Разделы

Безопасность Стратегия безопасности

APT-группа Careto активизировалась спустя 10 лет — для атак используются новые вредоносные программы-импланты

Исследователи «Лаборатории Касперского» обнаружили две сложные кампании по кибершпионажу, осуществленные APT-группой Careto. В предыдущий раз её активность была замечена в 2013 г. Атаки совершались с помощью многомодульных вредоносных программ-имплантов, позволяющих делать записи с микрофона, похищать файлы и данные, а также получать контроль над заражённым устройством. Кампании нацелены на организации из Латинской Америки и Центральной Африки. Подробности представлены в отчёте по APT-атакам за I квартал 2024 г.

APT-группа Careto известна крайне изощрёнными атаками, направленными в первую очередь на государственные, дипломатические и научно-исследовательские организации, а также на энергетические компании. Она была активна с 2007 по 2013 г., после чего информация о её деятельности не появлялась.

Атака начиналась с компрометации сервера электронной почты, работающего на основе программного обеспечения MDaemon. После этого злоумышленники заражали сервер специальным бэкдором, позволяющим получить контроль над сетью. Для дальнейшего проникновения вредоносного ПО во внутреннюю сеть атакующие использовали ранее не обнаруженную ошибку в компоненте защитного решения одного из производителей: она позволяла скрытно распространять вредоносные импланты на множество устройств. Речь идёт о четырёх сложных многомодульных имплантах с множеством функций.

Обнаруженное вредоносное ПО способно записывать звук микрофона, а также выполнять роль файлового стилера: собирать данные о системной конфигурации, логинах и паролях, путях к каталогам на локальном устройстве и другую информацию. Особый интерес злоумышленников представляли конфиденциальные документы организаций, данные для автозаполнения форм, учётные данные в браузерах Edge, Chrome, Firefox и Opera, а также cookie-файлы мессенджеров Threema, WeChat и WhatsApp.

«На протяжении многих лет группа Careto разрабатывает вредоносное ПО высокого уровня сложности. Недавно обнаруженные импланты представляют собой многомодульные фреймворки с применением уникальных и изощрённых методов и тактик развёртывания. Они указывают на продвинутый характер атак Careto. Мы продолжим внимательно следить за активностью злоумышленников и предполагаем, что обнаруженное вредоносное ПО будут продолжать использовать для новых атак», — сказал Георгий Кучерин, исследователь угроз информационной безопасности глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского».

Михаил Лапин, «1С-Рарус»: Доля иностранных CRM на рынке сейчас не превышает 30%
Маркет

Исследователи «Лаборатории Касперского» постоянно обнаруживают новые кампании, инструменты и методы, используемые APT-группами в рамках кибератак по всему миру. Эксперты уже отследили более 900 кампаний и групп, 90% из которых связаны со шпионажем.

Чтобы снизить риски целенаправленных атак, эксперты «Лаборатории Касперского» рекомендуют компаниям: предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например, к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные более чем за 25 лет работы «Лаборатории Касперского»; повышать навыки ИБ-специалистов для борьбы со сложными целевыми угрозами, например с помощью онлайн-тренингов от экспертов GReAT; внедрить решение для защиты конечных устройств, чтобы своевременно обнаруживать, исследовать и реагировать на инциденты, такое как Kaspersky Security для бизнеса; в дополнение к этому установить решение для корпоративной безопасности, которое позволит обнаруживать сложные угрозы на уровне сети на ранней стадии, например, Kaspersky Anti Targeted Attack Platform.