Kaspersky-jelentés az ipari szervezetek ellen támadásokról (2024 első negyedéve)

Az összefoglaló áttekintést nyújt a 2024 első negyedévében nyilvánosságra hozott, ipari vállalatok elleni APT- és pénzügyi támadásokról szóló jelentésekről, valamint a kritikus infrastrukturális létesítményeket támadó csoportok tevékenységéről.

Az év első hónapjaiban ismét a social engineering (adathalászat) és sebezhető eszközök kihasználása volt a leggyakoribb módszer a célszervezetekbe való behatolásra. A dél-koreai Nemzeti Hírszerző Szolgálat (NIS) például arra figyelmeztetett, hogy észak-koreai hackerek kiberkémkedési támadások célpontjai a hazai félvezetőgyártók. A NIS szerint ezek a támadások 2023 második felétől egészen a közelmúltig megnövekedtek, és az ismert hibák által sebezhető szervereket veszik célba a vállalati hálózatokhoz való kezdeti hozzáférés érdekében. A NIS úgy véli, hogy e kibertámadások célja olyan értékes műszaki információk gyűjtése, amelyeket Észak-Korea felhasználhat saját chipgyártási programjának fejlesztéséhez és katonai felszerelési igényeinek fedezéséhez.

A SideWinder néven ismert APT-szereplő az elmúlt hónapokban több száz támadást indított Ázsiában és Afrikában működő, magasan jegyzett szervezetek ellen. A legtöbb támadás egy spear-phishing e-mailben küldött Microsoft Word dokumentummal vagy egy LNK fájlt tartalmazó ZIP archívummal kezdődik. A csatolmány olyan eseményláncot indít el, amely a rosszindulatú szoftver által JavaScriptben és .NET-ben összeállított több köztes szakasz végrehajtásához vezet, és végül a rendszert egy .NET-ben kifejlesztett, csak a memóriában futó és egyedi csomagokkal ellátott töltőprogrammal feltöltött rosszindulatú implantátummal veszélyezteti.

A jelentés, amely ide kattintva érhető el angol nyelven, többek között a Voltzite, a RedCurl, az APT28 támadások, az orosz nyelvű és a Közel-Kelettel kapcsolatos tevékenységek részleteit is tartalmazza.