GravityRAT napada Windows, Android i macOS

AUTOR ·

Pojava GravityRAT zlonamjernog softvera značajno je izmijenila pejzaž prijetnji i naglasila potrebu za jačanjem sajber bezbjednosti u svim industrijama. Najnoviji izvještaju pokazuje da ovaj zlonamjerni softver djeluje na Windows, Android i macOS operativnim sistemima, pri čemu se posebno ističe krađom WhatsApp rezervnih kopija i primjenom novih tehnika izbjegavanja otkrivanja.

GravityRAT

GravityRAT napada Windows, Android i macOS; Source: Bing Image Creator

GRAVITYRAT ZLONAMJERNI SOFTVER

GravityRAT je zlonamjeran softver prisutan najmanje od 2015. godine, koji se godinama usavršava i prilagođava ciljevima svojih autora. Njegova osnovna namjena jeste da uspostavi prisutnost na odabranim sistemima i omogući daljinsko upravljanje, što zlonamjernim akterima daje mogućnost prikupljanja povjerljivih podataka sa različitih uređaja — od dokumenata i fotografija do WhatsApp rezervnih kopija na telefonima. Tokom vremena nadograđivan je novim mogućnostima koje otežavaju uočavanje i razjašnjavanje njegovog ponašanja, pa se uz stalne izmjene zadržava izvan dometa uobičajenih metoda nadzora.

U kontekstu sajber špijunaže, GravityRAT je povezan sa ciljanim kampanjama usmjerenim na indijsku vojsku i državne ustanove, pri čemu novije verzije pokazuju napredak koji izaziva posebnu zabrinutost. Umjesto oslanjanja na ranjivosti nultog dana, autori biraju postepena poboljšanja, mehanizme dugotrajnog prisustva i vješto oblikovan uticaj na korisnike, čime postižu da trojanac ostane upotrebljiv godinama, a da pritom ne privlači širu pažnju. Takav pristup traži strpljenje i dosljednost, ali upravo zahvaljujući tome ovaj zlonamjerni softver zadržava značaj uprkos jačanju odbrambenih rješenja.

Posebno se izdvaja preobražaj u okvir za nadzor koji obuhvata više platformi: ciljevi su sada Windows, Android i macOS, čime se širi polje napada i povećava uticaj. Ovakvo proširenje odražava širu pojavu u svijetu napada — povećanje obima i raznovrsnosti okruženja kako bi se otežalo uočavanje i povećala vjerovatnoća uspjeha. GravityRAT pritom koristi digitalne potpise i izradu u više programskih okruženja (npr. .NET, Python, Electron) kako bi se predstavio kao obična aplikacija za razmjenu datoteka ili dopisivanje. Oponašajući rad uobičajenih programa, uspijeva da izbjegne pokretanje uzbuna u sistemima za sprječavanje napada i zaštitnim rješenjima zasnovanim na potpisima.

Njegova otpornost zasniva se na stalnim doradama, mehanizmima postojanosti i prilagođavanju taktikama, tehnikama i postupcima koji otežavaju otkrivanje. Time zlonamjerni akteri održavaju prednost u sve složenijem nadmetanju sa odbranom, dok branioci moraju da osnaže pristupe zasnovane na uočenim odstupanjima i pravovremenom odgovoru. GravityRAT pokazuje da u ovom polju dugotrajnost često nadmašuje novinu: uz tiho djelovanje, pažljivo oblikovane mamce i uporno održavanje prisutnosti, zlonamjeran program može godinama ostati koristan instrument špijunskih operacija.

 

Tehnike prepoznavanja virtuelnih okruženja

GravityRAT koristi različite tehnike prepoznavanja virtuelnih okruženja kako bi izbjegao analizu u izolovanim okruženjima (eng. sandboxes) ili simulatorima. Ove metode su osmišljene da identifikuju virtuelna okruženja, omogućavajući zlonamjernom softveru da zaustavi svoju aktivnost ako otkrije simulirano okruženje. Ova mogućnost je posebno djelotvorna protiv upravljača virtuelnih mašina (eng. hypervisor) kao što su VMware, VirtualBox, Hyper-V, KVM i Xen.

