Ny malware-kampagne målrettet militære og finansielle organisationer

For nyligt kunne trusselsanalytikere fra Kaspersky linke mere end 300 tilfælde af en malware kaldet Bisonal til en kampagne udført af den velkendte hackergruppe CactusPete - en cyberspionagegruppe, der har været aktiv siden 2012

CactusPete, også kendt som Karma Panda eller Tonto Teaь, er en cyberspionagegruppe, der har været aktiv siden 2012. De har ændret deres malware og går nu efter den militære og finansielle sektor.  Målet er højst sandsynligt at få adgang til fortrolige oplysninger. Derudover antyder den hastighed, hvormed de nye malware-prøver er oprettet, at gruppen udvikler sig hurtigt. Derfor bør organisationer indenfor den militære og finansielle sektor være på vagt, advarer Kaspersky.

Denne seneste bølge af aktiviteter blev første gang bemærket af Kasperskys analytikere i februar 2020, da de så en opdateret version af gruppens bagdør, Bisonal. Ved at analysere den ondsindede kode for ligheder med allerede eksisterende koder, som bruges af kendte cyberkriminelle, kunne analytikerne forbinde denne ene malware-prøve med 300 andre.

Alle 300 prøver dukkede op mellem marts 2019 og april 2020 – ca. 20 prøver om måneden – hvilket understreger, at CactusPete har fart på. Faktisk forsætter gruppen med at forfine sine taktikker og få adgang til mere sofistikerede koder som ShadowPad.

Høster kritisk information

Funktionaliteten i malwaren antyder, at gruppen er ude efter meget følsom information. Når den anvendte Bisonal-bagdør er installeret på offerets enhed, giver den gruppen mulighed for diskret at starte forskellige programmer, afslutte processer, uploade, downloade og slette filer samt hente en liste over tilgængelige drev.

Når operatørerne har trængt sig dybere ind i det inficerede system, distribuerer de såkaldte ’keyloggers’, der registrer al aktivitet på tastaturet, så de kan høste legitimationsoplysninger og downloade ’privilege escalation’-malware, der gradvist giver dem mere og mere kontrol over systemet.

Det er uklart, hvordan bagdøren downloades i denne seneste kampagne. Tidligere har CactusPete primært været afhængig af spear-phishing, som er e-mails med ondsindede vedhæftede filer. Hvis de vedhæftede filer åbnes, bliver enheden inficeret.

CactusPete er en ret interessant APT-gruppe, fordi den faktisk ikke er så avanceret – heller ikke Bisonal-bagdøren. Deres succes kommer ikke fra sofistikeret teknologi eller kompleks distribution og tilslørede taktikker, men fra en vellykket anvendelse af socialtekniske greb, hvor de manipulerer ofrene til at give dem adgang. Således er de er i stand til at inficere store mål, fordi deres ofre klikker på phishing-e-mails og åbner de ondsindede vedhæftede filer. Dette er et godt eksempel på, hvorfor phishing fortsat er en så effektiv metode til at igangsætte et cyberangreb – og hvorfor det er så vigtigt for virksomhederne at uddanne deres medarbejdere i, hvordan de spotter sådanne e-mails og holder sig opdaterede på de seneste trusler.

Konstantin Zykov, senior sikkerhedsforsker hos Kaspersky

Læs mere om CactusPetes seneste aktivitet på Securelist.

For at beskytte din organisation mod CactusPete og andre trusselsaktører anbefaler Kaspersky følgende:

  • Giv dit Security Operations Center (SOC)-team adgang til den nyeste trusselsinformation, og hold dig opdateret omkring nye og nye værktøjer, teknikker og taktikker, der bruges af trusselaktører og cyberkriminelle.
  • Implementer EDR-løsninger, såsom Kaspersky Endpoint Detection and Response, som kan hjælpe dig med at opdage, undersøge og fikse endpoints i rette tid.
  • Giv dit personale en grundlæggende uddannelse i cybersikkerheds-hygiejne – mange angreb starter med phishing eller andre social engineering-teknikker. Udfør et simuleret phishing-angreb for at sikre, at de ved, hvordan de identificerer phishing-e-mails.
  • For hurtigt at kunne forbinde nye ondsindede prøver med kendte angrebsaktører kan du implementere Kaspersky Threat Attribution Engine.

Del artiklen på

Om Lars Bennetzen (2899 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?

Tilmeld dig vores nyhedsbrev

Hvis du ikke allerede får vores nyhedsbrev, har du her muligheden for at tilmelde dig.

Vi udsender 1 gang om ugen, så vi kommer ikke til at spamme din mailboks.

Vi holder dine data private, og deler dem ikke med tredjepart