Bezpečnostní společnost Check Point varuje před novou taktikou hackerských skupin, které k šíření malwaru a kyberšpionážím používají dokumenty s válečnou tematikou.
Bezpečnostní společnost Check Point varuje před novou taktikou hackerských skupin, které k šíření malwaru a kyberšpionážím používají dokumenty s válečnou tematikou.
APT skupiny El Machete, Lyceum a SideWinder útočí pomocí spear-phishingových kampaní na lukrativní cíle. Útočníci používají formální dokumenty, novinové články i pracovní nabídky a šíří malware, který se používá ke špionážím. Terčem jsou vládní, bankovní a energetické společnosti.
Malware používaný k těmto útokům dokáže zaznamenávat stisknuté klávesy, krást přihlašovací údaje, včetně dat uložených v prohlížečích Chrome a Firefox, vytvářet snímky obrazovky, kopírovat data ze schránky, plnit příkazy útočníků a odesílat hackerům informace o souborech na disku, včetně názvů a velikostí, aby bylo možné krást konkrétní soubory.
„Výzkumný tým Check Point Research má prozatím informace o aktivitách těchto tří skupin v několika zemích, ovšem podobné techniky a taktiky se mohou snadno rozšířit i do dalších zemí. Organizace po celém světě by se měly mít na pozoru,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.
| APT skupina | Původ skupiny | Cíl | Napadané státy |
| El Machete | Španělsky mluvící země | Finanční a vládní sektor | Nikaragua, Venezuela |
| Lyceum | Íránská islámská republika | Energetický sektor | Izrael, Saúdská Arábie |
| SideWinder | Pravděpodobně Indie | Neznámo | Pákistán |
El Machete
Skupina rozesílá spear-phishingové e-maily finančním organizacím v Nikaragui s dokumentem „Temné plány neonacistického režimu na Ukrajině“ ve formátu Word. Dokument obsahuje článek napsaný a zveřejněný ruským velvyslancem v Nikaragui, který se zaměřuje na rusko-ukrajinský konflikt z pohledu Kremlu. Jakmile oběť soubor otevře, spustí se škodlivé makro a do počítače je stažen malware.
Lyceum
V polovině března obdržela izraelská energetická společnost e-mail z adresy inews-reporter@protonmail[.]com s předmětem „Ruské válečné zločiny na Ukrajině“. E-mail obsahoval několik obrázků převzatých z veřejných zdrojů a obsahoval odkaz na článek umístěný na doméně news-spot[.]live. Odkaz v e-mailu vedl na dokument, který obsahoval článek „Výzkumníci shromažďují důkazy o možných ruských válečných zločinech na Ukrajině“, který zveřejnil deník The Guardian. Na stejné doméně je umístěno několik dalších škodlivých dokumentů souvisejících s Ruskem i rusko-ukrajinskou válkou, například kopie článku The Atlantic Council z roku 2020 o ruských jaderných zbraních a nabídce práce agenta na Ukrajině. E-mail obsahuje odkaz na škodlivý dokument, který po uzavření spustí makro. Do počítače je uložen exe. soubor a při dalším restartu počítače je spuštěn malware.
APT skupina Lyceum používá ve svých nebezpečných e-mailech a dokumentech válečná témata
SideWinder
SideWinder používá škodlivý dokument s názvem „Specializovaná přednáška o dopadu ruského konfliktu na Ukrajině na Pákistán“ a dle obsahu jsou hlavním cílem pákistánské subjekty. Jakmile oběť otevře škodlivý dokument, načte se externí šablona ze serveru ovládaném útočníky. Soubor ve formátu RTF zneužívá zranitelnost CVE-2017-11882 a počítač infikuje malwarem.
Škodlivý dokument skupiny SideWinder
„APT skupiny používají k útokům stále častěji válečná témata. Kampaně jsou cílené, velmi rafinované a zaměřují se na vládní, finanční a energetický sektor. Malware umožňuje krást citlivá data, sledovat stisknuté klávesy nebo vytvářet snímky obrazovky. Hlavní motivací tak je dle všeho kybernetická špionáž. Důrazně doporučujeme vládám, bankám a energetickým společnostem, ale i všem ostatním organizacím, aby vzdělávaly své zaměstnance a používaly pokročilá bezpečnostní řešení,“ dodává Daniel Šafář.
Výzkumný tým Check Point Research zároveň upozorňuje na další nárůst kyberútoků po celém světě. Od začátku rusko-ukrajinské války došlo celosvětově k nárůstu kyberútoků o 16 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762}. Počet útoků na české organizace vzrostl od začátku války dokonce o 30 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} a jedna česká organizace čelí v průměru 1865 kyberútokům za týden. Jedná se o velmi alarmující číslo, protože jedna evropská organizace čelí v průměru „jen“ 1101 kyberútokům za týden, což je o 18 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} více než před začátkem rusko-ukrajinské války.
KOMENTÁŘE