Как действуют APT-группировки в Юго-Восточной Азии

В отчете представлены результаты исследования тактик и техник 20 APT-группировок, атаковавших государственные и коммерческие организации в странах Юго-Восточной Азии в период с января 2020 года по апрель 2024 года. Со списком APT-группировок вы можете ознакомиться в конце отчета. Он не является исчерпывающим, поскольку основан только на данных из открытых авторитетных источников и собственной экспертизе компании Positive Technologies.

Тактики и техники группировок описаны в терминах MITRE ATT&CK Matrix for Enterprise (версия 14.1). В тексте даны ссылки на подробное описание упоминаемых техник. В отчете вы также можете найти примеры использования некоторых подтехник, ссылки на них указаны в скобках в виде идентификатора (например, T1566.001).

В приложении к отчету приведена тепловая карта тактик и техник. География APT-атак, на базе которых составлена тепловая карта, ограничена странами — членами Ассоциации государств Юго-Восточной Азии (АСЕАН): Бруней, Вьетнам, Индонезия, Камбоджа, Лаос, Малайзия, Мьянма, Таиланд, Сингапур, Филиппины.

Исследование выполнено с целью обратить внимание компаний, интересующихся современным состоянием информационной безопасности, на наиболее актуальные тактики и техники APT-атак против организаций в государствах Юго-Восточной Азии. Термины, которые мы использовали в исследовании, приведены в глоссарии на сайте Positive Technologies.

• Топ-5 государств Юго-Восточной Азии по количеству атакующих их APT-группировок: Филиппины (85%), Вьетнам (85%), Таиланд (70%), Малайзия (70%) и Индонезия (60%). Активность киберпреступников во многом обусловлена территориальными спорами в Южно-Китайском море между странами АСЕАН и Китаем, а также противостоянием Китая и США за лидерство в регионе.
• Все APT-группировки, действующие в Юго-Восточной Азии, атакуют государственные организации. Под ударом также телекоммуникационные компании и военно-промышленный комплекс. Их атакуют 60% и 50% APT-группировок соответственно.
• Три четверти рассмотренных APT-группировок начинают кибератаки с фишинговых рассылок, 50% APT-группировок эксплуатируют уязвимости в общедоступных системах, например в серверах Microsoft Exchange.
• Во избежание обнаружения все APT-группировки стремятся использовать в атаках легитимные инструменты, которые уже есть в скомпрометированной системе (инструменты living off the land). Это позволяет им маскировать свои действия под действия IT-персонала.
• 70% APT-группировок используют в атаках Cobalt Strike — коммерческое ПО, которое создавалось как инструмент для тестирования на проникновение, но в настоящее время активно эксплуатируется злоумышленниками благодаря обширным функциональным возможностям.
• Каждая вторая APT-группировка применяет в атаках известный троян PlugX. В числе других популярных вредоносных программ — троян ShadowPad и веб-шелл China Chopper, их используют 35% APT-группировок. Эти вредоносные программы характерны для киберпреступных групп, которые различные исследователи относят к китайским.

Юго-Восточная Азия является важной территорией как с точки зрения мировой экономики, так и с точки зрения геополитики. Роль института, поддерживающего политическую стабильность и безопасность в регионе, выполняет Ассоциация стран Юго-Восточной Азии (АСЕАН). В нее входят десять государств: Бруней, Вьетнам, Индонезия, Камбоджа, Лаос, Малайзия, Мьянма, Таиланд, Сингапур, Филиппины. Это одна из крупнейших региональных организаций: общая площадь стран-членов составляет 4,5 млн км², а численность населения, согласно данным за 2024 год, превышает 683 млн человек. Сегодня совокупный номинальный ВВП АСЕАН оценивается в 4,16 трлн $ США, основная доля которого формируется за счет Индонезии, Таиланда и Сингапура.

Пандемия COVID-19 оказала серьезное влияние на темпы развития экономики в Юго-Восточной Азии. В 2020 году, впервые после Азиатского финансового кризиса 1997–1998 годов, средний темп роста ВВП в странах АСЕАН был отрицательным. В период локдауна остро проявилась проблема недоступности цифровых технологий для большинства населения. По данным АСЕАН за 2020 год, только 53% сельских детей и подростков в регионе имели возможность выйти в интернет из дома, а в Камбодже, Лаосе и Мьянме к широкополосному интернету были подключены менее 5% домов.

Кризис стал катализатором начала технологической и цифровой трансформации региона. На 37-м саммите АСЕАН в 2020 году лидеры приняли «Рамочную программу комплексного восстановления» (ASEAN Comprehensive Recovery Framework). Помимо планов по восстановлению ключевых секторов экономики и поддержке уязвимых групп населения, пострадавших от пандемии, программа рассматривает необходимость ускорения цифровой трансформации. Основные проблемы, с которыми столкнулись страны Юго-Восточной Азии на пути к диджитализации, — это разрыв между городом и сельской местностью, высокая стоимость интернета и отсутствие достаточной нормативной базы. Силами АСЕАН был разработан ряд программ, стратегий и инициатив, направленных на расширение зоны покрытия широкополосного и мобильного интернета, обучение населения необходимым цифровым навыкам, создание безопасных цифровых сервисов, в том числе электронных государственных услуг.

Сегодня цифровая трансформация в Юго-Восточной Азии идет полным ходом. Сингапур, Малайзия, Таиланд, Вьетнам, Филиппины и Индонезия стали основными движущими силами внедрения новых технологий в регионе. В 2023 году, согласно отчету e-Conomy SEA 2023, показатель GMV¹ в Юго-Восточной Азии был оценен в 218 млрд $ США. Для сравнения: в 2021 году GMV составил 161 млрд $ США. Ожидается, что к 2030 году его значение приблизится к отметке в 1 трлн $ США. Доходы от цифровой экономики в Юго-Восточной Азии в 2023 году оцениваются в 100 млрд $ США, что в 1,7 раза больше, чем в 2021 году. Основной вклад в этот рост вносят электронная коммерция, туризм и СМИ. По состоянию на начало 2024 года уровень проникновения интернета в регионе превысил 70% во всех странах, за исключением Лаоса, Мьянмы и Восточного Тимора.

Для жителей Юго-Восточной Азии, особенно для молодежи, цифровые технологии изменили повседневную жизнь — способы покупки товаров, получения финансовых услуг, взаимодействия с правительством. Быстрый рост цифровой экономики в Юго-Восточной Азии открывает ряд возможностей для бизнеса и правительств. В то же время по мере роста цифрового потенциала региона растет и число кибератак. Об актуальных киберугрозах для стран Азии, в том числе Юго-Восточной, мы рассказывали ранее в одном из наших отчетов.

Уровень киберзрелости стран Юго-Восточной Азии сильно варьируется и напрямую зависит от политического и экономического развития того или иного государства. Так, Мьянма, долгие годы находившаяся в условиях политической изоляции и военных конфликтов, сегодня занимает одно из самых низких мест как по показателям развития цифровой экономики, так и по индексу кибербезопасности. Наиболее высоких индексов кибербезопасности достигли сильнейшие экономические игроки региона — Малайзия и Сингапур.

