Резкое увеличение числа кампаний целевых атак

Целевые атаки (APT) на важные информационные системы с большим объёмом данных и значительным влиянием были и остаются одним из трендов атак, выбранных многими хакерскими группами. Эта тенденция становится всё более заметной в связи с тем, что многие организации и предприятия переходят в цифровую среду, где объёмы данных постоянно растут.

Фактически, ситуация с кибербезопасностью в мире и во Вьетнаме в первые месяцы текущего года наглядно продемонстрировала тенденцию к росту целевых атак на системы подразделений, работающих в таких ключевых секторах, как энергетика, телекоммуникации и т. д. В частности, во Вьетнаме в первой половине 2024 года целевые атаки с использованием программ-вымогателей на системы VNDIRECT, PVOIL и т. д. привели к сбоям в работе и нанесли материальный и имиджевый ущерб этим предприятиям, а также мероприятиям по обеспечению национальной кибербезопасности.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
Преднамеренная атака с использованием вредоносного ПО для шифрования данных в системе VNDIRECT, произошедшая ранее в этом году, стала для подразделений во Вьетнаме серьёзным уроком по обеспечению информационной безопасности. Фото: DV

В недавно предоставленной информации Национальный центр мониторинга кибербезопасности (NCSC) при Департаменте информационной безопасности сообщил, что недавно подразделение зафиксировало информацию, связанную с кампаниями кибератак, в которых преднамеренно используются сложные вредоносные программы и изощренные методы атак для проникновения в важные информационные системы организаций и предприятий, при этом основными целями являются кибератаки, кража информации и саботаж систем.

В предупреждении от 11 сентября, направленном подразделениям ИТ и информационной безопасности министерств, отраслей и местных органов власти, государственным корпорациям, компаниям общего назначения, телекоммуникационным компаниям, поставщикам услуг Интернета и цифровых платформ, а также финансовым и банковским организациям, Департамент информационной безопасности предоставил подробную информацию о кампаниях APT-атак, проводимых тремя группами атак: Mallox Ransomware, Lazarus и Stately Taurus (также известной как Mustang Panda).

В частности, наряду с синтезом и анализом поведения атакующих групп в 3 целевых кампаниях атак, нацеленных на важные информационные системы, включая: кампанию атак, связанную с вирусом-вымогателем Mallox, кампанию группы Lazarus с использованием приложений Windows, имитирующих платформы видеоконференций , для распространения многих типов вредоносных программ и кампанию группы Stately Taurus с использованием VSCode для атак на организации в Азии, Департамент информационной безопасности также предоставил индикаторы кибератак (IoC), чтобы агентства, организации и предприятия по всей стране могли анализировать и выявлять ранние риски кибератак.

Незадолго до этого, в августе 2024 года, Департамент информационной безопасности также постоянно выпускал предупреждения о других опасных кампаниях целевых атак, таких как: кампания с использованием техники «AppDomainManager Injection» для распространения вредоносного ПО, идентифицированная как связанная с группой APT 41 и затрагивающая организации в Азиатско -Тихоокеанском регионе, включая Вьетнам; кампания кибератак, проводимая группой APT StormBamboo, нацеленная на интернет-провайдеров с целью развертывания вредоносного ПО на системах macOS и Windows пользователей, чтобы таким образом получить контроль и украсть важную информацию; кампания кибератак, проводимая группой APT MirrorFace, при этом «целью» были финансовые учреждения, научно-исследовательские институты и производители...

модель шага атаки 1.jpg
Схема действий APT-группы StormBamboo, нацеленной на интернет-провайдеров, о которой Департамент информационной безопасности предупредил 6 августа 2024 года. Фото: NCSC

Информация о целевых группах атак, нацеленных на крупные организации и предприятия во Вьетнаме, также является контентом, который Viettel Cyber Security анализирует и публикует в отчете о ситуации с информационной безопасностью во Вьетнаме за первую половину этого года.

В частности, анализ экспертов Viettel Cyber Security показывает, что в первой половине 2024 года APT-группы обновили инструменты и вредоносное ПО, используемые в своих атаках. Основной метод атак APT-групп — использование поддельных документов и программного обеспечения для обманного запуска вредоносных программ. Популярным приёмом, используемым многими группами, является DLL-Sideloading (загрузка незащищённых исполняемых файлов) для загрузки вредоносных DLL или использования уязвимостей безопасности CVE.

По оценке технической системы Viettel Cyber Security, в первые месяцы 2024 года APT-группы окажут значительное влияние на предприятия и организации во Вьетнаме, в том числе: Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28, APT27.

Меры по предотвращению ранних рисков атаки системы с помощью APT-угроз

Предупреждая об APT-атаках, Департамент информационной безопасности рекомендовал агентствам, организациям и предприятиям проводить проверки и анализ используемых ими информационных систем, которые могут быть затронуты этой кампанией. В то же время им следует активно отслеживать информацию, связанную с кибератаками, чтобы принимать своевременные меры для предотвращения риска атак.

W-информационная-система-безопасность-1-1.jpg
Национальным ведомствам, организациям и предприятиям рекомендуется усилить мониторинг и подготовить планы реагирования при обнаружении признаков киберэксплуатации и кибератак. Фото: LA

В то же время подразделениям также рекомендуется усилить мониторинг и подготовить планы реагирования при обнаружении признаков эксплуатации и кибератак, регулярно отслеживать каналы оповещения органов власти и крупных организаций информационной безопасности для оперативного выявления рисков кибератак.

В условиях кибератак, включая целенаправленные атаки, число которых постоянно растет во всем мире и во Вьетнаме, эксперты по информационной безопасности также рекомендовали отечественным организациям и предприятиям ряд мер, на которых следует сосредоточиться для минимизации рисков и поддержания непрерывной производственной и хозяйственной деятельности.

К ним относятся: проверка процессов и систем управления данными клиентов и внутренними данными; упреждающий анализ признаков вторжения в систему, раннее обнаружение целевых групп атак и реагирование на них; проверка и обновление версий программного обеспечения и приложений, содержащих уязвимости безопасности с серьезными последствиями...

Технические специалисты из стран Азиатско-Тихоокеанского региона отрабатывают методы реагирования на APT-атаки . 29 августа состоялись международные учения APCERT 2024 на тему «Реагирование на APT-атаки: поиск решений сложных проблем» с участием технических специалистов из Вьетнама и других стран Азиатско-Тихоокеанского региона.