Jedna od najznačajnijih karakteristika GravityRAT zlonamjernog softvera jeste ispitivanje temperature procesora putem Windows upravljačke instrumentacije (eng. Windows Management Instrumentation – WMI). Korištenjem ove funkcionalnosti, zlonamjerni softver može otkriti virtuelna okruženja koja ne mogu da simuliraju senzore temperature hardvera. Nemogućnost preciznog prikazivanja temperatura procesora služi kao znak za upravljače virtuelnih mašina, koji često nisu u stanju da obezbijede ove vrijednosti.

Upotreba provjere zasnovane na Windows upravljačkoj instrumentaciji (WMI) pokazuje kako su autori GravityRAT zlonamjernog softvera uključili napredne postupke na nivou sistema u njegov razvoj. Korištenjem Windows API okruženja, ovaj zlonamjerni softver može da prikupi detaljne informacije o svom okruženju domaćina i da se u skladu s tim prilagodi. Takav pristup naglašava značaj razumijevanja funkcionalnosti operativnog sistema niskog nivoa kako bi se razvile djelotvorne kontramjere.

Tehnike koje GravityRAT zlonamjerni softver dodatno koristi za prepoznavanje virtuelnih okruženja uključuju:

  • Provjeru BIOS verzija,
  • Traženje tragova upravljača virtuelnih mašina,
  • Brojanje jezgara procesora.

Ove metode pokazuju naprednost i prilagodljivost modernog zlonamjernog softvera, koji sada može uspješno da izbjegne tradicionalne bezbjednosne kontrole. Kao posljedica toga, branioci sistema moraju da usvoje naprednije strategije usmjerene na analizu ponašanja i otkrivanje odstupanja.

 

Funkcionisanje

GravityRAT često stiže na Windows sisteme putem elektronske pošte uz korištenje tehnike ciljanog pecanja (eng. spear-phishing) koja sadrže Office dokumente sa zlonamjernim naredbama za automatizaciju (eng. macros). Kada se te naredbe pokrenu, skrivena skripta izdvaja izvršnu datoteku, podešava zakazane zadatke za trajnost i povezuje se sa udaljenim komandno-kontrolnim (C2) serverom koristeći tehnike dinamičke rotacije domena.

Upotreba napada zasnovanih na zlonamjernim naredbama za automatizaciju je uobičajena taktika koju koriste autori GravityRAT zlonamjernog softvera. Koristeći Office dokumente kao vektore za isporuku zlonamjernog softvera, zlonamjerni akteri mogu zaobići tradicionalne bezbjednosne kontrole koje se fokusiraju na prijetnje specifične za tip datoteke.

Izdvajanje izvršne datoteke iz napada zasnovanog na zlonamjernim naredbama za automatizaciju je ključni korak u uspostavljanju trajnosti unutar ciljanih sistema. Podešavanjem zakazanih zadataka, GravityRAT osigurava kontinuirani pristup svom C2 serveru čak i nakon što je početno izvršavanje završeno. Ova mogućnost omogućava zlonamjernim akterima da održe kontrolu nad ugroženim sistemima i izvršavaju dalje zlonamjerne aktivnosti po želji.

Oslanjanje GravityRAT zlonamjernog softvera na tehnike dinamičke rotacije domena služi kao podsjetnik da se moderni zlonamjerni softver može brzo prilagoditi promjenljivim prijetnjama. Konstantnom rotacijom domena, ovaj zlonamjerni softver otežava braniocima da uspostave efikasne strategije blokiranja ili implementiraju robusne planove za reagovanje na incidente.

 

Android infekcije

Android infekcije često se oslanjaju na lažne aplikacije za ćaskanje koje izgledom i ponašanjem podsjećaju na poznate programe za razmjenu poruka. Takve aplikacije, poput onih koje se predstavljaju kao BingeChat ili SoSafe Chat, promovišu se preko društvenih medija i nezavisnih internet lokacija kako bi se približile ciljanim korisnicima. Ovakav pristup pomaže zlonamjernim akterima da se uklope u svakodnevno okruženje, pa stručnjacima bude teže da na prvi pogled razlikuju zakonit softver od zlonamjernog kôda. Time se stvara okruženje u kojem korisnik lakše povjeruje aplikaciji koja izgleda poznato, dolazi sa uobičajenih kanala i ne izaziva sumnju pri instalaciji.