В Малайзии действуют Национальное агентство кибербезопасности (NACSA) и агентство CyberSecurity Malaysia (CSM). Начиная с 2008 года CSM проводит учения по кибербезопасности X-Maya. Активно развивается нормативная база в области кибербезопасности. В июне 2023 года агентство CSM выпустило дорожную карту развития на ближайшие пять лет — The Cyber Security Technology Roadmap: Cybersecurity Malaysia Framework 2024–2029. В апреле 2024 года был принят новый законопроект о кибербезопасности, направленный на повышение киберустойчивости критически значимой информационной инфраструктуры страны.

В Сингапуре действует Агентство кибербезопасности CSA. Оно тесно сотрудничает с государствами — членами АСЕАН в вопросах создания регионального центра реагирования на инциденты информационной безопасности (CERT). В сентябре 2023 года в Сингапуре состоялись пятые киберучения Exercise Cyber ​​Star (XCS23), в ходе которых были отработаны всевозможные сценарии атак, включая атаки на объекты критически значимой инфраструктуры. В целях укрепления регионального сотрудничества в июле 2023 года на военно-морской базе Чанги в Сингапуре открылась штаб-квартира Центра передового опыта в области кибербезопасности и информации (ACICE), одна из важнейших задач которого — раннее информирование о киберугрозах.

На уровень киберпреступности в регионе напрямую влияют актуальные геополитические проблемы. Межгосударственная конкуренция неминуемо проявляется в киберпространстве, становясь причиной сложных, тщательно спланированных целенаправленных кибератак. Такие атаки называют APT-атаками. Их совершают группы профессиональных киберпреступников, называемые APT-группировками. Проникнув в сеть организации-жертвы, APT-группировка может сохранять свое присутствие в ней в течение нескольких месяцев и даже лет, собирая разведданные. Последствия APT-атак могут затронуть экономику страны, критически значимую информационную инфраструктуру и национальную безопасность.

В пятерку лидеров по количеству атакующих их APT-группировок входят Филиппины (85%), Вьетнам (85%), Таиланд (70%), Малайзия (70%) и Индонезия (60%). Во многом активность киберпреступников здесь обусловлена территориальными спорами в Южно-Китайском море между членами АСЕАН и Китаем.

По мнению некоторых исследователей, кибератаки на государственные организации и военно-промышленный комплекс Филиппин якобы со стороны Китая усилились после того, как в 2022 году к власти пришел новый президент, вступивший в прочный альянс с США. Некоторые кибератаки были приурочены к крупным американо-филиппинским военным учениям вблизи оспариваемой отмели Скарборо. В августе 2023 года на фоне обострения напряженности в отношениях между Филиппинами и Китаем APT-группа Mustang Panda провела кибератаки, направленные против организаций в южной части Тихого океана, в результате которых было скомпрометировано госучреждение на Филиппинах. В феврале текущего года киберпреступники пытались взломать веб-сайты и электронную почту президента Филиппин и правительственных учреждений, одно из которых занимается вопросами морской безопасности, но потерпели неудачу. В июне 2023 года Коллегия национальной обороны Филиппин заявила, что спонсируемые разными государствами операции представляют серьезную угрозу для коммерческих и правительственных учреждений. Страна недавно опубликовала обновленную политику национальной безопасности для реагирования на киберугрозы, а военные объявили о создании киберкомандования для обеспечения безопасности и защиты военных систем от кибератак.

Вьетнам разделяет с Филиппинами первое место по числу атакующих страну APT-группировок: его атакуют 85% рассмотренных нами групп. Среди наиболее активных APT-группировок здесь можно выделить APT41, Mustang Panda, Sharp Panda, Dark Pink и ToddyCat.

Более половины (60%) рассмотренных APT-группировок атакуют Индонезию. Здесь, как и в других странах Юго-Восточной Азии, идет переход на цифровую экономику, активно развиваются электронная коммерция и финтех. Однако уровень цифровой грамотности населения все еще остается невысоким, а расходы Индонезии на кибербезопасность в процентах от ВВП (0,02%) являются самыми низкими в Юго-Восточной Азии. Государство расположено между двумя континентами на пересечении множества торговых путей и обладает крупными запасами природных ресурсов, что делает его привлекательным для злоумышленников. Интерес киберпреступников в Индонезии в первую очередь направлен на промышленные предприятия: строительные, горнодобывающие, авиационные. Злоумышленники стремятся использовать уязвимости в производственной инфраструктуре для разных целей, включая нанесение экономического ущерба и кражу интеллектуальной собственности.

Все рассмотренные нами APT-группировки, действующие в Юго-Восточной Азии, атакуют государственные учреждения, половина APT-группировок проводят кибератаки против военно-промышленного комплекса. 

Как показали результаты опроса, проведенного сингапурским исследовательским центром ISEAS — Yusof Ishak Institute, некоторые государства — члены АСЕАН, в частности Вьетнам и Филиппины, склонны поддерживать США, в то время как другие, например Мьянма и Индонезия, предпочитают полагаться на торговое сотрудничество с Китаем и его инвестиции. Сегодня Китай — торговый партнер номер один для половины стран АСЕАН (Индонезии, Малайзии, Мьянмы, Сингапура и Таиланда) и стремится к еще большему расширению своего влияния в регионе, действуя в том числе через киберпространство. Осенью 2023 года команда реагирования на инциденты Unit 42 компании Palo Alto Networks обнаружила инфраструктуру китайских APT-группировок, замаскированную под облачные службы резервного копирования. Исследователи выяcнили, что к этой инфраструктуре регулярно подключались как минимум 24 правительственные организации Камбоджи. Эксперты считают, что эти организации стали жертвами долгосрочной кампании по кибершпионажу со стороны Китая, с которым у Камбоджи сложились довольно прочные дипломатические и экономические связи.

На протяжении многих лет APT-группировки атакуют поставщиков телекоммуникационных услуг по всему миру, и Юго-Восточная Азия не исключение. Телекоммуникационные компании привлекают злоумышленников, потому что они отвечают за интернет, телефонные сети и спутниковые системы. Получив доступ к оператору связи, киберпреступники могут воспользоваться им для дестабилизации ситуации в момент обострения геополитического конфликта. Кроме того, кибершпионы взламывают провайдеров, чтобы получить доступ к конфиденциальной информации их клиентов и использовать ее для дальнейших атак. В Юго-Восточной Азии эту отрасль атакуют 60% действующих APT-группировок.

