Mười sáu nhóm đe dọa liên tục nâng cao (APT) đã nhắm mục tiêu vào các tổ chức ở Trung Đông trong hai năm qua với các cuộc tấn công mạng tập trung vào các cơ quan chính phủ, công ty sản xuất và ngành năng lượng.
Theo một phân tích được công bố vào tháng 27, các tác nhân APT chủ yếu nhắm mục tiêu vào các tổ chức ở Ả Rập Saudi, Các Tiểu vương quốc Ả Rập Thống nhất và Israel, đồng thời bao gồm các nhóm nổi tiếng như Oilrig và Molerats, cũng như các thực thể ít được biết đến hơn như Bahamut và Hexane. XNUMX bởi công ty dịch vụ an ninh mạng Positive Technologies.
Các nhà nghiên cứu cho biết, các nhóm này nhằm mục đích thu thập thông tin giúp các nhà tài trợ nhà nước của họ có lợi thế về chính trị, kinh tế và quân sự. Họ đã ghi lại 141 cuộc tấn công thành công có thể do các nhóm thực hiện.
Yana Avezova, nhà phân tích bảo mật thông tin cấp cao tại Positive Technologies, cho biết: “Các công ty nên chú ý đến những chiến thuật và kỹ thuật mà các nhóm APT tấn công khu vực đang sử dụng”. “Các công ty ở khu vực Trung Đông có thể hiểu cách các nhóm này thường hoạt động và chuẩn bị cho các bước nhất định cho phù hợp”.
Công ty an ninh mạng đã sử dụng phân tích của mình để xác định các loại tấn công phổ biến nhất được các tác nhân APT sử dụng, bao gồm lừa đảo để truy cập ban đầu, mã hóa và ngụy trang mã độc hại của chúng cũng như liên lạc bằng các giao thức lớp ứng dụng phổ biến, chẳng hạn như Internet Relay Chat (IRC) hoặc các yêu cầu DNS.
Trong số 16 thành viên APT, sáu nhóm – bao gồm APT 35 và Moses Staff – có liên hệ với Iran, ba nhóm – chẳng hạn như Molerats – có liên kết với Hamas và hai nhóm có liên kết với Trung Quốc. Phân tích chỉ đề cập đến các cuộc tấn công mạng của các nhóm được coi là vừa tinh vi vừa dai dẳng, trong đó Công nghệ Tích cực đã nâng một số nhóm (chẳng hạn như Nhân viên Moses) lên trạng thái APT, thay vì là nhóm theo chủ nghĩa hactivist.
“Trong quá trình nghiên cứu, chúng tôi đã đi đến kết luận rằng một số nhóm được một số nhà cung cấp phân loại là những kẻ tấn công không thực sự là những kẻ tấn công” báo cáo đã nêu, nói thêm rằng “sau khi phân tích sâu hơn, chúng tôi đã đi đến kết luận rằng các cuộc tấn công của Nhân viên Moses phức tạp hơn các cuộc tấn công của những kẻ tấn công và nhóm này gây ra mối đe dọa lớn hơn những nhóm tấn công thường làm”.
Các vectơ ban đầu hàng đầu: Tấn công lừa đảo, khai thác từ xa
Phân tích ánh xạ các kỹ thuật khác nhau được mỗi nhóm sử dụng vào Khung MITER AT&CK để xác định các chiến thuật phổ biến nhất được sử dụng trong các nhóm APT hoạt động ở Trung Đông.
Các chiến thuật phổ biến nhất để có được quyền truy cập ban đầu bao gồm các cuộc tấn công lừa đảo – được 11 nhóm APT sử dụng – và khai thác các lỗ hổng trong các ứng dụng công khai được XNUMX nhóm sử dụng. Ba trong số các nhóm này cũng sử dụng phần mềm độc hại được triển khai trên các trang web như một phần của cuộc tấn công Watering Hole nhắm vào khách truy cập trong cái còn được gọi là cuộc tấn công theo từng lần tải xuống.
