Security Analyst Summit 2023: основные исследования

Четыре исследования, представленные нашими экспертами на международной конференции SAS 2023.

SAS 2023: основные исследования

На международной конференции Security Analyst Summit наши эксперты из Kaspersky Global Research and Analysis Team (GReAT) представили несколько крайне увлекательных исследований. Мы не станем подробно пересказывать каждое из них — просто кратко обрисуем самое интересное.

Шпионская платформа StripedFly

Практически детективное расследование, в ходе которого наши эксперты выяснили, что зловред, ранее детектировавшийся как обычный майнер криптовалюты Monero, на самом деле является прикрытием для сложной модульной угрозы, способной поражать машины как под Windows, так и под Linux. Различные модули StripedFly умеют красть информацию с компьютера, снимать скриншоты, записывать звук с микрофона, перехватывать пароли Wi-Fi. Впрочем, с тем же успехом модули могут функционировать и в качестве шифровальщика-вымогателя, и для майнинга криптовалюты.

Интересно, что угроза способна распространяться с помощью эксплойта EthernalBlue, хотя, казалось бы, этот вектор был запатчен еще в 2017 году. Кроме того, StripedFly может заражать системы под Linux и Windows с запущенным SSH-сервером, используя для этого украденные ключи и пароли. Подробное исследование c индикаторами компрометации можно найти в блоге Securelist.

Подробности атаки Operation Triangulation

Еще один доклад Security Analyst Summit был посвящен окончанию исследований атаки Operation Triangulation, целью которой были и наши сотрудники. Подробный анализ угрозы позволил нашим экспертам обнаружить пять уязвимостей в системе iOS, причем четыре из них (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 и CVE-2023-41990) были уязвимостями нулевого дня. Они затрагивали не только iPhone, но также iPod, iPad, macOS, Apple TV и Apple Watch. Также выяснилось, что помимо инфицирования устройств через iMessage, злоумышленники могли атаковать и браузер Safari. Вот в этом посте можно прочитать подробности анализа данной угрозы.

Новая кампания группировки Lazarus

Следующий доклад экспертов GReAT рассказывал о новых атаках APT Lazarus. Теперь эта группировка интересуется разработчиками программного обеспечения (некоторых из них атаковали несколько раз), а также активно использует атаки через цепочку поставок.

Через уязвимости в легитимном ПО для шифрования коммуникаций Lazarus инфицирует систему и разворачивает новый имплант SIGNBT, основная часть которого работает исключительно в памяти. Он служит для изучения жертвы (настроек сети, имен процессов и пользователей), а также для запуска дополнительной вредоносной нагрузки. В частности, загружает улучшенную версию уже известного бэкдора LPEClient, который тоже работает в памяти и в свою очередь запускает инструменты для кражи учетных данных или другой информации. Техническую информацию о новых инструментах группировки, равно как и индикаторы компрометации, также можно найти в блоге Securelist.

Атака TetrisPhantom

Помимо этого эксперты представили подробности атаки TetrisPhantom, направленной на правительственные учреждения Азиатско-Тихоокеанского региона. Она проводится при помощи компрометации защищенного USB-накопителя, обеспечивающего аппаратное шифрование и используемого государственными организациями. Исследуя эту угрозу, эксперты выявили целую шпионскую кампанию, применяющую ряд вредоносных модулей для выполнения команд, сбора файлов и информации со скомпрометированных компьютеров и передачи их на другие машины — также при помощи защищенных USB-накопителей в качестве носителя. Немного больше про эту кампанию можно найти в нашем квартальном отчете об APT-угрозах.

Советы