Cybergang Gaza Team uaktualnia swój zestaw szkodliwych narzędzi o exploity

30-10-2017
|
Dodał: Piotr Kupczyk
Cybergang Gaza Team uaktualnia swój zestaw szkodliwych narzędzi o exploity
źródło:
Eksperci z Kaspersky Lab odnotowują znaczące zmiany w operacjach przeprowadzanych przez niesławny cybergang Gaza Team, który aktywnie atakuje liczne organizacje komercyjne i rządowe w regionie Bliskiego Wschodu i Afryki.

Ugrupowanie to, które aktywnie działa na arenie zagrożeń od kilku lat, uaktualniło swój arsenał w 2017 r. o nowe szkodliwe narzędzia.

Od 2012 r. cybergang Gaza Team nieustannie atakuje ambasady rządowe, dyplomatów i polityków, jak również organizacje z branży paliwowej oraz media w regionie Bliskiego Wschodu i Afryki, o czym świadczą regularnie wykrywane nowe próbki szkodliwego oprogramowania. W 2015 roku badacze z Kaspersky Lab poinformowali o aktywności tego gangu po zauważeniu znaczącego zwrotu w zakresie jego szkodliwych operacji. Tym razem zauważono, że atakujący wzięli na celownik personel IT oraz pracowników odpowiedzialnych za reagowanie na incydenty, próbując uzyskać dostęp do legalnych narzędzi oceny bezpieczeństwa i znacznie zmniejszyć widoczność swojej aktywności w atakowanych sieciach. W 2017 roku badacze z Kaspersky Lab zidentyfikowali kolejny wzrost aktywności Gaza Cybergang.   

Profil celów oraz zasięg geograficzny nowych ataków pozostał niezmieniony, wzrosła jednak skala operacji Gaza Team. Zauważono, że ugrupowanie poluje na dane wywiadowcze dowolnego rodzaju w regionie Bliskiego Wschodu i Afryki, co wcześniej nie miało miejsca. Co ważniejsze: narzędzia ataków stały się bardziej wyrafinowane — ugrupowanie opracowywało odnoszące się do aktualnej sytuacji geopolitycznej dokumenty phishingowe, wykorzystywane w celu dostarczania szkodliwego oprogramowania do atakowanych systemów, oraz wykorzystywało exploity (szkodliwe narzędzia infekujące poprzez luki w zabezpieczeniach) dla stosunkowo świeżej luki, CVE 2017-0199, występującej w Microsoft Access, a być może nawet oprogramowanie szpiegujące dla platformy Android.    

Intruzi wykonują swoją szkodliwą aktywność, wysyłając wiadomości e-mail zawierające różne narzędzia zdalnej kontroli (RAT), które są ukryte w fałszywych dokumentach biurowych, lub adresy URL prowadzące do zainfekowanych stron. Po wykonaniu szkodliwego kodu ofiara zostaje zainfekowana niebezpiecznym oprogramowaniem, które następnie umożliwia atakującym gromadzenie plików, przechwytywanie znaków wprowadzanych z klawiatury oraz zrzutów ekranu z urządzeń ofiary. Jeśli ofiara wykryje pobrane pierwotnie szkodliwe oprogramowanie, narzędzie cyberprzestępców będzie instalowało na urządzeniu inne pliki, próbując obejść ochronę.  

Dalsze dochodzenie firmy Kaspersky Lab wykazało potencjalne wykorzystanie mobilnego szkodliwego oprogramowania przez omawiane ugrupowanie cyberprzestępcze: niektóre z nazw plików znalezionych podczas analizy aktywności Gaza Team wydawały się mieć związek z trojanem dla Androida. Uaktualnienie technik ataków pozwoliło ugrupowaniu Gaza Team obejść rozwiązania bezpieczeństwa i manipulować systemem ofiary przez dłuższy czas.

Nieustająca aktywność ugrupowania określanego jako Gaza Team, którą obserwujemy już od kilku lat, świadczy o tym, że sytuacja w regionie Bliskiego Wschodu i Afryki jest daleka od bezpiecznej, jeśli chodzi o zagrożenia cyberszpiegowskie. Ze względu na znaczne udoskonalenia technik stosowanych przez to ugrupowanie spodziewamy się wzrostu liczby i jakości ataków przeprowadzanych przez Gaza Team w najbliższej przyszłości. Osoby i organizacje będące na celowniku tego gangu powinny wykazać większą ostrożność online — powiedział David Emm, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab. 

Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują ataki przeprowadzane przy użyciu technik wykorzystywanych przez ugrupowanie Gaza Team.

Badacze z Kaspersky Lab zalecają następujące działania w celu zabezpieczenia się przed atakami tego typu:

  • Szkolenia personelu pokazujące, jak rozróżnić wiadomości lub odsyłacze phishingowe od legalnych treści.
  • Wykorzystywanie sprawdzonego rozwiązania bezpieczeństwa punktów końcowych klasy korporacyjnej w połączeniu z wyspecjalizowaną ochroną przed zaawansowanymi zagrożeniami, takimi jak platforma Kaspersky Anti Targeted Attack, która potrafi wykrywać ataki poprzez analizowanie anomalii sieciowych.
  • Zapewnienie personelowi bezpieczeństwa dostępu do najnowszych danych analizy zagrożeń, dzięki którym będzie wyposażony w przydatne narzędzia do badań i zapobiegania atakom ukierunkowanym, takie jak oznaki włamania (IOC) oraz reguły YARA.

Dalsze szczegóły dotyczące kampanii ugrupowania Gaza Team znajdują się na stronie http://r.kaspersky.pl/UVIy2.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.

InSilesia.pl Graviteo Encja.com inwroc.pl inNews.pl
Innowacyjna Gospodarka Europejski Fundusz Rozwoju Regionu