Kelių įrenginių licencijos (tūrinės nuolaidos)
Threat Database Advanced Persistent Threat (APT) WindShift APT

WindShift APT

Autorius GoldSparrow, Advanced Persistent Threat (APT)
Versti į:
Lietuvių

Mitas, kad „Mac“ kompiuteriai negauna virusų, yra tik toks: mitas. Realybė tokia, kad „Mac“ virusai yra mažiau paplitę. Jie vis dar egzistuoja, tačiau įsilaužimo grupės neteikia jų kūrimo prioritetu. Tačiau kartais atsiranda tokia grupė kaip „WindShift“.

WindShift yra tai, kas laikoma APT (Advanced Persistent Threat). Tai yra grupės, apie kurias saugumo tyrinėtojai žino ir kurias stebi. APT infrastruktūra, įrankiai ir tikslai paprastai yra gerai žinomi, nes jie taip atidžiai tikrinami. Kai kurios grupės yra labiau slaptos ir gali veikti tyliai, nesekamos. Sunkiau stebėti tas grupes. „WindShift“ yra viena iš tų grupių ir, pasak tyrėjų, pradėjo veikti anksčiausiai nuo 2017 m.

„WindShift APT“ daugiausia dėmesio skiria žvalgybos operacijoms. Grupė bendradarbiauja su dideliais tikslais, tokiais kaip vyriausybės ir organizacijos, bet, atrodo, taip pat siekia konkrečių tikslų, pasirinktų iš anksto. Įdomus dalykas apie jų taikinius yra tai, kad jie atrodo visiškai nesusiję. Kibernetinio saugumo tyrinėtojai dar turi rasti vieną jungiamąjį ryšį tarp taikinių. „WindShift“ taip pat taiko kitokį požiūrį nei kitos grupės. Grupė taip stipriai nepasikliauja kenkėjiškomis programomis ir išpirkos programomis, kad gautų informaciją, kurios ieško, kaip tai daro kitos grupės. Vietoj to, šis APT naudoja sudėtingą socialinę inžineriją, kad subtiliai gautų duomenis iš taikinių. Daugelis taikinių net nesuvokia, kad kažkas negerai, kol nevėlu.

Būtent dėl šio pasikliovimo slaptumu grupė gali atlikti operacijas ilgą laiką nepagauta. „WindShift“ kampanijos truko kelis mėnesius. Ekspertai teigia, kad kai kurie WindShift taikiniai buvo stebimi keletą mėnesių, kol grupė pradėjo bet kokias įsilaužimo operacijas. „WindShift“ tai daro naudodama netikras socialinės žiniasklaidos paskyras, rengdama diskusijas su taikiniais susijusiomis temomis ir kurdama patrauklų turinį iš netikrų publikacijų. Jie susisiekia su savo taikiniais, kad pelnytų pasitikėjimą ir palengvintų tikrąjį puolimo etapą.

Grupė taip pat naudoja daugybę analitinių įrankių, kad galėtų tirti ir stebėti asmenis, įskaitant jų naršymo įpročius ir pomėgius. Jie gali panaudoti šią informaciją siekdami tęsti savo socialinės inžinerijos kampanijas ir įgyti dar daugiau žinių. „WindShift“ naudojo viešai prieinamus įrankius ir komunalines paslaugas, kurias sukūrė patys. Vienas iš būdų, kaip grupė renka informaciją apie tai, kas patinka, yra siųsti jiems nuorodas į teisėtus tinklalapius.

Įsilaužėliai bandys gauti prisijungimo duomenis iš taikinio, kai turės pakankamai informacijos, su kuria galėtų dirbti. Grupė naudojo Apple iCloud ir Gmail, be kita ko, siekdama gauti kredencialus iš savo taikinių. Grupė savo tikslinei grupei siunčia pranešimą, įspėjantį, kad reikia iš naujo nustatyti slaptažodį. Tikslas siunčiamas į puslapį, kuris atrodo teisėtas, bet yra suklastotas atkūrimo puslapis, skirtas informacijai pavogti. Jei taikinys nepatenka į triuką, „WindShift“ pereina prie įsilaužimo įrankių, kad gautų norimą informaciją.

Be viešai prieinamų įrankių, „Windshift“ sukūrė keletą pasirinktinių įsilaužimo įrankių ir grėsmių, tokių kaip:

  • WindDrop – Trojos arklys, skirtas Windows sistemoms, pirmą kartą pastebėtas 2018 m.
  • WindTail – kenkėjiška programa, sukurta OSX sistemoms, renkanti konkrečius failų tipus arba failus, turinčius tam tikrus pavadinimus, atitinkančius jos kriterijus. Jis taip pat gali įkelti į pažeistą sistemą papildomų kenkėjiškų programų.
  • WindTape – užpakalinių durų Trojos arklys, sukurtas OSX sistemoms, galintis daryti ekrano kopijas.

Šie įrankiai turi tam tikrų išplėstinių galimybių, pavyzdžiui, gali manipuliuoti DNS nustatymais ir siųsti vartotojus į skirtingus tinklalapius. „WindShift“ gali valdyti pažeistų sistemų interneto ryšius ir siųsti juos į kitas svetaines. Šios svetainės sukurtos taip, kad atrodytų kaip tikros, ir yra naudojamos norint gauti prisijungimo duomenis ir papildomą informaciją iš taikinių.

„WindShift APT“ neabejotinai yra viena iš labiausiai neįprastų įsilaužimo grupių. Grupė turi kitokį požiūrį į savo taikinius ir atakas nei kiti žinomi APT. Grupė labai priklauso nuo socialinės inžinerijos ir pirmiausia taikosi į Mac kompiuterius. Dėl to jie yra tokia mįslė įsilaužimo pasaulyje. Saugumo tyrinėtojai vis dar bando išsiaiškinti savo veiklos procedūras ir motyvus. Vis dėlto grupė neabejotinai įrodo, kad jūsų „Mac“ nėra toks atsparus virusams, kaip jūs manote.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
14,963
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...