SAS 2023: основные исследования | Блог Касперского

Исследования, представленные командой GReAT на конференции Security Analyst Summit 2023.

На международной конференции Security Analyst Summit наши эксперты из Kaspersky Global Research and Analysis Team (GReAT) представили несколько крайне увлекательных исследований. Мы не станем подробно пересказывать каждое из них — просто кратко обрисуем самое интересное.

Шпионская платформа StripedFly

Практически детективное расследование, в ходе которого наши эксперты выяснили что зловред, ранее детектировавшийся как обычный майнер криптовалюты Monero, на самом деле является прикрытием для сложной модульной угрозы, способной поражать машины как под Windows, так и под Linux. Различные модули StripedFly умеют красть информацию с компьютера, снимать скриншоты, записывать звук с микрофона, перехватывать пароли Wi-Fi. Впрочем, с тем же успехом модули могут функционировать и в качестве шифровальщика-вымогателя, и для майнинга криптовалюты.

Интересно, что угроза способна распространяться с помощью эксплойта EthernalBlue, хотя казалось бы этот вектор был запатчен еще в 2017 году. Кроме того, StripedFly может заражать системы под Linux и Windows с запущенным SSH сервером, используя для этого украденные ключи и пароли. Подробное исследование c индикаторами компрометации можно найти на блоге Securelist.

Подробности атаки Operation Triangulation

Ещё один доклад Security Analyst Summit был посвящён продолжению исследований атаки Operation Triangulation, целью которой были в том числе и наши сотрудники. Подробный анализ угрозы позволил нашим экспертам обнаружить пять уязвимостей в системе iOS, причем четыре из них (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 и CVE-2023-41990) были уязвимостями нулевого дня. Они затрагивали не только iPhone, но также iPod, iPad, macOS, Apple TV и Apple Watch. Также выяснилось, что помимо инфицирования устройств через iMessage, злоумышленники могли атаковать и браузер Safari. Вот в этом посте можно прочитать подробности о процессе анализа данной угрозы.

Новая кампания группировки Lazarus

Следующий доклад экспертов GReAT рассказывал о новых атаках APT Lazarus. Теперь эта группировка интересуется разработчиками программного обеспечения (некоторых из которых атаковали несколько раз), а также активно использует атаки через цепочку поставок.

Через уязвимости в легитимном ПО для шифрования коммуникаций Lazarus инфицирует систему и разворачивает новый имплант SIGNBT, основная часть которого работает исключительно в памяти. Он служит для изучения жертвы (настроек сети, имён процессов и пользователей), а также запуска дополнительной вредоносной нагрузки. В частности, загружает улучшенную версию уже известного бэкдора LPEClient, который тоже работает в памяти и в свою очередь запускает инструменты для кражи учётных данных или другой информации. Техническую информацию о новых инструментах группировки, равно как и индикаторы компрометации, также можно найти на блоге Securelist.

Атака TetrisPhantom

Помимо этого эксперты представили подробности атаки TetrisPhantom, направленной на правительственные учреждения Азиатско-Тихоокеанском региона. Она проводится при помощи компрометации защищенного USB-накопителя, обеспечивающего аппаратное шифрование и используемого государственными организациями. Исследуя эту угрозу, эксперты выявили целую шпионскую кампанию, применяющую целый ряд вредоносных модулей для выполнения команд, сбора файлов и информации со скомпрометированных компьютеров и передачи их на другие машины также при помощи защищенных USB-накопителей в качестве носителя. Немного подробностей про эту кампанию можно найти в нашем квартальном отчете об APT-угрозах.

28.10.2023