Телекоммуникации находятся под пристальным вниманием злоумышленников в том числе благодаря распространению в регионе технологии 5G. Согласно прогнозу компании Ericsson, число абонентов 5G в Юго-Восточной Азии и Океании вырастет с 57 млн в 2023 году до 548 млн к 2029 году. Поскольку темпы внедрения новых технологий в Юго-Восточной Азии выше темпов развития кибербезопасности, быстрое развертывание телекоммуникаций 5G может привести к росту числа кибератак на эту отрасль. Из-за опасений по поводу кибершпионажа со стороны других стран некоторые государства, например Вьетнам, отказываются от использования зарубежного сетевого оборудования и развивают собственную инфраструктуру 5G с использованием электроники отечественных производителей.

APT-атаки представляют серьезную угрозу безопасности не только для отдельных организаций, но и для всего государства, особенно если их инициаторами являются профессиональные группы киберпреступников. В этом разделе мы подробно рассмотрим, как действуют APT-группировки, целями которых неоднократно становились организации в Юго-Восточной Азии. Мы будем описывать действия APT-группировок, придерживаясь терминологии MITRE ATT&CK. Наиболее распространенные тактики, техники и подтехники проиллюстрированы примерами из последних публично раскрытых киберкампаний.

До начала активной фазы вторжений в организации киберпреступники готовят плацдарм. Прежде всего речь идет о создании инфраструктуры, необходимой для управления и контроля за ходом атаки (Acquire Infrastructure, Compromise Infrastructure). Например, группа Earth Lusca для построения инфраструктуры в киберкампании, направленной против множества азиатских организаций, использовала скомпрометированные веб-серверы (T1584.004) и виртуальные выделенные серверы (T1583.003), арендованные у провайдера Vultr. Группа регистрировала домены (Т1583.001) для создания фейковых страниц и размещения на них вредоносных нагрузок, чтобы проводить атаки типа watering hole.

APT-группировки приобретают различные ресурсы и инструменты, необходимые им во время атаки (Obtain Capabilities). Помимо вредоносного ПО, это могут быть легитимные программы, причем как бесплатные, так и коммерческие. Некоторые злоумышленники дорабатывают общедоступные инструменты с учетом своих потребностей. Например, группы APT10, Gallium, GhostEmperor модифицировали ряд утилит во избежание их обнаружения средствами защиты. Чтобы выдать вредоносное ПО за легитимное, киберпреступники приобретают сертификаты для подписи кода (T1588.003). Например, для подписи загрузчиков XDealer группа Earth Krahang использовала сертификаты, выпущенные компанией GlobalSign. Исследователи Trend Micro предполагают, что они могли быть украдены у их законных владельцев. Злоумышленники похищают сертификаты самостоятельно либо покупают их на теневых форумах.

На этапе разведки злоумышленники стараются собрать как можно больше информации о целевой организации (Gather Victim Org Information) и ее сотрудниках (Gather Victim Identity Information). С целью предварительного сбора информации о жертве некоторые группы, например Mustang Panda, APT32 и SideWinder, проводят фишинговые рассылки (Phishing for Information). Так, группа SideWinder рассылала письма со ссылками, ведущими на фишинговые сайты для кражи паролей. В дальнейшем украденные учетные данные сотрудников могли использоваться для первоначального проникновения в организации жертв (Valid Accounts).

Собранная во время разведки информация может оказаться полезной для атакующих при составлении текста писем с вредоносными вложениями или ссылками. На этапе получения первоначального доступа фишинговые рассылки (Phishing) — это самая распространенная техника, ее используют 75% рассмотренных нами APT-группировок.

Заголовки писем и названия вложений могут отражать геополитическую тематику, а сами фишинговые кампании бывают привязаны по времени к значимым для региона событиям. Например, группа Mustang Panda практикует рассылки, связанные с саммитами АСЕАН. В феврале 2022 года в кампании, направленной против стран Юго-Восточной Азии, группа использовала вредоносные вложения с названием ASEAN Leaders'Meeting.exe. В марте 2024 года группа проводила фишинговые рассылки, приуроченные к саммиту ASEAN-Australia Special Summit.

Некоторые злоумышленники проводят фишинговые рассылки, используя ранее скомпрометированные адреса электронной почты или документы, украденные у предыдущих жертв, что значительно повышает шансы на успешную доставку и чтение вредоносных писем. Например, группа Earth Krahang использовала взломанную учетную запись электронной почты госучреждения для рассылки фишинговых писем правительствам других стран. Группа Mustang Panda рассылала фишинговые письма в организации Мьянмы, используя в качестве приманки документы на бирманском языке. По предположению экспертов Trend Micro, эти документы могли быть ранее похищены из других организаций Мьянмы.

Вторая по популярности техника получения первоначального доступа связана с эксплуатацией уязвимостей общедоступных серверов (Exploit Public-Facing Application). Ее использует каждая вторая APT-группировка, атакующая страны Юго-Восточной Азии. Предварительно злоумышленники осуществляют активное сетевое сканирование (Active Scanning) для поиска потенциальных точек проникновения. Группа Earth Krahang, нацеленная на правительственные организации в Юго-Восточной Азии, использует целый арсенал инструментов для сканирования: sqlmap, kernel, xray, vscan, pocsuite и wordpressscan. Злоумышленники выполняют рекурсивный поиск в каталогах .git и .idea, перебирают каталоги в поисках файлов с путями или учетными данными (Т1595.003), проверяют поддомены с целью найти интересные и возможно необслуживаемые серверы с уязвимостями (Т1595.002). Группа APT41 также использует множество различных программ для активного сканирования. В их числе утилиты для перебора каталогов на веб-серверах, сетевой сканер Nmap, сканер уязвимостей Acunetix, инструмент JexBoss для поиска и эксплуатации уязвимостей в Jbos и других Java-приложениях.

Один из векторов APT-группировок, атакующих Юго-Восточную Азию, связан с поиском и взломом непропатченных серверов Microsoft Exchange. Почтовый сервер Microsoft Exchange используют сотни тысяч компаний по всему миру. Популярность и доступность из интернета делают его привлекательной целью для злоумышленников. Уязвимости в Exchange эксплуатируют не менее 30% APT-группировок, атакующих Юго-Восточную Азию. В 2022 году APT-группа ToddyCat скомпрометировала несколько организаций в азиатских странах, используя цепочку критически опасных уязвимостей в Microsoft Exchange, известную под общим названием ProxyLogon. В 2023 году группировка Earth Lusca атаковала правительственные ведомства и телекоммуникационные компании в странах Юго-Восточной Азии, эксплуатируя связку уязвимостей ProxyShell в Microsoft Exchange.

Ряд APT-группировок (30%) в качестве первоначального вектора выбирают атаки watering hole. Они размещают скрипты на веб-сайтах, которые незаметно загружают вредоносные программы на компьютеры посетителей этих сайтов (Drive-by Compromise). В качестве приманок злоумышленники могут использовать взломанные профильные ресурсы либо создавать собственные сайты, имитирующие какие-либо реально существующие страницы, на которые часто заходят потенциальные жертвы. Так, летом 2021 года специалисты компании ESET обнаружили, что группа Mustang Panda взломала сайт канцелярии президента Мьянмы и внедрила загрузчик Cobalt Strike в пакет шрифтов, доступный для загрузки на главной странице сайта.

