Zestien geavanceerde persistente dreigingsgroepen (APT) hebben zich de afgelopen twee jaar gericht op organisaties in het Midden-Oosten met cyberaanvallen gericht op overheidsinstanties, productiebedrijven en de energie-industrie.

De APT-actoren hebben zich vooral gericht op organisaties in Saoedi-Arabië, de Verenigde Arabische Emiraten en Israël en omvatten bekende groepen zoals Oilrig en Molerats, maar ook minder bekende entiteiten zoals Bahamut en Hexane, volgens een analyse die in maart werd gepubliceerd. 27 door cyberbeveiligingsdienstenbedrijf Positive Technologies.

De groepen streven ernaar informatie te verkrijgen die hun staatssponsors een politiek, economisch en militair voordeel oplevert, aldus de onderzoekers. Ze documenteerden 141 succesvolle aanvallen die aan de groepen konden worden toegeschreven.

“Bedrijven moeten letten op de tactieken en technieken die APT-groepen die de regio aanvallen gebruiken”, zegt Yana Avezova, senior informatiebeveiligingsanalist bij Positive Technologies. “Bedrijven in het Midden-Oosten kunnen begrijpen hoe deze groepen doorgaans opereren en zich dienovereenkomstig op bepaalde stappen voorbereiden.”

Het cyberbeveiligingsbedrijf gebruikte zijn analyse om de meest populaire soorten aanvallen te bepalen die door de APT-actoren worden gebruikt, waaronder phishing voor initiële toegang, het coderen en camoufleren van hun kwaadaardige code, en communicatie met behulp van algemene applicatielaagprotocollen, zoals Internet Relay Chat (IRC). of DNS-verzoeken.

Van de 16 APT-actoren waren zes groepen – waaronder APT 35 en Moses Staff – verbonden met Iran, drie groepen – zoals Molerats – waren verbonden met Hamas, en twee groepen waren verbonden met China. De analyse had alleen betrekking op cyberaanvallen door groepen die als zowel geavanceerd als persistent werden beschouwd, waarbij Positive Technologies sommige groepen (zoals Moses Staff) tot de APT-status verhief, in plaats van als een hactivistische groep.

“Tijdens het onderzoek kwamen we tot de conclusie dat sommige van de groepen die door bepaalde leveranciers als hacktivisten worden gecategoriseerd, eigenlijk niet hacktivistisch van aard zijn,” het rapport vermeldde, eraan toevoegend dat “we na een meer diepgaande analyse tot de conclusie zijn gekomen dat Moses Staff-aanvallen geavanceerder zijn dan hacktivistische aanvallen, en dat de groep een grotere bedreiging vormt dan hacktivistische groepen doorgaans doen.”

Belangrijkste initiële vectoren: phishing-aanvallen, exploitatie op afstand

De analyse brengt de verschillende technieken die door elke groep worden gebruikt in kaart met het MITRE AT&CK Framework om de meest voorkomende tactieken te bepalen die worden gebruikt onder de APT-groepen die in het Midden-Oosten opereren.

De meest gebruikelijke tactieken om initiële toegang te verkrijgen zijn onder meer phishing-aanvallen – gebruikt door elf APT-groepen – en het misbruiken van kwetsbaarheden in openbare applicaties, die door vijf groepen werden gebruikt. Drie van de groepen gebruiken ook malware die op websites wordt ingezet als onderdeel van een watering-hole-aanval gericht op bezoekers in wat ook wel een drive-by download-aanval wordt genoemd.

“De meeste APT-groepen initiëren aanvallen op bedrijfssystemen met gerichte phishing”, aldus het rapport. “Meestal gaat het om e-mailcampagnes met kwaadaardige inhoud. Naast e-mail gebruiken sommige aanvallers – zoals APT35, Bahamut, Dark Caracal, OilRig – sociale netwerken en messengers voor phishing-aanvallen.”

Eenmaal binnen het netwerk verzamelden op één na alle groepen informatie over de omgeving, inclusief het besturingssysteem en de hardware, terwijl de meeste groepen (81%) ook de gebruikersaccounts op het systeem opsomden en netwerkconfiguratiegegevens verzamelden (69%), volgens de rapport.

Hoewel ‘leven van het land’ een grote zorg is geworden onder cyberbeveiligingsprofessionals, hebben bijna alle aanvallers (94%) aanvullende aanvalstools gedownload van externe netwerken. Veertien van de zestien APT-groepen gebruikten applicatielaagprotocollen – zoals IRC of DNS – om het downloaden te vergemakkelijken, aldus het rapport.

Gericht op controle op lange termijn

De APT-groepen zijn doorgaans gefocust op de controle op de lange termijn van de infrastructuur en worden actief tijdens een ‘geopolitiek cruciaal moment’, aldus Positive Technologies in het rapport. Om hun succes te voorkomen, moeten bedrijven letten op hun specifieke tactieken, maar zich ook concentreren op het verharden van hun informatie- en operationele technologie.

De inventarisatie en prioritering van activa, het gebruik van gebeurtenismonitoring en incidentrespons, en het trainen van medewerkers om zich meer bewust te zijn van cyberbeveiligingsproblemen zijn allemaal cruciale stappen voor beveiliging op de lange termijn, zegt Avezova van Positive Technologies.

“Kortom, het is belangrijk om vast te houden aan de belangrijkste principes van resultaatgerichte cyberbeveiliging”, zegt ze, en voegt eraan toe dat “de eerste stappen die moeten worden genomen het tegengaan van de meest gebruikte aanvalstechnieken zijn.”

Van de 16 groepen richtte de meerderheid zich op organisaties in zes verschillende landen in het Midden-Oosten: 14 richtten zich op Saoedi-Arabië; 12 de VAE; 10 Israël; negen Jordanië; en acht waren elk gericht op Egypte en Koeweit.

Hoewel overheid, productie en energie de sectoren zijn die het vaakst het doelwit zijn, zijn de massamedia en het militair-industriële complex steeds vaker doelwitten van slachtoffers, aldus het bedrijf in het rapport.

Nu organisaties zich steeds meer op kritieke sectoren richten, moeten organisaties cyberbeveiliging als een cruciaal initiatief beschouwen, aldus het rapport.

“[Het] primaire doel [zou moeten zijn] het elimineren van de mogelijkheid van niet-aanvaardbare gebeurtenissen – gebeurtenissen die een organisatie ervan weerhouden haar operationele of strategische doelen te bereiken of die leiden tot een aanzienlijke verstoring van haar kernactiviteiten als gevolg van een cyberaanval”, aldus het rapport. bedrijf vermeld in het rapport. “Deze gebeurtenissen worden gedefinieerd door het topmanagement van de organisatie en leggen de basis voor een cybersecuritystrategie.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east