Аналитики Proofpoint в 2021 и 2022 годах наблюдали за APT, которые выдают себя за журналистов или напрямую атакуют цели, обладающие важной информацией.
Securitylab.ru подробнее рассмотрел каждую APT, упомянутую в отчете Proofpoint.
Но для начала, что такое APT:
Что такое целевая продолжительная атака повышенной сложности (APT) АРТ-атака (Advanced Persistent Threat) – это целевая продолжительная атака повышенной сложности, задача которой является обнаружение на устройстве пользователя секретной, конфиденциальной или любой ценной информации и использование ее в интересах киберпреступников. Хакер проникает в вашу компьютерную сеть и проводит в ней много времени, отслеживая перемещение данных, действия основных пользователей и важную информацию. Злоумышленники делают все, чтобы остаться незамеченными, и могут использовать для этого сложные инструменты.
Эти атаки не являются случайными. Хакеры тщательное выбирают своих жертв. Ими обычно являются крупные компании или даже правительственные организации, которые имеют дело с сверхсекретными данными, например, военными и финансовыми вопросами или патентами.
Важно отметить, что хакеры могут инициировать атаки, используя методы тагетирования, которые не являются ни новыми, ни постоянно применяемыми. Некоторые злоумышленники жертвуют продолжительностью атаки ради ее скрытости в надежде на то, что тактика "необнаружения" поможет скрыть их действия в системе, что уменьшит необходимость в проведении продолжительных атак.
Другие киберпреступники на начальном этапе атаки используют инструменты администрирования вместо новых специализированных инструментов. Совершенствование методов проведения атак подчеркивает важность использования проверенного и надежного программного обеспечения для обеспечения безопасности.
APT, которые проводили целевые атаки на журналистов
- Zirconium (TA412) – связанная с Китаем хакерская группировка, которая с начала 2021 года атаковала американских журналистов с помощью email-трекеров. Такие трекеры запускаются как только жертва открывает письмо, после чего код внутри трекера начинает собирать информацию о том, что письмо было открыто, когда и где это было сделано, а также сколько раз и с какого устройства. К февралю 2022 года Zirconium возобновила атаки на журналистов, сосредоточившись на в основном на тех, кто занимается освещением новостей, связанных со спецоперацией на Украине.
- TA459 – китайская группировка, обнаруженная Proofpoint в апреле 2022 года. Хакеры атаковали журналистов с помощью RTF-файлов, при открытии которых на устройствах жертв появлялась копия вредоносной программы Chinoxy. Целью этой группировки были СМИ, публикующие новости, связанные с внешней политикой Афганистана.
- TA404, обнаруженная весной 2022 года. В качестве приманки злоумышленники использовали поддельные объявления о вакансиях, которые массово рассылались работникам СМИ.
- TA482, которая запускала кампании по сбору учетных данных журналистов, чтобы получить доступ к их аккаунтам в соцсетях.
Злоумышленники-хамелеоны, выдающие себя за журналистов
- Charming Kitten (TA453) – иранская группировка, рассылавшая вредоносные электронные письма ученым и экспертам, которые занимались вопросами ближневосточной политики. Эти киберпреступники выдавали себя за журналистов и репортеров, пытаясь привлечь внимание жертв к своим письмам.
- Tortoiseshell (TA456) – другая иранская группировка, которая маскировала свои вредоносные письма под информационные бюллетени от Guardian или Fox news.
- TA457 , которая стала одной из самых активных группировок, атакующих СМИ. Хакеры проводили свои кампании каждые две-три недели с сентября 2021 года по март 2022 года.
Аналитики Proofpoint считают, что атаки на СМИ продолжатся, а злоумышленники начнут использовать новые фишинговые уловки, трояны-дропперы и различные тактики социальной инженерии.