Команда Kaspersky Cyber Threat Intelligence проанализировала около сотни инцидентов, произошедших в разных уголках мира в 2022-2023 гг., и исследовала действия атакующих на основе методологии Unified Kill Chain (UKC)
«Лаборатория Касперского» выпустила отчёт о тактиках, техниках и процедурах азиатских APT-групп. В качестве примеров эксперты описали пять геораспределённых инцидентов: в России и Беларуси, Индонезии, Малайзии, Аргентине, Пакистане.
В получившемся аналитическом отчёте объёмом 370 страниц подробно описываются тактики, техники и процедуры, используемые азиатскими кибергруппами на каждом из этапов атаки, даны рекомендации, как бороться с подобными атаками, и содержатся Sigma-правила для их детектирования.
В рамках исследования команда Cyber Threat Intelligence опиралась на международные инструменты, практики и методологии, в первую очередь UKC, а также MITRE ATT&CK, F3EAD, Pyramid of Pain by David Bianco, Intelligence Driven Incident Response. Несмотря на то, что рассмотренные в отчёте группы проводят огромное количество атак, спектр используемых ими техник ограничен. Это позволило экспертам глубоко погрузиться в их анализ и выявить общий «почерк».
Инструменты. Разные кибергруппы используют схожие методы и инструменты, что сокращает время подготовки к атаке и облегчает процесс взлома. В отчёте подробно описаны паттерны, характерные для азиатских кибергрупп. На основе этой информации компании могут не только идентифицировать атакующих, но и заметить развивающуюся атаку на ранней стадии.
Цели. Кибергруппы, о которых идёт речь в отчёте, специализируются на кибершпионаже, не прибегая к вымогательству, шифрованию или нарушению производственных процессов. Об этом свидетельствуют их попытки собрать конфиденциальную информацию и передать её в легальные облачные сервисы или по внешним каналам.
Жертвы. Среди мишеней — государственные органы, промышленные предприятия, медицинские учреждения, ИТ-компании, сельскохозяйственные и энергетические организации.
Меры противодействия. Результаты анализа тактик, техник и процедур злоумышленников позволили экспертам «Лаборатории Касперского» разработать набор тщательно продуманных Sigma-правил, помогающих специалистам по информационной безопасности обнаруживать потенциальные атаки в своей инфраструктуре.
«Несмотря на большое количество акторов и видимую сложность атак, их всё же можно классифицировать по тактикам, техникам и процедурам. Информация о техниках, используемых атакующими из Азии, позволяет выстроить эффективную защиту от соответствующих угроз. Такие данные мы и собрали в нашем отчёте. С его помощью ИБ-специалисты по всему миру, в том числе аналитики SOC, команды по активному поиску угроз, аналитики киберугроз, специалисты по цифровой криминалистике и реагированию на инциденты, смогут эффективно противостоять потенциальным угрозам», — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского».
Исследователи «Лаборатории Касперского» постоянно находят новые инструменты, методы и кампании групп, которые организуют сложные целевые атаки. Эксперты компании отслеживают более 900 APT-групп и кластеров активности, причём цель 90% из них — кибершпионаж. Они активно делятся своими находками и эксклюзивной информацией на портале Kaspersky Threat Intelligence Portal.
Полная версия отчёта доступна по ссылке: https://kas.pr/ru-apt-report-2023.
