Globalni istraživački i analitički tim kompanije Kaspersky (GReAT) otkrio je zlonamernu globalnu kampanju u kojoj su napadači koristili Telegram za širenje trojanskog špijunskog softvera, potencijalno targetirajući pojedince i kompanije u finteku i trgovini. Malver je kreiran da ukrade osetljive podatke, kao što su lozinke, i preuzme kontrolu nad uređajima korisnika u svrhe špijunaže.
Veruje se da je kampanja povezana sa DeathStalker-om, zloglasnim hakerskim APT (Advanced Persistent Threat) akterom koji nudi specijalizovane usluge hakovanja i finansijskih informacija. U nedavnom talasu napada koje je uočila kompanija Kaspersky, akteri pretnji su pokušali da zaraze žrtve DarkMe malverom – trojancem za daljinski pristup (RAT), kreiranim da krade informacije i izvršava daljinske komande sa servera koji kontrolišu napadači.
Čini se da su akteri pretnji koji stoje iza kampanje targetirali žrtve u sektoru trgovine i finteka, jer tehnički pokazatelji kažu da je malver verovatno distribuiran preko Telegram kanala fokusiranih na ove teme. Kampanja je bila globalna, jer je kompanija Kaspersky identifikovala žrtve u više od 20 zemalja širom Evrope, Azije, Latinske Amerike i Bliskog istoka.
Analiza lanca zaražavanja otkriva da su napadači najverovatnije dodavali zlonamerne arhive objavama na Telegram kanalima. Same arhive, kao što su RAR ili ZIP datoteke, nisu bile zlonamerne, ali su sadržale štetne datoteke sa ekstenzijama kao što su .LNK, .com i .cmd. Ako su potencijalne žrtve pokrenule ove datoteke, to je dovodilo do instaliranja zlonamernog softvera u poslednjoj fazi, DarkMe, u nizu radnji.
„Umesto da koriste tradicionalne metode fišinga, akteri pretnji su se oslanjali na Telegram kanale da isporuče malver. U ranijim kampanjama, takođe smo posmatrali ovu operaciju koristeći druge platforme za razmenu poruka, kao što je Skype, kao vektor za početnu infekciju. Ovaj metod može da učini potencijalne žrtve sklonijim da veruju pošiljaocu i otvore zlonamernu datoteku nego u slučaju sa veb-sajtom za fišing. Pored toga, preuzimanje datoteka putem aplikacija za razmenu poruka može izazvati manje bezbednosnih upozorenja u poređenju sa standardnim preuzimanjima sa interneta, što je povoljno za aktere pretnji“, objašnjava Maher Jamut, vodeći istraživač bezbednosti GReAT-a. „Iako obično savetujemo oprez kada su u pitanju sumnjivi imejlovi i linkovi, ova kampanja naglašava potrebu za oprezom čak i sa aplikacijama za trenutne poruke kao što su Skype i Telegram.“
Pored korišćenja Telegrama za isporuku malvera, napadači su poboljšali svoju operativnu bezbednost i uklanjanje tragove nakon upada. Nakon instalacije, malver je uklanjao datoteke korišćene za instalaciju DarkMe. Da bi dodatno ometali analizu i pokušali da izbegnu otkrivanje, napadači su povećali veličinu ubačene datoteke i izbrisali druge tragove, kao što su datoteke nakon eksploatacije, alati i ključevi registra, nakon što su postigli svoj cilj.
Deathstalker, ranije poznat kao Deceptikons, je grupa aktera pretnji koja je aktivna najmanje od 2018., a potencijalno od 2012. godine. Smatra se da je to grupa sajber plaćenika ili hakera za unajmljivanje gde članovi verovatno poseduju veštine za razvoj sopstvenih alata i razumeju ekosistem naprednih stalnih pretnji. Primarni cilj grupe je prikupljanje poslovnih, finansijskih i privatnih ličnih podataka, verovatno za potrebe konkurentskog ili poslovnog obaveštajnog rada u korist njihovih klijenata. Obično ciljaju mala i srednja preduzeća, finansijske firme, fintekove, advokatske kancelarije, a povremeno i vladine organizacije. Uprkos takvim ciljevima, nikada nije uočeno da DeathStalker krade sredstva, zbog čega kompanija Kaspersky veruje da su usmereni na privatne obaveštajne aktivnosti.
Grupa takođe ima zanimljivu sklonost da pokušava da izbegne da joj se pripišu njene aktivnosti tako što oponaša druge APT aktere i ostavlja lažne tragove.
Za ličnu bezbednost, kompanija Kaspersky preporučuje sledeće mere:
- Instalirajte pouzdano bezbednosno rešenje i pratite njegove preporuke. Bezbednosna rešenja će potom automatski rešavati većinu problema i obavestiti vas po potrebi.
- Informisanost o novim tehnikama sajber napada može vam pomoći da ih prepoznate i izbegnete. Bezbednosni blogovi će vam pomoći da budete u toku s najnovijim pretnjama.
Kako bi se zaštitile od naprednih pretnji, stručnjaci za bezbednost kompanije Kaspersky preporučuju organizacijama sledeće:
• Obezbedite svojim stručnjacima za informacionu bezbednost dubok uvid u sajber pretnje koje targetiraju vašu organizaciju. Najnoviji Kaspersky Threat Intelligence pružiće im bogat i smislen kontekst tokom celog ciklusa upravljanja incidentima i pomoći u pravovremenom identifikovanju sajber rizika.
• Uložite u dodatne kurseve sajber bezbednosti za svoje zaposlene kako bi bili u toku sa najnovijim saznanjima. Uz praktično orijentisanu obuku Kaspersky Expert, stručnjaci za informacionu bezbednost mogu unaprediti tehničke veštine i biti sposobni da odbrane kompaniju od sofisticiranih napada. Možete izabrati najpogodniji format i pratiti samostalno vođene onlajn kurseve ili kurseve uživo koje vode treneri.
• Da biste zaštitili kompaniju od širokog spektra pretnji, koristite rešenja iz linije proizvoda Kaspersky Next koja pružaju zaštitu u realnom vremenu, uvid u pretnje, mogućnosti istraživanja i odgovora u okviru EDR i XDR sistema, za organizacije svih veličina i delatnosti. U zavisnosti od trenutnih potreba i dostupnih resursa, možete odabrati najrelevantniji nivo proizvoda i lako preći na drugi ako se vaši zahtevi za sajber bezbednost promene.