Autori ovih lažnih aplikacija pažljivo oblikuju izgled i rad okruženja, prate navike pravih aplikacija za poruke i oponašaju njihove funkcije. Kada se ponašanje uklopi sa očekivanjima korisnika, manja je vjerovatnoća da će bezbjednosni sistemi zasnovani na statičkim potpisima ili jednostavnim pravilima podići uzbunu. Zbog takvog prikrivanja, početna faza napada prolazi bez većih smetnji, a inficirani uređaj nastavlja da radi uobičajeno, što dodatno otežava rano otkrivanje.

Android varijanta ide korak dalje i usmjerena je na prikupljanje podataka koji otkrivaju komunikacioni profil korisnika. Prikupljaju se podaci o SIM kartici, evidencije poziva i sadržaj SMS poruka. Prije slanja, prikupljeni zapisi se šifruju, a zatim prenose preko HTTPS kanala ka serverima za komandovanje i kontrolu. Tek nakon uspješnog prenosa, tragovi na uređaju se uklanjaju da bi se spriječilo naknadno otkrivanje i otežala forenzička analiza.

Upotreba šifrovanja i prenosa preko HTTPS protokola pokazuje da zlonamjerni akteri pažljivo štite vezu između inficiranog uređaja i udaljenih servera. Izbjegavanjem otvorenog prenosa smanjuje se mogućnost da posrednici ili sistemi za nadzor uoče sadržaj ili obrazac saobraćaja. Brisanjem lokalnih dokaza nakon slanja dodatno se otežava rekonstrukcija događaja i identifikacija izvora, pa sigurnosni istraživači imaju manje tragova na raspolaganju i teže povezuju infekciju sa infrastrukturom zlonamjernog aktera.

Takva kampanja usmjerena je na nadzor i prikupljanje obavještajnih podataka, a ne na široko širenje bez jasnog cilja. Fokus na SIM podatke, pozive i SMS poruke ukazuje na interesovanje za kontakte, učestalost komunikacije i sadržaj razmjene, što može pomoći u mapiranju odnosa i pratećih aktivnosti. Zbog svega navedenog, vjerovatno je da su na meti ljudi i organizacije iz odbrambenog, vladinog i policijskog okruženja u Indiji, gdje pristup ovakvim podacima daje zlonamjernim akterima stvarnu vrijednost za planiranje i sprovođenje daljih operacija.

Kombinovanjem lažnih aplikacija koje se promovišu preko uobičajenih kanala i pažljivo oblikovanog ponašanja koje podsjeća na zakonit softver, zlonamjerni akteri smanjuju mogućnost da budu primijećeni u ranoj fazi. Kada se uspostavi uporište na uređaju, prelazi se na skupljanje i slanje podataka uz zaštitu kanala i uklanjanje lokalnih tragova, čime se štiti rad cijele kampanje. Ovakav raspored koraka — prikrivanje, prikupljanje, bezbjedan prenos, čišćenje — pokazuje vješt pristup, jasnu podjelu zadataka i nastojanje da se očuva tajnost tokom dužeg vremena.

 

Infrastruktura i upravljanje

Infrastruktura GravityRAT zlonamjernog softvera je sistem izgrađen po mjeri kojim se upravlja preko kontrolne table poznate kao GravityAdmin. Ova platforma omogućava operaterima da koordiniraju više kampanja usmjerenih na određene organizacije.

GravityAdmin služi kao centralno mjesto za upravljanje ciljanim napadima, pružajući operaterima okvir za planiranje, sprovođenje i praćenje njihovih zlonamjernih aktivnosti. Upotreba kontrolne table izgrađene po mjeri pokazuje da je infrastruktura zlonamjernog softvera prilagođena specifičnim potrebama operatera, što ukazuje na visok nivo razvijenosti i prilagodljivosti.

Platforma GravityAdmin vjerovatno uključuje funkcije kao što su alati za upravljanje kampanjama, mehanizmi za provjeru identiteta korisnika i mogućnosti obrade podataka. Takve funkcionalnosti omogućavaju operaterima da prate napredak svojih kampanja, procjenjuju uspješnost različitih taktika i tehnika i donose odluke o budućim operacijama.