Báo cáo cho biết: “Hầu hết các nhóm APT đều bắt đầu các cuộc tấn công vào hệ thống của công ty bằng hành vi lừa đảo có chủ đích”. “Thông thường, điều này liên quan đến các chiến dịch email có nội dung độc hại. Bên cạnh email, một số kẻ tấn công — chẳng hạn như APT35, Bahamut, Dark Caracal, OilRig — sử dụng mạng xã hội và trình nhắn tin để tấn công lừa đảo.”
Khi ở trong mạng, tất cả trừ một nhóm đều thu thập thông tin về môi trường, bao gồm hệ điều hành và phần cứng, trong khi hầu hết các nhóm (81%) cũng liệt kê tài khoản người dùng trên hệ thống và thu thập dữ liệu cấu hình mạng (69%), theo báo cáo.
Trong khi “sống ngoài đất liền” đã trở thành mối quan tâm lớn của các chuyên gia an ninh mạng, gần như tất cả những kẻ tấn công (94%) đã tải xuống các công cụ tấn công bổ sung từ mạng bên ngoài. Báo cáo cho biết 16 trong số XNUMX nhóm APT đã sử dụng các giao thức lớp ứng dụng – chẳng hạn như IRC hoặc DNS – để tạo điều kiện thuận lợi cho việc tải xuống.
Tập trung vào kiểm soát dài hạn
Báo cáo của Positive Technologies nêu rõ trong báo cáo rằng các nhóm APT thường tập trung vào việc kiểm soát cơ sở hạ tầng lâu dài, hoạt động tích cực vào “thời điểm quan trọng về mặt địa chính trị”. Để ngăn chặn thành công của mình, các công ty nên chú ý đến các chiến thuật cụ thể của mình, đồng thời cũng tập trung vào việc củng cố thông tin và công nghệ vận hành.
Avezova của Positive Technologies cho biết, việc kiểm kê và sắp xếp thứ tự ưu tiên của tài sản, sử dụng tính năng giám sát sự kiện và ứng phó sự cố cũng như đào tạo nhân viên để nhận thức rõ hơn về các vấn đề an ninh mạng đều là những bước quan trọng để đảm bảo an ninh lâu dài.
Cô nói: “Nói tóm lại, điều quan trọng là phải tuân thủ các nguyên tắc chính của an ninh mạng dựa trên kết quả,” đồng thời nói thêm rằng “các bước đầu tiên cần thực hiện là chống lại các kỹ thuật tấn công được sử dụng phổ biến nhất”.
Trong số 16 nhóm, phần lớn nhắm vào các tổ chức ở sáu quốc gia Trung Đông khác nhau: 14 nhóm nhắm vào Ả Rập Saudi; 12 UAE; 10 Y-sơ-ra-ên; chín Jordan; và tám mục tiêu nhắm vào Ai Cập và Kuwait.
Trong báo cáo, công ty cho biết trong khi chính phủ, sản xuất và năng lượng là những lĩnh vực được nhắm mục tiêu phổ biến nhất, thì các phương tiện thông tin đại chúng và tổ hợp công nghiệp-quân sự đang là mục tiêu nạn nhân ngày càng phổ biến.
Báo cáo nêu rõ, với việc nhắm mục tiêu ngày càng tăng vào các ngành công nghiệp quan trọng, các tổ chức nên coi an ninh mạng là một sáng kiến quan trọng.
“[T]mục tiêu chính của anh ấy [nên là] loại bỏ khả năng xảy ra các sự kiện không thể chấp nhận được - những sự kiện ngăn cản một tổ chức đạt được các mục tiêu hoạt động hoặc chiến lược của mình hoặc dẫn đến sự gián đoạn đáng kể trong hoạt động kinh doanh cốt lõi của tổ chức do một cuộc tấn công mạng,” công ty nêu trong báo cáo. “Những sự kiện này được ban lãnh đạo cấp cao của tổ chức xác định và đặt nền tảng cho chiến lược an ninh mạng.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east