Чтобы не потерять присутствие в инфраструктуре жертвы, злоумышленники должны быть уверены, что даже после перезагрузки операционной системы или смены паролей их доступ к системе сохранится. Только так они смогут контролировать скомпрометированную среду и продвигаться по инфраструктуре дальше в поисках ценной информации.

Три четверти APT-группировок закрепляют свое присутствие в скомпрометированной системе, запуская вредоносный код в контексте легитимного процесса путем перехвата потока управления (Hijack Execution Flow). Два наиболее популярных метода основаны на загрузке в контексте легитимных приложений вредоносных динамических библиотек (DLL). Так, каждая пятая группа использует подтехнику, связанную с последовательностью поиска и загрузки DLL в Windows (T1574.001). Злоумышленники помещают вредоносную библиотеку в директорию, которую операционная система проверяет раньше, чем ту, где находится легитимная DLL. Таким образом, при запуске приложения вместо легитимной библиотеки загружается вредоносная, что позволяет атакующим выполнять свой код на компьютере жертвы. Другой популярный подход — когда злоумышленники доставляют на компьютер жертвы легитимное приложение и вредоносную DLL, размещают их в одном каталоге, после чего запускают это приложение, добиваясь таким образом исполнения кода вредоносной DLL в контексте легитимного процесса (T1574.002). Подтехника позволяет избежать зависимости от установленного в инфраструктуре ПО, именно поэтому она очень популярна: ее применяют 70% рассмотренных нами APT-группировок. В их числе, например, группа Lancefly. Ее бэкдор Merdoor для закрепления использует старые версии различных легитимных программ, которые доставляются в SFX-архиве вместе с загрузчиком и полезной нагрузкой.

Еще одна распространенная техника закрепления связана с использованием планировщика заданий (Scheduled Task/Job). Он позволяет запускать вредоносный код каждый раз при старте системы или по расписанию в определенное время. Создать запланированную задачу можно с помощью системной утилиты schtasks. Эту технику используют 75% APT-группировок, атакующих страны Юго-Восточной Азии.

Чтобы закрепиться в целевом окружении, 65% группировок настраивают автозагрузку программ (Boot or Logon Autostart Execution). Они добавляют вредоносное ПО в раздел Run реестра или в каталог Startup («Автозагрузка») (T1547.001), что обеспечивает выполнение вредоносного кода каждый раз при включении операционной системы. Группы Dark Pink и APT23 изменяют разделы реестра, используемые компонентом Winlogon.exe (T1547.004). Он обрабатывает различные события: вход в систему, загрузка профиля пользователя во время аутентификации, завершение работы, блокировка. Модификация соответствующих разделов реестра приводит к тому, что эти события становятся триггером для выполнения вредоносной полезной нагрузки, обеспечивая тем самым закрепление в системе. Киберпреступники могут добавлять новые ключи реестра или изменять существующие для установки вредоносного ПО в качестве обработчиков печати (T1547.012). Обработчики печати — это библиотеки DLL, которые загружаются диспетчером очереди печати (spoolsv.exe) во время загрузки. Этот способ закрепления используют группы Earth Lusca и Gelsemium.

Для закрепления в инфраструктуре жертвы злоумышленники могут устанавливать вредоносное ПО в качестве службы (Create or Modify System Process). В Windows службы выполняются посредством процесса svchost.exe, который предоставляет им доступ к ресурсам узла. С помощью служб можно настроить выполнение вредоносного кода в нужные моменты времени, чтобы обеспечить постоянное присутствие. Для APT-группировок, атакующих страны Юго-Восточной Азии, характерно скрывать вредоносные службы за процессом svchost.exe. В результате злоумышленники получают запущенный процесс, закрепленный через службу, с помощью которого производят дальнейшие шаги атаки. Эту технику используют 65% рассмотренных нами APT-группировок.

Злоумышленники могут применять различные комбинации техник для закрепления. Во время атак на правительство Юго-Восточной Азии в период со второго квартала 2021 года по третий квартал 2023-го группа Mustang Panda использовала многокомпонентный троян ToneShell. Компонент, предназначенный для выполнения задач по закреплению, представляет собой файлы DLL. Они внедрялись в контекст PwmTower.exe — компонент легитимной программы Password Manager компании Trend Micro. Далее, в зависимости от привилегий, для закрепления в системе создавались вредоносная служба с названием DISMsrv и запланированные задачи либо ключи в реестре для автозапуска и запланированные задачи. Добившись закрепления, группа загружала следующий компонент трояна, отвечающий за установление сетевых соединений.

Как только злоумышленники получают системные привилегии на скомпрометированном узле, они стремятся добыть на нем как можно больше учетных данных. Скомпрометированные учетные записи позволяют маскироваться под легитимных пользователей, что затрудняет обнаружение киберпреступников. Помимо этого, одни и те же пароли могут использоваться для доступа к разным ресурсам, что облегчает перемещение внутри периметра.

Самой часто используемой техникой получения учетных данных является их извлечение из памяти системных компонентов (OS Credential Dumping), ее применяют 65% APT-группировок. Перечислим основные источники, которые используют рассмотренные нами APT-группировки для поиска учетных данных в Windows:

• Память процесса lsass.exe (T1003.001). Он отвечает за аутентификацию пользователей при входе в систему и соблюдение политик безопасности. Из памяти lsaass пароли извлекают 45% APT-группировок. Для этого широко используются такие общедоступные инструменты, как Mimikatz, ProcDump и LaZagne.
• База данных Security Account Manager (SAM) (T1003.002). В ней в виде хеш-значений хранятся учетные данные локальных пользователей. Извлечение учетных данных из базы данных SAM практикуют 35% APT-группировок. Например, группировка Gallium в киберкампаниях, направленных против правительств Юго-Восточной Азии в 2022 и 2023 годах, создавала запланированные задачи, запускающие скрипты с командами для извлечения учетных данных из куста реестра SAM с помощью утилиты reg.exe.
• База данных NTDS (T1003.003). Некоторые группировки (15%) извлекали учетные записи из файла базы данных NTDS.dit, в котором хранится информация Active Directory, в том числе хеш-значения паролей всех пользователей домена. Для этого злоумышленники применяли системные утилиты ntdsutil и vssadmin. Например, группа Mustang Panda в своих атаках делает теневую копию тома на контроллере домена и извлекает из нее файл NTDS.dit и ключ для его расшифрования.

Треть APT-группировок (35%) перехватывают данные, которые жертва вводит на скомпрометированном устройстве (Input Capture). Для этого используются кейлоггеры — вредоносное ПО с функцией перехвата нажатий клавиш. Оно есть в арсенале многих группировок, например у групп APT10, APT41, Lancefly и Mustang Panda.