Kodna imena kampanja poput FOXTROT, CHATICO i CRAFTWITHME povezana su sa odvojenim lancima infekcije koji se izvršavaju preko Android i Windows programa za učitavanje, uključujući alate kao što je HeavyLift. Ova imena kampanja ukazuju na to da svaka operacija ima svoje posebne karakteristike, taktike i ciljeve.

Upotreba različitih tipova programa za učitavanje (Android i Windows) pokazuje namjernu strategiju ciljanja više platformi i iskorištavanja različitih ranjivosti. Takav pristup omogućava operaterima da prošire domet i uticaj svojih kampanja, a istovremeno smanjuju rizik od otkrivanja.

HeavyLift se posebno pominje kao jedan od programa za učitavanje koji se koriste u ovim napadima. Iako nisu dati precizni detalji o HeavyLift, njegovo uključivanje ukazuje da ima važnu ulogu u isporuci zlonamjernog sadržaja na Windows sistemima.

 

UTICAJ

GravityRAT mijenja način na koji se sagledava sajber bezbjednost, jer pokazuje da dugotrajno prisustvo zlonamjernog softvera može da bude jednako opasno kao i nagli napadi. Njegovo širenje na Windows, Android i macOS unosi nesigurnost u svakodnevne digitalne alate, pa se povjerljivi podaci mogu smatrati ranjivim bez obzira na platformu. Time se stvara osjećaj da poznati programi mogu da budu dio prikrivenog nadzora koji traje duže vrijeme.

Za pojedince posljedice se ogledaju u gubitku privatnosti i uvidu u lične navike kroz pristup razgovorima i rezervnim kopijama. Kada se briše granica između ličnog i poslovnog okruženja, nastaje prostor u kojem se odnosi i učestalost komunikacije mogu koristiti za mapiranje društvenih veza. Takva vrsta nadzora mijenja svakodnevni osjećaj sigurnosti i stvara trajnu neizvjesnost u digitalnom životu.

Organizacije se suočavaju sa udarom na vjerodostojnost i sposobnost da upravljaju povjerljivim informacijama. Kada se podaci odnose na dokumenta, fotografije ili arhive razgovora, gubi se oslonac na zatvorene kanale i ustaljene postupke. U državnim i odbrambenim strukturama, takav gubitak kontrole može da donese strateške posljedice, jer pristup komunikacionim zapisima otvara mogućnost uvida u planiranje i tok odluka.

Širi pejzaž prijetnji mijenja se kroz pomjeranje sa kratkih i bučnih upada na tihe, dugotrajne operacije koje se uklapaju u svakodnevnicu. GravityRAT pokazuje da prijetnje ne moraju da budu zasnovane na iznenadnim ranjivostima da bi imale značajan uticaj. Njegova dugotrajnost i prikrivanje stvaraju uslove u kojima branioci rijetko dobiju jasan signal, dok zlonamjerni akteri dobijaju vrijeme da prikupljaju podatke kroz više platformi.

Na kraju, uticaj GravityRAT zlonamjernog softvera ogleda se u potkopavanju povjerenja u digitalne alate, narušavanju granica između privatnog i poslovnog života i preoblikovanju odnosa snaga u korist zlonamjernog aktera. Dugotrajno prisustvo i tiho prikupljanje podataka stvaraju nesigurnost koja se ne mjeri jednim događajem, već vremenom, ostavljajući dublji trag na korisnike, organizacije i cijelu sajber zajednicu.

 

ZAKLJUČAK

GravityRAT se potvrđuje kao dugotrajna prijetnja koja prelazi granice pojedinačnih platformi i postaje stalni faktor u digitalnom okruženju. Njegovo širenje na Windows, Android i macOS pokazuje da se ciljna dejstva planiraju sa namjerom da obuhvate svakodnevni rad i privatnu komunikaciju, uz fokus na zapise razgovora i arhive koje otkrivaju odnose i tok informacija. Time se otvara prostor za dugotrajni nadzor i prikupljanje podataka koji imaju vrijednost u kontekstu planiranja, mapiranja veza i praćenja aktivnosti, naročito u okruženjima gdje se traži tajnost.

