За последние два года шестнадцать групп продвинутых постоянных угроз (APT) атаковали организации на Ближнем Востоке, сосредоточив внимание на правительственных учреждениях, производственных компаниях и энергетической отрасли.

Согласно анализу, опубликованному в марте, участники APT в основном нацелены на организации в Саудовской Аравии, Объединенных Арабских Эмиратах и ​​Израиле и включают в себя хорошо известные группы, такие как Oilrig и Molerats, а также менее известные организации, такие как Bahamut и Hexane. 27 компания Positive Technologies, предоставляющая услуги кибербезопасности.

По словам исследователей, группы стремятся получить информацию, которая предоставит их государственным спонсорам политическое, экономическое и военное преимущество. Они задокументировали 141 успешную атаку, ответственность за которую можно было приписать этим группировкам.

«Компаниям следует обратить внимание на то, какую тактику и методы используют APT-группировки, атакующие регион», — говорит Яна Авезова, старший аналитик по информационной безопасности Positive Technologies. «Компании в ближневосточном регионе могут понять, как обычно работают эти группы, и соответствующим образом подготовиться к определенным шагам».

Фирма, занимающаяся кибербезопасностью, использовала свой анализ для определения наиболее популярных типов атак, используемых участниками APT, включая фишинг для первоначального доступа, шифрование и маскировку вредоносного кода, а также общение с использованием распространенных протоколов прикладного уровня, таких как Internet Relay Chat (IRC). или DNS-запросы.

Из 16 участников АПТ шесть групп, в том числе АТТ 35 и «Мозес Штаб», были связаны с Ираном, три группы, такие как «Молераты», были связаны с ХАМАС, а две группы были связаны с Китаем. Анализ охватывал только кибератаки со стороны групп, которые считались одновременно изощренными и постоянными, при этом Positive Technologies повысила статус некоторых групп (таких как «Мозес Стафф») до статуса APT, а не как группу хаактивистов.

«В ходе исследования мы пришли к выводу, что некоторые группы, отнесенные некоторыми поставщиками к категории хактивистов, на самом деле не являются хактивистскими по своей природе», в докладе говорится, добавив, что «после более глубокого анализа мы пришли к выводу, что атаки «Мозес Стафф» более изощренны, чем атаки хактивистов, и группа представляет большую угрозу, чем обычно представляют группы хактивистов».

Основные первоначальные векторы: фишинговые атаки, удаленная эксплуатация

Анализ сопоставляет различные методы, используемые каждой группой, со структурой MITRE AT&CK, чтобы определить наиболее распространенные тактики, используемые группами APT, действующими на Ближнем Востоке.

Наиболее распространенные тактики получения первоначального доступа включают фишинговые атаки, используемые 11 группами APT, и использование уязвимостей в общедоступных приложениях, которые использовали пять групп. Три группы также используют вредоносное ПО, развернутое на веб-сайтах в рамках атаки «водопой», нацеленной на посетителей, что также известно как атака с попутной загрузкой.

«Большинство APT-групп инициируют атаки на корпоративные системы с помощью целевого фишинга», — говорится в отчете. «Чаще всего это касается рассылок по электронной почте с вредоносным контентом. Помимо электронной почты, некоторые злоумышленники, такие как APT35, Bahamut, Dark Caracal, OilRig, используют для фишинговых атак социальные сети и мессенджеры».

Оказавшись внутри сети, все группы, кроме одной, собирали информацию об окружающей среде, включая операционную систему и оборудование, в то время как большинство групп (81%) также пересчитывали учетные записи пользователей в системе и собирали данные о конфигурации сети (69%), согласно данным отчет.

Хотя «жизнь за счет земли» стала серьезной проблемой среди специалистов по кибербезопасности, почти все злоумышленники (94%) загрузили дополнительные инструменты атаки из внешних сетей. В отчете говорится, что четырнадцать из 16 групп APT использовали протоколы прикладного уровня, такие как IRC или DNS, для облегчения загрузки.

Ориентирован на долгосрочный контроль

Группы APT обычно ориентированы на долгосрочный контроль над инфраструктурой, активизируясь в «геополитически решающий момент», говорится в отчете Positive Technologies. Чтобы предотвратить успех, компаниям следует обратить внимание на свою конкретную тактику, а также сосредоточиться на укреплении своих информационных и операционных технологий.

По словам Авезовой из Positive Technologies, инвентаризация и приоритезация активов, использование мониторинга событий и реагирования на инциденты, а также обучение сотрудников более осведомленным о проблемах кибербезопасности — все это критически важные шаги для долгосрочной безопасности.

«Короче говоря, важно придерживаться ключевых принципов кибербезопасности, ориентированной на результат», — говорит она, добавляя, что «первые шаги, которые необходимо предпринять, — это противодействие наиболее часто используемым методам атак».

Из 16 групп большинство атаковали организации в шести различных странах Ближнего Востока: 14 нацелены на Саудовскую Аравию; 12 ОАЭ; 10 Израиль; девять Иордании; и восемь нацелены на Египет и Кувейт.

В то время как правительство, промышленность и энергетика были наиболее частыми объектами атак, средства массовой информации и военно-промышленный комплекс все чаще становятся жертвами, говорится в отчете компании.

В докладе говорится, что в условиях растущего внимания к критически важным отраслям организации должны рассматривать кибербезопасность как важнейшую инициативу.

«Основной целью [должно быть] устранение возможности недопустимых событий — событий, которые мешают организации достичь своих операционных или стратегических целей или приводят к значительному нарушению ее основного бизнеса в результате кибератаки», — заявили в компании. говорится в сообщении компании. «Эти события определяются высшим руководством организации и закладывают основу для стратегии кибербезопасности».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east