje granicu između uobičajenog i štetnog rada. Odbrambeni sistemi, oslonjeni na poznate obrasce, suočavaju se sa prijetnjama koje se ne uklapaju u standardne modele, što usporava proces otkrivanja i povećava vjerovatnoću da napadi ostanu neprimijećeni.

Kombinacija automatizovanih skripti i ručne intervencije pokazuje da APT36 grupa ne zavisi samo od tehnologije, već i od prilagodljivosti u stvarnom vremenu. Ovakav spoj stvara dodatni pritisak na odbranu, jer prijetnje postaju istovremeno masovne i precizno usmjerene. Time se otvara prostor za dugotrajnije prisustvo u mrežama, prikupljanje osjetljivih podataka i širenje kontrole nad ugroženim sistemima.

Uticaj se širi i na ljudski faktor. Korištenje društvenih medija za profilisanje zaposlenih u državnim institucijama pokazuje da tehničke mjere zaštite nisu dovoljne. Informacije koje pojedinci sami objavljuju postaju izvor podataka od strateškog značaja, čime se ljudi stavljaju u središte sajber prijetnji. Ovakva praksa jasno pokazuje da sigurnost više ne zavisi samo od tehničkih barijera, već i od ponašanja i navika korisnika.

Regionalni kontekst dodatno pojačava uticaj. Usmjerenost APT36 grupe na vojne, diplomatske i infrastrukturne ciljeve u Južnoj Aziji znači da napadi imaju potencijal da oblikuju političke i bezbjednosne odnose. Pristup povjerljivim dokumentima i komunikacijama može da utiče na procese odlučivanja na državnom nivou, čime sajber prijetnje prelaze granicu tehničkog problema i postaju faktor u međunarodnim odnosima.

 

ZAKLJUČAK

APT36 se tokom godina pokazala kao grupa koja stalno mijenja svoje metode i prilagođava se novim tehnologijama. Njihova sposobnost da kombinuju automatizovane procese sa ručnim intervencijama ukazuje na fleksibilnost koja im omogućava dugotrajan pristup sistemima i prikupljanje podataka od strateškog značaja. Time se potvrđuje da njihovo djelovanje nije ograničeno na tehničke aspekte, već obuhvata i širu dimenziju sajber špijunaže.

Upotreba vibeware pristupa, gdje se kôd formira u velikom obimu uz pomoć vještačke inteligencije, pokazuje da se prijetnje više ne zasnivaju na pojedinačnim alatima već na stalnom pritisku kroz mnoštvo varijanti. Ovakav način rada mijenja prirodu odnosa između zlonamjernih aktera i odbrane, jer se granica između uobičajenog i štetnog sve teže prepoznaje.

Korištenje rijetkih programskih jezika i višejezičkih datoteka dodatno otežava analizu, jer se napadi uklapaju u legitimne tokove i time zamagljuju razliku između normalnog i zlonamjernog. Ovakva praksa pokazuje da APT36 grupa ne traži savršen alat, već se oslanja na obim i raznovrsnost kako bi iscrpila odbrambene kapacitete.

Posebnu dimenziju dodaje oslanjanje na društvene medije za profilisanje zaposlenih u državnim institucijama. Time se tehničke mjere zaštite nadopunjuju ljudskim faktorom, jer informacije koje pojedinci sami objavljuju postaju dio šireg napadnog lanca. Ovakav pristup ukazuje na sposobnost grupe da poveže tehničke i društvene elemente u jedinstvenu strategiju.

Regionalna usmjerenost na vojne, diplomatske i infrastrukturne ciljeve u Južnoj Aziji pokazuje da djelovanje APT36 grupe ima šire posljedice od samih tehničkih napada. Pristup povjerljivim dokumentima i komunikacijama otvara prostor za uticaj na odnose među državama, čime sajber prijetnje postaju dio političkog i bezbjednosnog okruženja.

Tokom vremena, APT36 grupa je pokazala da njihova snaga ne leži u savršenstvu pojedinačnih alata, već u sposobnosti da stalno mijenjaju pristup, povezuju različite tehnike i koriste nove izvore podataka. Ovakva praksa potvrđuje da njihovo djelovanje ostaje trajni izazov u digitalnom prostoru.