Posmatran kroz vrijeme, GravityRAT se pokazuje kao primjer kampanja koje se ne oslanjaju na iznenadne preokrete, već na strpljivo održavanje prisutnosti i pažljivo uklapanje u ritam svakodnevnice. Takav pristup pomjera težište sa brzih upada ka tihom prikupljanju podataka, čime se otežava pravovremeno uočavanje i slabi oslonac na očekivane signale. Posljedice po korisnike i organizacije ne ostaju ograničene na trenutne gubitke, već se šire kroz trajno narušavanje povjerenja u alate koji se koriste svakog dana.

Kada se u obzir uzmu ciljevi i kampanje povezane sa državnim i odbrambenim strukturama, jasno je da GravityRAT ima ulogu u širem okviru nadzora koji prerasta u ozbiljan izazov za upravljanje povjerljivim sadržajem. Pristup arhivama razgovora, dokumentima i fotografijama može da utiče na tok planiranja i donošenje odluka, dok se mapiranje kontakata i učestalosti razmjene koristi za razumijevanje odnosa i navika. U takvom ambijentu granice između privatnog i službenog okruženja postaju nejasne, a procjena rizika zahtijeva uvid u duži vremenski period.

Zapaža se da izgled i ponašanje aplikacija koje podsjećaju na poznate alate za dopisivanje čine dio strategije usmjerene na smanjenje sumnje u početnim fazama. Kada se stvori uvjerenje da sve radi uobičajeno, prikupljanje podataka može da teče bez vidljivog poremećaja, a posljedice se otkrivaju kasnije, kroz analizu trendova i povezanih događaja. Takva dinamika utiče na osjećaj sigurnosti kod korisnika i na procjenu stanja u organizacijama, jer se šteta ne mjeri jednim incidentom, već nizom povezanih radnji tokom vremena.

Na nivou infrastrukture i upravljanja kampanjama prisutne su naznake uređenog pristupa sa posebnim tokovima i razdvojenim operacijama, što govori o sistematičnosti i dugoročnom planiranju. Različita kodna imena i upotreba programa za učitavanje ukazuju na namjeru da se obuhvati više okruženja i da se istovremeno smanji vjerovatnoća ranog otkrivanja. Sve zajedno vodi zaključku da GravityRAT ne predstavlja izolovan slučaj, već kontinuiranu liniju djelovanja koja se uklapa u širu praksu nadzora i prikupljanja obavještajnih podataka preko više platformi i kanala.

 

PREPORUKE

Zaštita od GravityRAT zlonamjernog softvera zahtjeva višeslojan pristup koji uključuje i organizacione i individualne napore:

