使用卡巴斯基威胁溯源引擎,卡巴斯基研究人员将一个被称为Bisonal的后门的300多个样本与高级可持续性威胁行为者(APT)CactusPete 联系起来。CactusPete 是一个至少从2012年就开始活跃的网络间谍组织。这一波最新的攻击行动重点是针对东欧的军事和金融目标,表明该组织的发展速度很快。
使用卡巴斯基威胁溯源引擎,卡巴斯基研究人员将一个被称为Bisonal的后门的300多个样本与高级可持续性威胁行为者(APT)CactusPete联系起来。CactusPete 是一个至少从2012年就开始活跃的网络间谍组织。这一波最新的攻击行动重点是针对东欧的军事和金融目标,表明该组织的发展速度很快。
CactusPete 又被称为 Karma Panda 或 Tonto Teaь ,是一个至少从2012年就开始活跃的网络间谍组织。这一次,他们升级了所使用的后门程序,并且将攻击目标锁定为东欧地区的军事和金融组织,其目的很可能是获取机密信息。此外,创建新恶意软件样本的速度表明该组织正在迅速发展。 在这些领域的此类组织应保持警惕。
卡巴斯基研究人员是在2020年2月最早注意到这一波最近的攻击行动的,当时他们发现该组织的 Bisonal 后门程序进行了更新。使用卡巴斯基威胁溯源引擎——一款工具,用来分析恶意代码与已知威胁行为者部署的恶意代码的相似性),判断出该组织是这些攻击的幕后黑手。他们还将这个样本与300多个其他野外样本关联起来。
所有300个样本的出现时间都在2019年3月至2020年4月,平均每个月约20个样本,这凸显了CactusPete发展迅速的事实。事实上,该组织仍然在不断完善其能力,在2020年获得了更复杂的代码,例如 ShadowPad 的代码。
恶意有效载荷的功能表明该组织的目标是获取高度敏感的信息。一旦安装到受害者的设备上后,Bisonal 后门就允许攻击者静默启动各种程序、终止任何进程,上传/下载/删除文件,获取可用的驱动器列表。此外,随着操作者对受感染系统的深入,他们会部署键盘记录器来采集凭证,并下载权限升级的恶意软件,以逐渐获得对系统的控制权
不清楚在最新的这次攻击行动中,后门程序是如何最初下载到受害者设备上的。在过去,CactusPete主要依靠鱼叉式钓鱼攻击,邮件中包含恶意附件。如果附件被打开,那么设备就会被感染。
“CactusPete 是一个很有趣的 APT 组织,因为它事实上并不非常先进,包括其使用的 Bisonal 后门程序。他们的成功并非来自复杂的技术或复杂的传播和混淆策略,而是来自成功应用社交工程策略。他们能够成功感染高级目标,因为其受害者单击了网络钓鱼电子邮件并打开了恶意附件。这就是一个很好的例子,说明了为什么网络钓鱼仍然是发动网络攻击的有效方法,同时也说明了为什么公司为员工提供如何识别这类邮件的培训以及掌握最新的威胁情报的重要性,这样他们就可以识别高级威胁行为者了,”卡巴斯基资深安全研究员 Konstantin Zykov 评论说。
更多有关 CactusPete 的最新活动情况,请访问Securelist.
为了保护您的组织不受 CactusPete 以及其他 APT 的侵害,卡巴斯基专家建议:
- 为您的安全运营中心(SOC)团队提供对最新威胁情报的访问,了解威胁行为者和网络罪犯使用的最新工具、技术和策略。
- 为了实现端点级别的检测以及及时的事件调查和修复,请部署 EDR 解决方案,例如卡巴斯基端点检测和响应。
- 为您的员工提供基础网络安全卫生培训,因为很多针对性攻击都是从钓鱼攻击或其他社交工程手段开始的。进行模拟钓鱼攻击训练,确保员工知道如何分辨钓鱼邮件。
- 要快速将最新的恶意样本与已知的攻击行为者联系起来,请部署卡巴斯基威胁溯源引擎。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