 

PREPORUKE

Zaštita od APT36 napada zahtijeva sveobuhvatan pristup koji obuhvata tehničke mjere i promjene u organizaciji, uz jasno definisane procedure i stalno praćenje sigurnosnih rizika. U nastavku slijede preporuke koje mogu pomoći u jačanju odbrane i smanjenju ranjivosti:

  1. Organizacije treba da uspostave stroge kontrole pristupa radi sprječavanja neovlaštenih pojedinaca da pristupe osjetljivim sistemima ili podacima. Ovo uključuje primjenu provjere identiteta u više koraka (eng. multi-factor authentication – MFA), bezbjednosnih politika za lozinke i redovne revizije korisničkih naloga.
  2. Osigurati da svi operativni sistemi, aplikacije i alati rade na najnovijim verzijama sa primijenjenim bezbjednosnim ispravkama. Redovno ažurirati antivirusni softver radi sprječavanja zloupotrebe od strane zlonamjernih softvera nastali djelovanjem vještačke inteligencije, poput vibeware.
  3. Uspostaviti robusni sistem nadzora sposoban da otkrije neuobičajene obrasce aktivnosti na mreži. Ovo uključuje postavljanje sistema za otkrivanje upada (eng. intrusion detection systems – IDS) i primjenu mehanizama za vođenje dnevnika na svim kritičnim sistemima.
  4. Primijeniti napredna rješenja za zaštitu od prijetnji koja koriste algoritme mašinskog učenja radi analize ponašanja korisnika, identifikovanja anomalija i označavanja potencijalnih prijetnji prije nego što se dogode.
  5. Izvršavati detaljne procjene rizika IT infrastrukture organizacije radi identifikovanja ranjivosti i slabosti u postojećim mjerama zaštite.
  6. Usvojiti slojeviti pristup sajber bezbjednosti koji uključuje više nivoa zaštite od različitih vrsta napada, uključujući mrežne prijetnje poput APT36 zlonamjernog softvera.
  7. Obučavati osoblje da prepoznaje taktike koje zlonamjerni akteri koriste radi prevare i otkrivanja osjetljivih informacija ili instaliranja zlonamjernog softvera. Ovo treba da uključi kampanje podizanja svijesti o kôdu formiranom vještačkom inteligencijom i vibeware zlonamjernim softverima.
  8. Uvesti antivirusni softver nove generacije sposoban da otkrije i spriječi napade zlonamjernih softvera formiranih vještačkom inteligencijom, poput vibeware.
  9. Usvojiti pristup nultog povjerenja (eng. zero trust) koji pretpostavlja da su svi korisnici potencijalne prijetnje dok se ne dokaže suprotno, uz stalnu provjeru i potvrdu za pristup osjetljivim resursima ili podacima.
  10. Osigurati redovno pravljenje rezervnih kopija ključnih sistema i podataka u slučaju ugrožavanja od strane APT36 grupe ili drugih vrsta napada.
  11. Uspostaviti sveobuhvatne procedure za oporavak od katastrofa koje uključuju jasne smjernice o reagovanju na bezbjednosne incidente, uključujući one izazvane kôdom formiranim vještačkom inteligencijom poput vibeware.
  12. Organizovati redovne obuke i simulacije sa ključnim učesnicima radi testiranja efikasnosti postojećih mjera zaštite u odgovoru na hipotetičke APT36 napade ili druge vrste prijetnji.
  13. Redovno pregledati dnevnike aktivnosti sistema radi otkrivanja neuobičajenog ponašanja koje može ukazivati na APT36 napad ili druge vrste zlonamjernih aktivnosti na mreži.
  14. Periodično preispitivati potrebu za pristupom osjetljivim podacima ili sistemima među zaposlenima, ugovaračima i drugim učesnicima u IT infrastrukturi organizacije.
  15. Primijeniti sistem za upravljanje bezbjednosnim događajima (eng. security information event management – SIEM) koji može prikupljati podatke iz dnevnika sa različitih izvora širom mreže radi identifikovanja potencijalnih prijetnji u realnom vremenu.

Zaštita od APT36 napada zahtijeva sveobuhvatan pristup koji uključuje tehničke mjere i organizacione promjene. Primjenom ovih preporuka, organizacije mogu značajno smanjiti izloženost riziku od kôda formiranog vještačkom inteligencijom poput vibeware i poboljšati ukupnu sajber bezbjednosnu otpornost.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.