«Лаборатория Касперского» обнаружила ранее неизвестную вредоносную кампанию Wildpressure
Эксперты глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) обнаружили целевую кампанию по распространению троянца Milum. Он позволяет получить дистанционное управление устройствами в различных компаниях, в том числе промышленных. Эта кампания, получившая название Wildpressure, все еще активна. В данный момент большинство ее жертв находится на Ближнем Востоке.
Целевые кибератаки (APT) – наиболее сложные и опасные угрозы. Зачастую злоумышленники тайно получают расширенный доступ к системе, чтобы препятствовать ее нормальной работе или красть данные. Подобные кампании, как правило, создаются и разворачиваются людьми, имеющими доступ к крупным финансовым и профессиональным ресурсам. Именно поэтому Wildpressure быстро привлек внимание исследователей «Лаборатории Касперского».
На данный момент эксперты смогли получить несколько почти идентичных образцов троянца Milum, которые не имеют общего кода ни с одной известной ранее APT-кампанией. Все они обладают возможностями для удаленного управления устройствами. В частности, троянец имеет следующие функции: загружать и выполнять команды от своего оператора; собирать различную информацию с атакованной машины и отправлять ее на командно-контрольный сервер; обновляться до более новой версии.
Исследователи GReAT стали первыми, кто зафиксировал деятельность троянца Milum. В августе 2019 г. эксперты «Лаборатории Касперского» впервые обнаружили это вредоносное ПО. Исследование показало, что первые три образца были созданы еще в марте 2019 г. Используя имеющуюся телеметрию, эксперты сделали предположение, что большинство целей этой вредоносной кампании находятся на Ближнем Востоке.
Пока многое в отношении Wildpressure остается неясным, в том числе точный механизм распространения троянца Milum.
«Каждый раз, когда промышленный сектор подвергается нападению, это вызывает беспокойство. Аналитики должны обращать внимание на подобные атаки, поскольку их последствия могут быть разрушительными. Пока у нас нет подтверждения, что у злоумышленников, стоящих за Wildpressure, есть какие-либо намерения, помимо сбора информации из атакованных сетей. Однако эта кампания все еще активно развивается. Мы уже обнаружили новые вредоносные образцы, кроме трех первоначально выявленных. Пока мы не знаем, что будет происходить по мере развития Wildpressure, но будем продолжать следить за ее активностью», – сказал Денис Легезо, старший антивирусный эксперт «Лаборатории Касперского».
Более детальная информация о Wildpressure доступна на Securelist.
Чтобы не стать жертвой целевой атаки, эксперты «Лаборатории Касперского» рекомендуют организациям придерживаться следующих правил: убедитесь, что регулярно обновляется все ПО, используемое в организации, особенно при выпуске нового обновления безопасности. Защитные решения с компонентом Kaspersky Vulnerability and Patch Management могут помочь автоматизировать эти процессы; выберите проверенное защитное решение, например, Kaspersky Endpoint Security для бизнеса расширенный, которое позволяет обнаруживать по поведению известные и ранее неизвестные угрозы, включая эксплойты; внедрите корпоративное защитное решение, которое на ранней стадии обнаруживает целевые атаки на сетевом уровне – например, Kaspersky Anti Targeted Attack Platform; убедитесь, что сотрудники понимают основы кибербезопасности, поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии; также убедитесь, что служба безопасности имеет доступ к актуальной информации о киберугрозах. Повысить осведомленность сотрудников, отвечающих за кибербезопасность организации, помогут аналитические отчеты об APT-угрозах.