Nowa kampania malware rosyjskiej grupy APT29
CSIRT CeZ ostrzega przed zintensyfikowanymi działaniami rosyjskiej grupy APT29.
APT29 to zaawansowana grupa powiązana z rosyjskimi służbami wywiadowczymi, specjalizująca się w cyberatakach ukierunkowanych na sektory krytyczne, w tym ochronę zdrowia. W najnowszej kampanii, grupa skupiła się na atakach phishingowych w Europie i na świecie wykorzystując zaawansowane techniki inżynierii społecznej oraz narzędzia zdalnego dostępu (RDP).
APT29 rozsyłała e-maile phishingowe podszywając się pod firmy takie jak Microsoft lub dostawców chmurowych (np.AWS). Wiadomości te zawierały pliki konfiguracyjne protokołu RDP (Remote Desktop Protocol), które po otwarciu łączyły komputery ofiar z serwerami kontrolowanymi przez atakujących.
Zagrożenia:
- Uzyskanie dostępu do danych przechowywanych lokalnie i w sieci
- Instalowanie malware, np. Trojanów zdalnego dostępu (RATs)
- Utrzymanie długoterminowego dostępu do systemów ofiar
Cele:
Grupa szczególnie interesuje się sektorem zdrowia, który przetwarza wrażliwe dane pacjentów oraz infrastrukturą krytyczną w Europie, Wielkiej Brytanii, Austrii i Japonii. Ich działania mają na celu kradzież danych oraz monitorowanie strategicznych sektorów gospodarczych.
Zalecenia dla organizacji:
- Wzmocnienie zabezpieczeń dostępu zdalnego – konfiguracja RDP i innych narzędzi musi być zgodna z najwyższymi standardami bezpieczeństwa
- Edukacja pracowników – regularne szkolenia w zakresie rozpoznawania prób phishingowych
- Zastosowanie uwierzytelniania wieloskładnikowego (MFA) – ogranicza to ryzyko wykorzystania skradzionych danych logowania
- Segmentacja systemów i izolacja krytycznych zasobów – w celu minimalizacji szkód w przypadku naruszenia
APT29 jest szczególnie niebezpieczna ze względu na swoje zaawansowane zdolności do ukrywania się i długotrwałego utrzymania w systemach ofiar, często pozostając niezauważoną przez wiele miesięcy.