Некоторые группы извлекали учетные данные из специализированных мест хранения (Credentials From Password Stores). Поскольку в веб-браузерах есть встроенные хранилища паролей, ряд APT-группировок применяют инструменты для извлечения учетных данных из таких хранилищ (T1555.003). Например, с этой целью группа Earth Estries использует стилер TrillClient, группа APT41 — утилиту BrowserGhost. В арсенале группы Goblin Panda есть инструмент ChromePass, который крадет сохраненные пароли из браузеров на базе Chromium. Программа собирает учетные данные в HTML-документ, содержащий таблицу с адресами, именами пользователей и паролями.

Четверть APT-группировок ищут незащищенные или слабозащищенные учетные данные (Unsecured Credentials). Они могут просматривать пользовательские файлы на жестком диске в поисках сохраненных в них логинов и паролей (T1552.001). Например, группа APT41 искала строки в файлах по ключевым словам user и password.

Злоумышленники стараются понять, как устроена среда, в которой они оказались. Для сбора сведений атакующие часто используют инструменты из состава операционной системы. Это позволяет минимизировать оставляемые следы, замаскировать свои действия и снизить затраты на разработку собственного ПО.

Киберпреступники стремятся собрать как можно больше данных о скомпрометированной системе (System Information Discovery). Для сбора информации о системе может использоваться утилита systeminfo. Это встроенная утилита Windows, которая предоставляет подробные сведения о конфигурации операционной системы и BIOS, а также о характеристиках оборудования. Ее используют группы Naikon, Mustang Panda, GhostEmperor.

Большинство (80%) APT-группировок стремятся идентифицировать пользователей скомпрометированных узлов (System Owner/User Discovery). Эта информация может быть использована для повышения привилегий или продвижения в инфраструктуре. Для сбора информации о пользователе, группе и привилегиях текущего пользователя часто применяется утилита whoami. Например, ее используют такие группы, как APT32, APT41, Dark Pink, Earth Lusca, Gelsemium.

Злоумышленники собирают информацию о конфигурации сети (System Network Configuration Discovery) и активных сетевых соединениях скомпрометированного узла (System Network Connections Discovery). Эта информация нужна для дальнейшего продвижения в инфраструктуре и поддержания связи с командным сервером. На данном этапе могут применяться утилиты сетевой диагностики, например ping, ipconfig, arp, netstat. Их используют группы Mustang Panda, APT32, APT41, Gallium, Naikon, Earth Lusca и другие.

Атакующие изучают файлы и директории на скомпрометированных узлах (File and Directory Discovery), чтобы разобраться, как устроена инфраструктура, и найти ценные сведения, например учетные данные или конфиденциальные документы. Группа SideWinder в период с июня по ноябрь 2021 года проводила киберкампанию, в числе жертв которой оказались правительственные, финансовые и телекоммуникационные организации Мьянмы. С помощью инфостилера SideWinder.StealerPy группа искала на компьютерах жертв файлы с расширениями, соответствующими офисным документам и изображениям, а также получала список каталогов и файлов с рабочего стола.

Более половины (60%) APT-группировок изучают запущенные на узле процессы (Process Discovery). Эта информация бывает нужна злоумышленникам, чтобы иметь представление об окружении, в том числе об установленных средствах защиты. Так, троян группы Gelsemium просматривает список запущенных процессов на предмет наличия на компьютере средств защиты из заданного списка. В Windows есть несколько способов получить список запущенных процессов. Например, группы Mustang Panda, ToddyCat, Earth Lusca и Naikon используют команду tasklist. Группы APT23 и GhostEmperor получали список запущенных процессов, используя утилиту PsList из состава пакета PsTools компании Sysinternals.

Для сбора информации APT-группировки могут задействовать ПО собственной разработки. Например, троян Hodur (разновидность PlugX) группы Mustang Panda собирает подробную информацию о системе: время безотказной работы, версию Windows, тактовую частоту процессора, объем оперативной памяти, разрешение экрана. Помимо этого, троян способен получить имя текущего пользователя, узнать имя узла и его IP-адрес.

Важным этапом для злоумышленников является сбор информации, представляющей интерес с точки зрения кибершпионажа. Источниками ценной информации становятся локальные файлы на рабочих станциях сотрудников, браузеры, электронная почта, общие сетевые хранилища, облачные хранилища, репозитории кода.

Больше половины (65%) группировок ищут интересующую их информацию в локальных файлах на скомпрометированных устройствах (Data from Local System). Искать данные киберпреступники могут в различных источниках. Например, группа Dark Pink собирала файлы из веб-браузеров, а APT41 — из службы теневого копирования томов и системы журналирования Windows.

Злоумышленники делают скриншоты экранов (Screen Capture) и перехватывают данные, которые вводит жертва (Input Capture). Зачастую обе эти техники реализуются с помощью одних и тех же программных средств. Например, группа Gallium в кибератаке на правительственные организации одной из стран Юго-Восточной Азии использовала троян Quasar, в котором есть функции кейлоггинга и записи экрана. Аналогично группа Earth Estries использовала бэкдор HemiGate, реализующий обе эти функции.

Атакующие могут автоматизировать сбор данных с помощью скриптов, позволяющих искать и копировать нужную информацию (Automated Collection). В 2023 году группа ToddyCat проводила киберкампанию, целью которой была государственная организация Малайзии. С помощью PowerShell-скрипта, который запускался в запланированной задаче, злоумышленники находили пользовательские документы и сохраняли найденное во временной директории. Автоматический сбор данных может выполняться при помощи функциональности вредоносного ПО.

Часть APT-группировок (45%) перед выгрузкой собранных данных размещают их в одном каталоге (Data Staged). Таким хранилищем может быть корзина, непопулярный среди обычных пользователей каталог и другие локальные или удаленные места. Это позволяет злоумышленникам хранить украденные файлы вне поля зрения жертвы.

Большинство группировок (75%) архивируют или шифруют полученную информацию (Archive Collected Data). Сжатие данных позволяет злоумышленникам передавать собранную информацию намного быстрее. Обычно на устройствах жертв уже присутствует необходимое для этого программное обеспечение, например WinRAR, 7z или tar. Этими утилитами пользуются многие группы, например APT41, Earth Estries, GhostEmperor, Lancefly, Mustang Panda, ToddyCat (T1560.001). Кодирование и шифрование информации осуществляется с целью сокрытия украденных данных. Так, группа Sharp Panda зашифровывала собранную информацию с помощью алгоритма RC4 и преобразовывала ее в формат Base64.

Возможность обмениваться данными со скомпрометированными устройствами внутри сети и передавать похищенную информацию вовне является одним из факторов, определяющих успешный для злоумышленников исход APT-атаки. Обычно атакующие настраивают несколько каналов взаимодействия с командным сервером. Для злоумышленников важно, чтобы эти сетевые соединения оставались незамеченными для средств защиты, например для анализаторов сетевого трафика.

Распространенная стратегия — смешивание вредоносного трафика с легитимным. Злоумышленники предпочитают использовать протоколы прикладного уровня (Application Layer Protocol). Прежде всего речь идет о протоколе HTTP(S) (T1071.001), его используют 85% APT-группировок. Помимо HTTP(S), для связи с командным сервером 25% групп применяют протокол DNS (Т1071.004).