  1. Organizacije treba da primjenjuju robusne protokole bezbjednosti elektronske pošte kako bi spriječile da zlonamjerne elektronske poruke dospiju u prijemne sandučiće zaposlenih. Ovo uključuje redovna ažuriranja, temeljno skeniranje zlonamjernog softvera i blokiranje sumnjivih pošiljalaca ili priloga. Pojedinci takođe mogu imati koristi od opreznosti pri otvaranju nepoželjnih elektronskih poruka i provjere autentičnosti informacija o pošiljaocu prije komunikacije sa njima.
  2. Organizacije treba da razmotre implementaciju softvera za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR) koji pružaju praćenje i analizu aktivnosti sistema u realnom vremenu kako bi otkrile potencijalne prijetnje poput GravityRAT zlonamjernog softvera. Ovi sistemi takođe mogu pomoći u prepoznavanju znakova ugrožavanja, omogućavajući brzu akciju protiv zlonamjernih aktera. Pojedinci možda nemaju direktan pristup takvim sistemima, ali mogu imati koristi od bezbjednosnih mjera koje sprovode njihove organizacije.
  3. Organizacije treba da ograniče ili blokiraju zlonamjerne naredbe za automatizaciju u Microsoft Office datotekama, jer se često koriste za isporuku i iskorištavanje zlonamjernog softvera. Ovo uključuje ograničavanje korisničkih dozvola za pokretanje naredbi za automatizaciju, implementaciju strogih politika o dijeljenju dokumenata i edukaciju zaposlenih o potencijalnim rizicima povezanim sa omogućavanjem naredbi za automatizaciju. Pojedinci takođe mogu preduzeti mjere predostrožnosti tako što će biti oprezni prilikom otvaranja priloga iz nepoznatih izvora.
  4. Organizacije bi trebalo da razmotre korištenje usluga izolovanih okruženja zasnovanih na oblaku koje omogućavaju bezbjednu analizu sumnjivih datoteka bez ugrožavanja bezbjednosnog stanja njihovih sistema. Ove platforme mogu pomoći u identifikaciji indikatora ugrožavanja i pružiti uvid u potencijalne prijetnje poput GravityRAT zlonamjernog softvera. Pojedinci možda nemaju direktan pristup takvim resursima, ali mogu imati koristi od poboljšanih bezbjednosnih mjera koje sprovode njihove organizacije.
  5. Organizacije bi trebalo da uspostave stroge smjernice za zaposlene u vezi sa korištenjem mobilnih aplikacija, uključujući provjeru aplikacija prije instalacije na uređajima kompanije. Ovo uključuje praćenje dozvola aplikacija i osiguravanje da se instaliraju samo ovlašćene aplikacije. Pojedinci takođe mogu preduzeti mjere predostrožnosti tako što će biti oprezni prilikom instaliranja novih aplikacija iz nepoznatih izvora ili dodjeljivanja prekomjernih dozvola.
  6. Organizacije bi trebalo redovno da sprovode sveobuhvatne bezbjednosne procjene kako bi identifikovale ranjivosti u svojim sistemima, uključujući potencijalne ulazne tačke za zlonamjerni softver sličan GravityRAT zlonamjernom softveru. Ove revizije pomažu organizacijama da ojačaju svoju odbranu i budu ispred novih prijetnji. Pojedinci mogu imati koristi od toga što su svjesni važnosti takvih mjera u svom okruženju.
  7. Organizacije treba da sprovode stroge politike kontrole pristupa koje ograničavaju korisnička prava samo na ono što je neophodno, smanjujući potencijalne površine za napade zlonamjernog softvera sličnog GravityRAT zlonamjernom softveru. Ovo uključuje implementaciju kontrole pristupa zasnovane na ulogama (eng. role-based access control – RBAC), provjere identiteta u više koraka (eng. multi-factor authentication – MFA) i redovne preglede korisničkih dozvola. Pojedinci takođe mogu imati koristi od opreznosti prilikom davanja prekomjernih dozvola ili dijeljenja osjetljivih informacija.
  8. Organizacije treba da budu svjesne najnovijih trendova u sajber bezbjednosti, uključujući nove taktike koje koriste zlonamjerni akteri poput onih koji stoje iza GravityRAT zlonamjernog softvera. Ovo uključuje praćenje bezbjednosnih ispravki i ažuriranja za operativne sisteme, aplikacije i druge softverske komponente. Pojedinci takođe mogu imati koristi od toga da budu svjesni trenutnih prijetnji kako bi donosili informisane odluke o sopstvenoj digitalnoj bezbjednosti.
  9. Organizacije treba da obezbijede da se sva interna komunikacija odvija putem bezbjednih sredstava kao što su šifrovana elektronska pošta ili platforme za razmjenu poruka. Ovo pomaže u sprječavanju presretanja od strane zlonamjernih aktera poput onih koji stoje iza GravityRAT zlonamjernog softvera, koji bi mogli pokušati da presretnu osjetljive informacije u svrhu iskorištavanja. Pojedinci takođe mogu imati koristi od korištenja šifrovanja od početka do kraja prilikom komunikacije sa drugima.
