V únoru tohoto roku odborníci ze společnosti Kaspersky zjistili, že SixLittleMonkeys, hackerská APT skupina známá také jako Microcin provádějící kyberšpionáž převážně proti vládním a diplomatickým subjektům, začala využívat trojského koně, kterého stahuje přímo do systémové paměti napadeného zařízení. Přišli na to, že v rámci finální fáze útoku, kdy dochází ke stažení škodlivého obsahu a provádění příkazů na napadeném zařízení, začali hackeři využívat nový druh kódování. Pomocí architektury podobné API (Application Programming Interface) zjednodušují aktualizace malwaru.
Odborníci ze společnosti Kaspersky objevili skupinu SixLittleMonkeys před několika lety, kdy se snažila systémy vládních subjektů infikovat backdoory. Své škodlivé techniky navíc obohatila o steganografii, čímž maskovala svou aktivitu. Tento proces obnáší zasílání dat ve skrytém formátu, takže nikdo neví, že došlo k jejich stažení či aktualizování. Kvůli tomu je jejich detekce prostřednictvím antivirových produktů velmi obtížná.
Letos v únoru, kdy byla odhalena aktivita skupiny SixLittleMonkeys namířená proti diplomatickému subjektu, využívali hackeři stejnou sadu nástrojů i styl útoku – steganografii a library search order hijacking. V rámci finální fáze útoku ale došlo k jedné zásadní změně, kdy použili techniky kódování podobné podnikovému stylu.
Rozhraní API umožňuje vývojářům rychleji a snadněji vytvářet aplikace díky základním stavebním blokům budoucích programů, takže kód nemusí při každém novém projektu psát od nuly. V případě malwaru dodávají API tomuto softwaru na efektivnosti – aktualizace nebo změny mohou být prováděny mnohem rychleji.
Exportované API v rámci finální fáze útoku SixLittleMonkeys využívá dva callback parametry (funkce, které mají být iniciovány později): ukazatele (pointer) na šifrátora (encryptor) a logger funkce. První z nich má na starosti šifrování/dešifrování komunikačních a konfiguračních dat C2 řídicího serveru. Druhý ukládá historii operací malwaru do souboru. Díky tomu je pro autory mnohem snazší změnit šifrovací algoritmus nebo přesměrovat logger jiným komunikačním kanálem.
Další novinkou v rámci škodlivých aktivit Microcinu je používání asynchronní práce se sokety. Sokety jsou v tomto případě entity pro síťovou komunikaci s řídicím serverem, Protože jsou asynchronní, jedna operace neblokuje druhou, což znamená, že jsou provedeny všechny příkazy.
„S použitím podnikového programovacího stylu API se setkáváme v rámci malwaru zřídkakdy. Poukazuje to na bohaté zkušenosti hackerů v oblasti vývoje softwaru, což je alarmující vzhledem k sofistikovanosti těchto aktérů. S takovými callbacky, jaké jsme našli v jejich novém síťovém modulu, je aktualizace a podpora velmi snadná,“ komentuje Denis Legezo, bezpečnostní odborník společnosti Kaspersky.
Více informací o aktivitách skupiny SixLittleMonkeys se dozvíte na blogu Securelist.
Aby firmy ochránily svoji infrastrukturu před podobnými útoky, doporučují odborníci z Kaspersky následující opatření:
- Zajistěte SOC týmu (Security Operations Center) přístup k nejaktuálnějším informacím o kybernetických hrozbách. Jedině tak udrží krok s nejnovějšími nástroji, technikami a taktikami, které používají hackeři.
- Pro včasnou detekci hrozeb na koncových bodech, okamžité vyšetřování a nápravu incidentů používejte EDR řešení.
- Kromě ochrany koncových bodů implementujte také síťové bezpečnostní řešení, které detekuje pokročilé hrozby v počáteční fázi útoku na úrovni sítě, jako je například Kaspersky Anti Targetted Attack Platform.
- Pravidelně školte své zaměstnance v oblasti kybernetické bezpečnosti. Většina zacílených útoků totiž začíná phishingem nebo jinými technikami sociálního inženýrství.