В то же время 55% APT-группировок используют протоколы более низкого уровня в модели OSI, чем прикладной (Non-Application Layer Protocol). Например, взаимодействие бэкдора SmileSvr группы APT23 с командным сервером реализовано по протоколу ICMP. Бэкдор MgBot группы Evasive Panda взаимодействует с командным сервером по протоколам UPD и TCP. Некоторое вредоносное ПО поддерживает протоколы разных уровней. Например, бэкдор Merdoor группы Lancefly может получать команды по протоколам HTTP, HTTPS, DNS, UDP и TCP.

Каждая вторая APT-группировка использует нестандартные порты (Non-Standard Port). Например, бэкдоры группы SideWinder устанавливали соединения по портам 41236, 47896, 45632, 45689, 8087, 8090.

После освоения в скомпрометированной среде атакующие могут загружать извне дополнительные инструменты (Ingress Tool Transfer). Это происходит как через канал связи с командным сервером, так и альтернативными способами. Например, для загрузки дополнительных файлов на взломанные устройства группа APT41 использовала Cobalt Strike. В разделе «Арсенал APT-группировок» мы расскажем о некоторых других инструментах, которыми пользуются киберпреступники для загрузки своих файлов в инфраструктуру жертвы.

Большинство APT-группировок выгружают похищенные данные по каналу связи с командным сервером (Exfiltration Over C2 Channel) либо через легитимные веб-сервисы (Exfiltration Over Web Service). Например, группа Dark Pink в атаках на страны Юго-Восточной Азии в конце 2022 года использовала для передачи украденных данных Telegram и Dropbox (T1567.002). Позже эта же группа в атаках на организации Азиатско-Тихоокеанского региона, в том числе во Вьетнаме, Таиланде и Индонезии, передавала украденные данные, используя webhook.site — бесплатную платформу для тестирования и отладки входящих HTTP-запросов и электронных писем. Злоумышленники воспользовались этим сервисом для генерации временных адресов и приема вебхуков, с помощью которых они передавали украденные конфиденциальные данные (T1567.004). Передача похищенной информации через механизм вебхуков позволяет атакующим замаскировать эксфильтрацию данных под легитимный трафик. Группа Earth Estries выгружала похищенные данные в анонимные файлообменники AnonFiles² и File.io с помощью утилиты Curl (T1567.003).

Каждая пятая группировка выгружает похищенную информацию по альтернативным протоколам (Exfiltration Over Alternative Protocol). К альтернативным протоколам относят любые сетевые протоколы, которые не используются для связи с командным сервером. Злоумышленники могут шифровать данные, передаваемые через альтернативные каналы.

Киберпреступники могут автоматизировать выгрузку данных из скомпрометированной инфраструктуры (Automated Exfiltration). Например, инфостилер группы SideWinder умеет автоматически отправлять собранные данные на специальный адрес электронной почты или другой сетевой ресурс злоумышленника.

В арсенале APT-группировок предусмотрено множество техник обхода механизмов защиты и сокрытия вредоносной активности. Злоумышленники пытаются затруднить обнаружение и анализ исполняемых файлов путем сжатия, кодирования, шифрования и запутывания вредоносного кода (Obfuscated Files or Information). Это самая распространенная техника, ее применяют 95% APT-группировок. Значительная часть групп (45%) использует специальные инструменты для запутывания кода и противодействия анализу (T1027.002). К таким инструментам относятся упаковщики и протекторы, а также коммерческое ПО, предназначенное для защиты от реверс-инжиниринга. Некоторые группы, например Mustang Panda, Gelsemium, APT32, APT40, APT41 добавляют «мусорный» код в свои вредоносные программы для усложнения анализа антивирусными средствами защиты (T1027.001).

Почти все APT-группировки (90%), атакующие Юго-Восточную Азию, маскируют свою деятельность под легитимные операции, процессы, файлы и команды (Masquerading). Большинство группировок (70%) используют для вредоносного ПО названия, частично или полностью совпадающие с именами легитимных файлов, и располагают его в директориях, которые не вызывают подозрений, например в каталоге System32 (T1036.005). Более половины (55%) группировок маскируют вредоносные программы под системные службы Windows (T1036.004). Группа Naikon в одной из своих операций, направленных против военных организаций в странах Юго-Восточной Азии, маскировала вредоносное ПО под исполняемые файлы Google Chrome, Adobe и VMware. Для вредоносных сервисов и задач в планировщике заданий группа использовала названия, напоминающие или полностью повторяющие имена легитимных сервисов, например назвала вредоносный сервис taskmgr, выдавая его за диспетчер задач (Task Manager). Группа SideWinder в одной из своих масштабных киберкампаний, направленных против азиатских организаций, маскировала трояны под антивирус Windows Defender и скрывала задачи в планировщике заданий под названиями WindowSecurityPatch, CloudAPIManager, WindowsUpdate, WindowHost. На начальном этапе проникновения в фишинговых письмах группа использовала файл-приманку Wang_Yi_Statement_to_Defeat_COVID19.pdf.lnk. Это LNK-загрузчик, имитирующий документ в формате PDF. Двойные расширения для маскировки вредоносных файлов (T1036.007) используют 30% APT-группировок, атакующих Юго-Восточную Азию.

Выше мы рассказывали, что многие APT-группировки используют технику Hijack Execution Flow для закрепления в системе. Помимо этого, 85% групп применяют эту технику для обхода средств защиты, чтобы оставаться в инфраструктуре жертвы как можно дольше. Так, например, группа Earth Estries для реализации подтехники DLL Side-Loading использовала старые версии легитимных программ.

Большинство APT-группировок стараются усложнить работу специалистов по кибербезопасности, скрывая или стирая следы активности (Indicator Removal): они удаляют свои файлы и программы (T1070.004), изменяют временные метки вредоносных файлов (T1070.006), очищают журналы событий (T1070.001) и историю выполнения команд (T1070.003). Например, в арсенале группы APT23 есть инструмент собственной разработки для очищения журналов событий на скомпрометированном компьютере. Киберпреступники могут уничтожать любые артефакты, служащие доказательством их закрепления в системе, например удалять вредоносные службы и ранее созданные ими учетные записи, отменять внесенные изменения в реестр (T1070.009).

Рассмотрим, какие инструменты используют APT-группировки, атакующие Юго-Восточную Азию. В арсенале многих групп есть уникальное ПО собственной разработки. Например, Dark Pink для кражи данных из браузеров использует инфостилеры Cucky и Ctealer, которые ранее не были замечены ни у одной другой группы. Помимо вредоносных программ собственной разработки, APT-группировки также активно используют распространенное вредоносное ПО и легитимные инструменты.

Начнем с легитимных инструментов, которые злоумышленникам не нужно загружать извне, потому что они уже есть в скомпрометированной системе. Их называют общим термином living off the land (LOLBins, LOL binaries). Их использование имеет неоспоримые преимущества: позволяет киберпреступникам замаскировать свою деятельность под действия IT-персонала и тем самым избежать обнаружения средствами защиты, а также минимизировать затраты на разработку собственных программ.