  10. Organizacije treba da uspostave robusne politike zaštite podataka koje uključuju redovne rezervne kopije kritičnih sistema i podataka. Ovo osigurava kontinuitet poslovanja u slučaju katastrofe ili napada, uključujući potencijalne incidente koji uključuju zlonamjerni softver sličan GravityRAT zlonamjernom softveru. Pojedinci takođe mogu imati koristi od pravljenja rezervnih kopija svojih ličnih datoteka kako bi spriječili gubitak usljed raznih digitalnih prijetnji.
  11. Organizacije bi trebalo da sprovode provjeru identiteta u više koraka (MFA) za sve korisnike koji pristupaju osjetljivim resursima u okviru njihovih mreža. Ovo uključuje korištenje aplikacija za provjeru identiteta, pametnih kartica ili drugih oblika provjeru identiteta u više koraka koji otežavaju zlonamjernim akterima poput onih koji stoje iza GravityRAT zlonamjernog softvera da dobiju neovlašteni pristup. Pojedinci takođe mogu imati koristi od implementacije jakih lozinki i omogućavanja provjeru identiteta u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće.
  12. Organizacije bi trebalo da obezbijede redovne obuke o sajber bezbjednosti za zaposlene na teme kao što su phishing napadi, najbolje prakse upravljanja lozinkama i važnost prijavljivanja sumnjivih aktivnosti. Ovo pomaže u sprječavanju prijetnji od unutrašnjih aktera (eng. insiders) poput onih koje bi mogle olakšati infekcije zlonamjernim softverom sličnim GravityRAT zlonamjernom softveru unutar mreže organizacije. Pojedinci takođe mogu imati koristi od toga da budu informisani o digitalnoj bezbjednosti putem različitih digitalnih resursa.
  13. Organizacije bi trebalo da razviju sveobuhvatne strategije za reagovanje na incidente kako bi se riješili potencijalni propusti bezbjednosti, uključujući incidente koji uključuju zlonamjerni softver sličan GravityRAT zlonamjernom softveru. Ovo uključuje uspostavljanje jasnih uloga i odgovornosti za timove za reagovanje, sprovođenje temeljnih istraga i sprovođenje korektivnih mjera po potrebi. Pojedinci takođe mogu imati koristi od toga da budu svjesni važnosti takvih mjera u svom okruženju.
  14. Organizacije treba da obezbijede da se sve osjetljive informacije bezbjedno prenose korištenjem HTTPS protokola ili drugih šifrovanih komunikacionih kanala kako bi se spriječilo presretanje od strane zlonamjernih aktera poput onih koji stoje iza GravityRAT zlonamjernog softvera. Ovo uključuje provjeru autentičnosti i integriteta primljenih komunikacija prije nego što se preduzme bilo kakva akcija. Pojedinci takođe mogu imati koristi od opreznosti prilikom prenosa ličnih podataka preko javnih mreža.
  15. Organizacije treba da održavaju ažurne operativne sisteme, aplikacije i druge softverske komponente kako bi spriječile iskorištavanje od strane zlonamjernog aktera poput onih koji stoje iza GravityRAT zlonamjernog softvera, koji često ciljaju poznate ranjivosti u zastarelim verzijama ovih proizvoda. Ovo uključuje implementaciju robusnog procesa upravljanja ispravkama koji obezbjeđuje blagovremena ažuriranja na svim relevantnim platformama unutar mreže organizacije.
  16. Organizacije treba da implementiraju sveobuhvatne mehanizme evidentiranja za praćenje aktivnosti sistema, uključujući potencijalne incidente koji uključuju zlonamjerni softver sličan GravityRAT zlonamjernom softveru. Redovna analiza podataka evidentiranja pomaže u ranom identifikovanju bezbjednosnih prijetnji, omogućavajući brzu akciju protiv zlonamjernih aktera prije nego što se nanese značajna šteta. Pojedinci takođe mogu imati koristi od toga da budu svjesni važnosti takvih mjera u svom okruženju.
  17. Organizacije bi trebalo da obezbijede da sve osjetljive informacije skladištene lokalno ili u uslugama zasnovanim na oblaku koriste robusno šifrovanje kako bi spriječile neovlašteni pristup zlonamjernih aktera poput onih koji stoje iza GravityRAT zlonamjernog softvera, a koji bi mogli pokušati da presretnu ove podatke u svrhu iskorištavanja. Ovo uključuje korištenje renomiranih dobavljača trećih strana sa jakim bezbjednosnim stavovima prilikom skladištenja ličnih datoteka.

Zaštita od GravityRAT zlonamjernog softvera zahtjeva sveobuhvatan pristup koji uključuje i organizacione i pojedinačne napore. Primjenom navedenih preporuka organizacije i korisnici mogu značajno smanjiti svoju ranjivost na napade poput onih koje koristi GravityRAT.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.