Лаборатория Касперского выявила огромную кампанию кибершпионажа в Юго-Восточной Азии

Лаборатория Касперского обнаружила редкую по масштабам кампанию кибершпионажа в Юго-Восточной Азии. Жертвами стали около 100 организаций в Мьянме и 1400 на Филиппинах, среди них и государственные органы. Кампания была названа LuminousMoth, она активна с октября 2020 года.

Данная кампания отличается от остальных традиционных сложных целевых атак. И в первую очередь количеством жертв, который не ограничивается десятками организаций, а в разы шире.

Первичное заражение происходит через фишинговые письма со ссылкой на Dropbox, по которой скачивается архив в RAR-формате, содержащий заражённый документ Word. После внедрения в систему зловред пытается распространиться на другие устройства в сети через съёмные USB-носители. Если он находит такой носитель, то создает на нем скрытые директории и переносит туда все файлы с устройства жертвы, в том числе вредоносные.

В арсенале LuminousMoth есть ещё два инструмента, которые используются на следующем этапе атаки. Один представляет собой фейковую версию Zoom, а другой крадёт куки из браузера Chrome. После закрепления в системе зловред продолжает передавать данные на командно-контрольный сервер. В атаках, проводимых в Мьянме, эти серверы часто выдавали себя за известные новостные ресурсы.

Эксперты «Лаборатории Касперского» уверены, что за данной кампанией стоит известная китайскоговорящая группа HoneyMyte, которая занимается сбором геополитических и экономических данных в Азии и Африке.

«Эта кампания подтверждает тренд, который мы наблюдаем последний год: китайскоговорящие группы создают новые вредоносные импланты, их активность растёт. Есть большая вероятность, что атакующие продолжат развивать свой инструментарий, так что мы будем следить за дальнейшими разработками LuminousMoth», — сообщает Мария Наместникова, руководитель российского исследовательского центра «Лаборатории Касперского».

Для защиты от целевых атак «Лаборатория Касперского» рекомендует компаниям:

• организовывать для сотрудников тренинги по кибербезопасности, поскольку такие атаки часто начинаются с фишинга или других схем с использованием социальной инженерии;

• регулярно проводить аудит безопасности IT-инфраструктуры;

• внедрять продукты для борьбы со сложными целевыми атаками и EDR-решения;

• предоставлять команде SOC-центра доступ к актуальной информации о новых и уже известных инструментах, техниках и тактиках, используемых злоумышленниками, а также регулярно проводить для них специальные тренинги. Такие сервисы доступны в рамках экспертного уровня многоступенчатого подхода «Лаборатории Касперского» к кибербезопасности — Kaspersky Expert Security Framework;

• использовать специализированные сервисы, например, решение Kaspersky Managed Detection and Response, которое умеет распознавать и останавливать атаки на ранней стадии, до того как злоумышленники нанесут существенный урон.

По материалам Лаборатории Каспрерского