Прежде всего речь идет о командной строке (cmd.exe) и языке сценариев PowerShell. Злоумышленники используют интерфейс командной строки Windows для выполнения системных команд и запуска вредоносных скриптов. С помощью PowerShell можно автоматизировать задачи, управлять конфигурациями и получать доступ практически к любым компонентам операционной системы.

Более половины (55%) APT-группировок используют системную утилиту net.exe. Это инструмент для управления различными сетевыми компонентами. С помощью net.exe можно выполнять множество задач, в том числе просматривать общие сетевые ресурсы, учетные записи пользователей, членство в группах, службы и очереди печати и управлять ими, маскируя свои действия под действия администраторов сети. Например, с помощью команды net start установщик трояна MgBot группировки Evasive Panda запускает системную службу AppMgmt, позволяющую с помощью групповой политики централизованно устанавливать приложения на удаленные компьютеры.

Используя файлы LOLBin, подписанные доверенными цифровыми сертификатами, злоумышленники могут проксировать выполнение вредоносного кода, чтобы избежать обнаружения средствами защиты (System Binary Proxy Execution). Одним из таких файлов является rundll32.exe. Это компонент Windows, отвечающий за загрузку и запуск функций из библиотек DLL (T1218.011). Основной сценарий его использования атакующими — запуск вредоносных библиотек на скомпрометированных узлах. Rundll32 используют 40% APT-группировок, атакующих Юго-Восточную Азию. Еще один компонент Windows, который нередко используется злоумышленниками, — это утилита командной строки mshta.exe. Она предназначена для исполнения файлов в формате HTA (Microsoft HTML Applications). Каждая четвертая группа использует mshta.exe для исполнения HTA-файлов с вредоносными скриптами на языках JavaScript, JScript или VBScript (T1218.005).

Некоторые группы (35%) используют системную утилиту certutil. Утилита предназначена для отображения сведений о конфигурации центра сертификации, настройки служб сертификации, резервного копирования и восстановления компонентов центра сертификации. Она позволяет загружать файлы, чем и пользуются злоумышленники для загрузки своих инструментов (Ingress Tool Transfer). Например, группа Earth Krahang использовала возможности certutil для загрузки на скомпрометированные серверы программы SoftEther для организации VPN.

Еще одна системная утилита, которой атакующие нередко злоупотребляют для загрузки дополнительных инструментов, — это Bitsadmin. Ее использует каждая четвертая APT-группировка. Утилита предназначена для управления заданиями BITS (фоновая интеллектуальная служба передачи файлов), в первую очередь для скачивания обновлений Windows, но злоумышленники используют ее для загрузки произвольных файлов. Например, группа APT23 после получения первоначального доступа с помощью утилиты Bitsadmin доставляет на скомпрометированные серверы загрузчики следующего этапа.

Наиболее полные списки инструментов LOLBin можно изучить в репозитории на GitHub и в гайде американского агентства CISA. Каждая APT-группировка, атакующая страны Юго-Восточной Азии, использует те или иные инструменты из этих списков. Например, группа Lancefly применяла техники с использованием LOLBin для кражи учетных данных: запускала rundll32.exe для вызова функции MiniDump из библиотеки comsvcs.dll, чтобы сделать дамп памяти процесса LSASS, и с помощью утилиты reg.exe создавала дамп кустов реестра SAM и SYSTEM, чтобы извлечь учетные данные из базы данных SAM.

Платформа Cobalt Strike — это коммерческое ПО, которое создавалась как инструмент для тестирования на проникновение. Благодаря обширным функциональным возможностям платформа представляет большой интерес для киберпреступников. Несмотря на то что разработчики Cobalt Strike принимают меры, защищающие продукт от взлома, многие киберпреступники используют старые взломанные или пиратские версии Cobalt Strike на разных этапах атаки. Гибкость этого инструмента позволяет APT-группировкам создавать индивидуальные сборки, в которые они добавляют или удаляют функции в зависимости от своих целей. Некоторые злоумышленники делают это самостоятельно, другие покупают модифицированные версии Cobalt Strike в дарквебе.

Cobalt Strike есть в арсенале 70% APT-группировок, атакующих Юго-Восточную Азию. Например, подгруппа Earth Longzhi группы APT41 в атаках на организации Филиппин, Таиланда, Малайзии и Индонезии использовала специальные версии загрузчиков Cobalt Strike со сложными механизмами защиты от обнаружения. Вкупе с другими техниками это позволило злоумышленникам оставаться незамеченными в инфраструктуре жертв с сентября 2021 года по июнь 2022-го.

PlugX — это семейство модульного вредоносного ПО удаленного доступа. Имеет обширные функциональные возможности, в том числе умеет делать скриншоты экрана, перехватывать нажатия клавиш, загружать дополнительные модули. Для закрепления PlugX в скомпрометированной системе злоумышленники чаще всего используют технику DLL Side-Loading.

Впервые PlugX был замечен в атаках группы Mustang Panda. Специалисты Trend Micro отмечают, что с 2018 года в арсенале этой группы присутствуют четыре поколения PlugX. Последнее поколение, получившее название DOPLUGS, использовалось Mustang Panda в 2023 году в кампаниях против Вьетнама, Малайзии и других азиатских стран. Кроме того, существует также вариант DOPLUGS со встроенным модулем KillSomeOne. Это USB-червь, предназначенный для распространения вредоносного ПО и кражи документов. В настоящее время различные модификации PlugX использует каждая вторая APT-группировка, атакующая страны Юго-Восточной Азии.

Утилита с открытым исходным кодом Mimikatz позволяет извлекать учетные данные из оперативной памяти. Существуют модификации этой программы. Например, группа GhostEmperor использует утилиту Mimikat_ssp — это модифицированная версия Mimikatz с защитой от детектирования средствами защиты. На теневых форумах в продаже можно встретить образцы Mimikatz с доработанными функциональными возможностями и защитой от обнаружения. Mimikatz используют 40% APT-группировок, атакующих Юго-Восточную Азию.

Инструмент с открытым исходным кодом NBTscan предназначен для сканирования IP-сетей на наличие информации об именах NetBIOS. Инструмент используют 45% APT-группировок, атакующих Юго-Восточную Азию, на этапе исследования корпоративной инфраструктуры для сбора информации об узлах и ​​службах в сети.

ShadowPad — это троян удаленного доступа, который является прямым потомком PlugX, но в отличие от него менее популярен. Впервые был замечен в кампаниях группы APT41 против японских организаций и лишь позже распространился на страны Юго-Восточной Азии. В настоящее время ShadowPad используют 35% APT-группировок, атакующих государства Юго-Восточной Азии.

