Современные киберугрозы от государств, финансируемые и стратегически направленные, представляют собой сложные задачи, требующие передовых мер безопасности, анализа угроз и международного сотрудничества. Государственные агентства и спонсируемые государством группы проводят кибератаки по различным причинам, включая шпионаж, саботаж и политическое влияние.

Последней обнаруженной угрозой стал «Cuckoo Spear», выявленный в результате анализа компании Cybereason. Отчет показывает, что связанные с этой угрозой киберпреступники могут оставаться незаметными в сетях своих жертв в течение нескольких лет. Cybereason обнаружила, что злоумышленники находились в сетях жертв от двух до трех лет.

В отчете также раскрывается новая информация о методах и арсенале группы APT10. Это китайская государственная группа кибершпионажа, активная с 2006 года. Основная цель APT10 — поддержка национальных интересов Китая путем сбора разведданных. Группа часто нацелена на критическую инфраструктуру, такую как коммуникации, производство и государственные секторы.

Cybereason связывает угрозу «Cuckoo Spear» с группой APT10 на основе анализа различных инцидентов, связанных с угрозами «Earth Kasha» и «MirrorFace». Во время кампании злоумышленники использовали новое вредоносное ПО NOOPDOOR, предназначенное для скрытного проникновения и извлечения данных из сетей.

В новом отчете Cybereason демонстрирует, как NOOPDOOR, модульная программа, использует DGA-основное C2-коммуникацию для управления. NOOPDOOR загружается через программу NOOPLDR, которая расшифровывает и выполняет его. Cybereason наблюдала использование LODEINFO и NOOPLDR/NOOPDOOR в одной кампании, что позволяет связать их между собой. LODEINFO используется как основная точка входа, а NOOPDOOR — для длительного нахождения в сети.

Для выявления присутствия «Cuckoo Spear» в сети Cybereason предоставила охотничьи запросы (hunting queries) и индикаторы компрометации (IOC). Из-за сложности процесса обнаружения и устранения угроз рекомендуется привлечь специализированную команду по реагированию на инциденты.

Для борьбы с такими угрозами организациям предлагается реализовать комплексные меры безопасности, мониторинг подозрительной активности и сотрудничество с экспертами по кибербезопасности. Например, отключить доступ к интернету, заблокировать все связанные с NOOPDOOR домены и IP-адреса, сбросить пароли пользователей и перезагрузить инфицированные машины.

Используя открытые источники информации, Cybereason предоставляет действенные рекомендации для защиты от этих угроз.

Источник: Securitylab