ОПРЕДЕЛЕНИЕ УГРОЗЫ
Тип угрозы: вредоносное ПО/ целевая продолжительная атака повышенной сложности (APT)
Что такое Yeti/Energetic Bear?
Energetic Bear/Crouching Yeti (энергетический медведь/крадущийся йети) – группа киберпреступников, замешанная в нескольких вредоносных кампаниях класса APT (advanced persistent threat). Группа начала активную деятельность не позднее конца 2010 года. Интересы киберпреступников распространяются, в частности, на следующие секторы экономики:
- Энергетика/машиностроение
- Промышленность
- Фармацевтический сектор
- Строительство
- Образование
- Информационные технологии
Большинство из известных нам жертв работают в энергетике/машиностроении, что говорит об особом интересе группы к этому сектору.
Для заражения жертв группировка Crouching Yeti применяют три метода,
- Целевой фишинг с использованием PDF-документов, содержащих flash-эксплойт (CVE-2011-0611)
- Инсталляторы с внедренной в них троянской программой
- Атаки типа watering hole с применением различных известных эксплойтов
Детали угрозы
Crouching Yeti вряд ли можно назвать сложной кампанией. Например, злоумышленники не использовали эксплойты нулевого дня, только эксплойты, которые можно легко найти в Интернете. Однако это не помешало кампании оставаться незамеченной в течение нескольких лет.
Всего нам известно примерно о 2 800 жертвах по всему миру, из которых специалистам «Лаборатории Касперского» удалось выявить 101 организацию. Список жертв указывает на то, что интересы Crouching Yeti распространяются, прежде всего, на стратегические цели. Однако преступники также проявляют повышенное внимание и к другим, менее значимым структурам, которые эксперты «Лаборатории Касперского» считают побочными жертвами. При этом стоит отметить, что эта группа киберпреступников хоть и сосредоточена на очень узком секторе промышленности, имеющем стратегическое значение, но также проявляет интерес и ко многим другим секторам экономики.
Как узнать, стал ли мой компьютер жертвой Crouching Yeti
Лучший способ узнать, стали ли вы жертвой Crouching Yeti, - определить, было ли вторжение. Идентификация угрозы может быть выполнена с помощью мощного антивирусного продукта, такого как Kaspersky Anti-Virus.
Продукты «Лаборатории Касперского» детектируют и удаляют все варианты вредоносного ПО, применяемые в рамках кампании Crouching Yeti, в том числе следующие:
- Trojan.Win32.Sysmain.xxx
- Trojan.Win32.Havex.xxx
- Trojan.Win32.ddex.xxx
- Backdoor.MSIL.ClientX.xxx
- Trojan.Win32.Karagany.xxx
- Trojan-Spy.Win32.HavexOPC.xxx
- Trojan-Spy.Win32.HavexNk2.xxx
- Trojan-Dropper.Win32.HavexDrop.xxx
- Trojan-Spy.Win32.HavexNetscan.xxx
- Trojan-Spy.Win32.HavexSysinfo.xxx
Как защититься от Crouching Yeti-атак?
- Обновляйте все свое программное обеспечение. Среди эксплойтов, примененных группировкой Crouching Yeti, не было эксплойтов нулевого дня, большинство заражений можно было предотвратить, используя современное программное обеспечение сторонних разработчиков.
- Установите защитное решение для предотвращения вирусных заражений и не забывайте обновлять его.
- Повышение информированности является важной частью безопасности, особенно в том, что касается целевого фишинга.