Campaniile de atacuri persistente avansate (APT) reprezintă o amenințare constantă pentru organizațiile guvernamentale și companiile din sectorul IT. Recent, cercetătorii de la Kaspersky au descoperit o campanie numită „EastWind”, care a distribuit malware-ul CloudSorcerer și alte instrumente asociate cu grupurile APT cunoscute pentru legăturile lor cu China, APT31 și APT27.
Această campanie a fost identificată în urma unei serii de atacuri țintite începute la sfârșitul lunii iulie 2024, care au vizat zeci de computere ale organizațiilor guvernamentale ruse și companii IT. Atacatorii au infectat dispozitivele folosind e-mailuri de tip phishing cu atașamente sub formă de scurtături malițioase, care au fost utilizate pentru a livra malware ce primea comenzi prin intermediul serviciului de cloud Dropbox. Malware-ul descărca ulterior payload-uri suplimentare pe computerele infectate, inclusiv instrumente utilizate de grupul APT31 și o versiune actualizată a backdoor-ului CloudSorcerer.
Un aspect remarcabil al campaniei EastWind este utilizarea de malware provenind de la două grupuri diferite de vorbitori de limba chineză: APT27 și APT31. Acest lucru demonstrează că grupurile APT colaborează adesea activ, împărtășind cunoștințe și instrumente. Pentru a contracara cu succes astfel de colaborări, este esențial să monitorizăm îndeaproape tehnicile și tacticele grupurilor APT care operează la nivel mondial.
Informațiile tehnice relevate de cercetători arată că atacatorii au folosit spear phishing pentru a obține un punct de sprijin inițial în organizațiile vizate. Ei au trimis e-mailuri malițioase cu arhive RAR atașate la adresele de e-mail organizaționale țintă. Aceste arhive conțineau fișiere malițioase care, odată executate, deschideau documente legitime ca diversiune, în timp ce copiau și lansau fișierele malițioase în sistem.
Campania EastWind subliniază importanța unei abordări proactice și a unei vigilențe constante în domeniul securității cibernetice. Cu grupuri APT care colaborează și își împărtășesc resursele, amenințările devin din ce în ce mai sofisticate și mai greu de detectat. Prin urmare, este crucial ca organizațiile să implementeze strategii de securitate robuste și să fie mereu pregătite să răspundă rapid la incidentele de securitate cibernetică.
Pentru mai multe detalii despre campania EastWind și despre modul în care organizațiile se pot proteja împotriva unor astfel de atacuri, puteți accesa raportul complet oferit de Kaspersky.
