Badacze ESET odkryli EmissarySoldier, nową kampanię grupy LuckyMouse – na celowniku organizacje rządowe, przedsiębiorstwa i banki na całym świecie

Następny artykuł
2021-04-29

– Organizacje rządowe i przedsiębiorstwa potrzebują wsparcia w walce z cyberatakami, a jednym z największych zagrożeń są obecnie grupy APT, takie jak LuckyMouse – wynika z najnowszego raportu ESET, który zaprezentowano 28 kwietnia, podczas wirtualnej konferencji ESET European Cybersecurity Day.

Unia Europejska, jej strategia w zakresie cyberbezpieczeństwa, a także rządy na całym świecie zmagają się z poważnymi wyzwaniami z zakresu cyberprzestępczości. Przeniesienie wielu dziedzin życia do sfery wirtualnej, pandemia COVID-19 i związany z nią zdalny tryb pracy, wprowadzony niemal w każdym przedsiębiorstwie i organizacji, a także cyberszpiegostwo, złośliwe oprogramowanie ransomware czy ataki na łańcuchy dostaw – to tylko niektóre z nich. Największym, wspólnym wrogiem dla wszystkich rządów okazują się jednak zaawansowane grupy cyberwywiadowcze APT (Advanced Persistent Threats).

Grupy APT wykorzystują udoskonalone narzędzia

Najnowszy raport branżowy ESET opisuje zagrożenia przygotowywane przez grupy APT i podkreśla ich złożoną naturę. Eksperci zwracają szczególną uwagę na EmissarySoldier, nową kampanię przeprowadzoną przez grupę LuckyMouse za pomocą zestawu narzędzi SysUpdate. Jej celem jest przejęcie kontroli nad komputerami, z których część korzystała z popularnej aplikacji Microsoft SharePoint.

LuckyMouse wykorzystuje nierozpracowany dotąd zestaw narzędzi SysUpdate – którego pierwsze próbki odkryto w 2018 roku, jednak od tego czasu przeszedł on różne etapy rozwoju. Obecnym sposobem działania grupy cyberprzestępców jest instalowanie złośliwego oprogramowania z wykorzystaniem trzech komponentów: legalnej aplikacji podatnej na przechwytywanie wywołań DLL, szkodliwego kodu binarnego zakodowanego dodatkowo w Shikata Ga Nai oraz niestandardowej biblioteki DLL ładującej ten złośliwy kod.

Ponieważ modułowa architektura SysUpdate umożliwia przestępcom ograniczenie ekspozycji złośliwych komponentów do minimum, kompleksowa analiza zagrożenia jest dość trudna. Niezależnie od tego, LuckyMouse zwiększył swoją aktywność w 2020 roku, najwyraźniej przechodząc przez proces, w którym różne nowe funkcje były stopniowo integrowane z zestawem narzędzi SysUpdate.

Ewolucja narzędzi wykorzystywanych przez grupy APT, takie jak LuckyMouse, powinna znajdować się pod szczególną obserwacją. To na organizacjach rządowych spoczywa odpowiedzialność za zapewnienie bezpieczeństwa oraz stabilności obywatelom, środowisku biznesowemu i relacjom międzynarodowym. Te zadania mogą być zagrożone, skoro LuckyMouse i inne grupy APT, a także podmioty państwowe i ich współpracownicy, korzystają z popularnych platform współpracy, takich jak Microsoft SharePoint i domyślnie cyfrowo świadczone usługi.

Rząd w centrum uwagi

W latach 2020 i 2021 ESET zaangażował się w kilka projektów współpracy badawczej, w tym między innymi z Europejską Organizacją Badań Jądrowych (CERN), Europolem i francuską Narodową Agencją Cyberbezpieczeństwa (ANSSI). Wnioski z nich, przedstawione podczas wirtualnego wydarzenia oraz w raporcie, wskazują, że rządy i ich infrastruktura IT znajdują się stale na celowniku cyberprzestępców.

Raport podkreśla potrzebę dalszego, technologicznego wspierania rządów w usuwaniu luk w zabezpieczeniach, wykrywaniu zagrożeń oraz monitorowaniu taktyk, technik i procedur grup APT za pośrednictwem dostępnych narzędzi.

Raport w wersji angielskiej można znaleźć na tej stronie.