Tavaliselt algab see pahatahtliku reklaamiga ja lõpeb Royal lunavara kasutuselevõtuga, kuid uus ohurühm on silma paistnud oma võimega uuendada vahepealseid pahatahtlikke samme, et meelitada uusi sihtmärke.
Arvutushiiglase sel nädalal avaldatud aruande kohaselt on küberrünnakute rühm, mida Microsoft Security Threat Intelligence jälgib DEV-0569 nime all.
„DEV-0569 tugineb eelkõige vägivaldsus, andmepüügilingid, mis viitavad pahavara allalaadijale, kes kujutab endast tarkvara installijat või värskendusi, mis on manustatud rämpsposti, võltsitud foorumilehtedele ja ajaveebi kommentaaridesse," ütlesid Microsofti teadlased.
Vaid mõne kuuga jälgis Microsofti meeskond grupi uuendusi, sealhulgas pahatahtlike linkide peitmist organisatsioonide kontaktivormidel; võltsinstallijate matmine seaduslikele allalaadimissaitidele ja hoidlatele; ja Google'i reklaamide kasutamine oma kampaaniates pahatahtliku tegevuse maskeerimiseks.
"DEV-0569 tegevus kasutab allkirjastatud binaarfaile ja edastab krüptitud pahavara kasulikke koormusi," lisas Microsofti meeskond. "Rühm, kes on teadaolevalt suuresti toetunud kaitsest kõrvalehoidmise tehnikatele, on viimaste kampaaniate käigus jätkanud avatud lähtekoodiga tööriista Nsudo kasutamist, et proovida viirusetõrjelahendusi keelata."
Grupi edupositsioonid DEV-0569 toimida juurdepääsu vahendajana muude lunavaratoimingute jaoks, ütles Microsoft Security.
Kuidas võidelda küberrünnaku leidlikkusega
Kui uued nipid kõrvale jätta, juhib Vulcan Cyberi vanemtehniline insener Mike Parkin tähelepanu sellele, et ohurühm teeb tõepoolest oma kampaania taktikas muudatusi, kuid loodab järjekindlalt, et kasutajad teevad vigu. Seega on kaitse jaoks võtmetähtsusega kasutajate harimine, ütleb ta.
"Siin kirjeldatud andmepüügi- ja pahatahtliku reklaami rünnakud sõltuvad täielikult sellest, kuidas kasutajad peibutisega suhtlevad," räägib Parkin Dark Readingile. "Mis tähendab, et kui kasutaja ei suhtle, siis rikkumist pole."
Ta lisab: "Turvameeskonnad peavad jääma ees seisma uusimatest äpardustest ja pahavarast, mida looduses kasutatakse, kuid siiski on kasutajate harimise ja teadlikkuse suurendamise elementi, mis on vajalik ja on alati nõutav, et muuta kasutajate kogukond peamisest. ründepind tugevaks kaitseliiniks.
Kasutajate lantide suhtes läbitungimatuks muutmine kõlab kindlasti kindla strateegiana, kuid Cerberus Sentineli lahenduste arhitektuuri asepresident Chris Clements ütleb Dark Readingile, et on "nii ebareaalne kui ka ebaõiglane" eeldada, et kasutajad säilitavad 100% valvsuse, pidades silmas üha veenvamat suhtlust. inseneri nipid. Selle asemel on vaja terviklikumat lähenemist turvalisusele, selgitab ta.
"Seejärel on organisatsiooni tehniliste ja küberjulgeolekumeeskondade ülesanne tagada, et ühe kasutaja kompromiss ei tooks kaasa ulatuslikku organisatsioonilist kahju, mis tuleneb levinuimatest küberkuritegelikest eesmärkidest, milleks on massiline andmevargus ja lunavara," ütleb Clements.
IAM-i juhtelemendid on olulised
Robert Hughes, RSA CISO, soovitab alustada identiteedi- ja juurdepääsuhalduse (IAM) juhtelementidega.
"Tugev identiteedi ja juurdepääsu haldamine võib aidata kontrollida pahavara külgmist levikut ja piirata selle mõju isegi pärast tõrkeid inimese ja lõpp-punkti pahavara ennetamise tasemel, näiteks volitatud isikul lingil klõpsamise ja tarkvara installimise peatamine. installida,” räägib Hughes Dark Readingile. "Kui olete veendunud, et teie andmed ja identiteedid on turvalised, ei ole lunavararünnaku tagajärg enam nii kahjulik – ja lõpp-punkti uuesti pildistamine pole nii palju vaeva nähtud."
Phil Neray CardinalOpsist nõustub. Ta selgitab, et selliste taktikate nagu pahatahtliku Google Adsi vastu on raske kaitsta, nii et turvameeskonnad peavad keskenduma ka lunavararünnaku korral sademete minimeerimisele.
"See tähendab veendumist, et SoC-l oleks tuvastatud kahtlane või volitamata käitumine, nagu privileegide suurendamine ja elu-off-the-maa administraatori tööriistad nagu PowerShell ja kaughaldusutiliidid, ”ütleb Neray.