China Chopper — это известный веб-шелл размером всего 4 килобайта. Используется в атаках по крайней мере с 2012 года для удаленного доступа к скомпрометированным веб-серверам. Из-за небольшого размера веб-шелла существует множество способов его доставки. В атаках на государства Юго-Восточной Азии веб-шелл China Chopper используют 35% APT-группировок. Например, группа ToddyCat в атаках на вьетнамские организации компрометировала уязвимые серверы Microsoft Exchange, после чего использовала China Chopper для инициации многоэтапной цепочки заражения.

Фреймворк с открытым исходным кодом PowerSploit состоит из модулей и сценариев на языке PowerShell и предназначен для широкого спектра задач, связанных с тестированием на проникновение. В злонамеренных целях его используют 30% APT-группировок. Например, группа Dark Pink задействовала модуль Get-MicrophoneAudio из состава PowerSploit для записи звука с микрофона жертвы. Предварительно атакующим пришлось модифицировать код модуля, чтобы обойти антивирусные средства защиты.

Для сжатия похищенных данных и сокращения времени на их эксфильтрацию злоумышленники используют архиваторы. Наибольшей популярностью пользуется WinRAR, его применяют 30% APT-группировок. Некоторые группы маскируют использование архиватора. Например, группа Lancefly маскировала WinRAR под системный процесс wmiprvse.exe.

ZXShell — это руткит с открытым исходным кодом, о котором известно еще с 2004 года. В настоящее время он продолжает активно развиваться. Обладает функциями кейлоггера, умеет делать скриншоты экрана, выполнять сетевые атаки, загружать, запускать и удалять файлы. Есть в арсенале каждой четвертой группы, атакующей страны Юго-Восточной Азии.

Quasar — это троян удаленного доступа с открытым исходным кодом, обладающий большим набором возможностей: кейлоггинг, снятие скриншотов, запись с веб-камер жертв, кража учетных данных из браузеров и FTP-клиентов. Его используют злоумышленники по всему миру, в том числе 25% APT-группировок, атакующих Юго-Восточную Азию.

Цифровая экономика стала важным двигателем экономического роста в странах Юго-Восточной Азии в постпандемическую эпоху. Сегодня такие технологии, как облачные вычисления, большие данные, искусственный интеллект, интернет вещей и 5G, набирают значимость в экономическом развитии региона. Количество потенциальных мишеней для киберпреступников быстро растет, и вопросы кибербезопасности приобретают все большую актуальность. Чтобы защитить свою критически значимую инфраструктуру и обеспечить национальную безопасность, государствам — членам АСЕАН необходимо уделить приоритетное внимание укреплению оборонительного киберпотенциала.

Повышение осведомленности о важности кибербезопасности

Путь к построению надежной системы кибербезопасности в странах Юго-Восточной Азии лежит через повышение осведомленности и расширение регионального сотрудничества. Цифровой разрыв в АСЕАН представляет большое препятствие для сотрудничества по противодействию киберугрозам. Не все государства готовы противостоять сложным целенаправленным атакам. Развитые страны, такие как Малайзия и Сингапур, взяли на себя ведущую роль в разработке региональных киберинициатив. Однако успешное развитие киберустойчивости региона будет зависеть не только от действий экономических лидеров, но и от готовности других стран раскрывать подробности APT-атак.

Комплексные меры реагирования

В АСЕАН приняты стратегия сотрудничества в области кибербезопасности на 2021–2025 годы и план по развитию цифровой сферы (ASEAN Digital Masterplan 2025). Реализация этих фреймворков в каждой отдельной стране сильно зависит от ее ресурсов и приоритетов. Меры реагирования на сложные целенаправленные атаки в ряде стран Юго-Восточной Азии не скоординированы и носят фрагментарный характер. Необходимо разработать комплексные национальные стратегии кибербезопасности. Они должны охватывать все аспекты — от политических вопросов до деталей технической реализации. Важно регулярно пересматривать стратегии и принципы, чтобы гарантировать их актуальность в связи с постоянно изменяющимся ландшафтом киберугроз.

Содействие и сотрудничество с частным сектором

Государствам необходимо стимулировать совместные инициативы с участием частного сектора и экспертов по кибербезопасности. Партнерские отношения между регулирующими органами и ключевыми отраслевыми игроками способствуют своевременному обмену ресурсами, опытом и информацией об актуальных тактиках и техниках APT-атак.

Результативная кибербезопасность

Для борьбы со сложным целенаправленными атаками требуется подход, основанный на идее результативной кибербезопасности. Инфраструктура и процессы должны быть выстроены таким образом, чтобы даже в случае проникновения злоумышленников в сеть организации они не смогли нанести ей неприемлемый ущерб. Главной целью становится исключение возможности реализации недопустимых событий — событий, блокирующих достижение операционных и стратегических целей организации или приводящих к значительному нарушению ее основной деятельности в результате кибератаки. Эти события определяются на уровне топ-менеджмента организации.

Рекомендуем организациям обратить внимание на основы результативной кибербезопасности.

• Инвентаризация IT-активов

Первым шагом является идентификация всех активов в инфраструктуре организации. После этого важно классифицировать их в зависимости от важности с учетом недопустимых для организации событий. Решения класса VM (vulnerability management) автоматизируют процессы идентификации и управления активами, выявления и исправления уязвимостей в элементах инфраструктуры в зависимости от степени их опасности. В случае если компания занимается разработкой программных продуктов, следует обратить внимание на средства анализа исходного кода для выявления уязвимостей и недостатков проектирования на этапе разработки.

• Мониторинг и реагирование на инциденты

Мониторинг событий позволяет специалистам по кибербезопасности вовремя выявить индикаторы атак и принять меры по противодействию APT-группировке. С задачей поможет справиться система класса SIEM (security information and event management). Она позволяет отслеживать и анализировать события безопасности из разных источников, выявлять аномалии и своевременно сигнализировать о них. Важно, чтобы источники для мониторинга событий выбирались в том числе с учетом типичных точек проникновения в инфраструктуру компании. В случае с группировками, атакующими Юго-Восточную Азию, одной из таких типичных точек являются серверы Microsoft Exchange.

Промышленным и топливно-энергетическим компаниям рекомендуем обратить внимание на специализированные решения для анализа трафика АСУ ТП. Они помогают выявлять вредоносную активность без негативного влияния на производственные процессы.

Предотвратить или локализовать и устранить последствия APT-атак позволяет корректно выстроенный процесс реагирования на индикаторы начального проникновения. Эффективным решением в этом вопросе может стать совместное использование SIEM-системы и решения класса XDR (extended detection and response).

Для своевременного выявления APT-атак и реагирования на них не обойтись также без инструмента для глубокого анализа сетевого трафика. Здесь на помощь приходят решения класса NTA (network traffic analysis). Они выявляют вредоносную активность злоумышленников на периметре и внутри сети, в том числе в зашифрованном трафике. В арсенале всех APT-группировок есть вредоносные программы.

• Обучение кибербезопасности

Человеческий фактор — слабое звено в цепи киберзащиты, и даже одно ошибочное действие может открыть двери злоумышленникам. Чтобы этого не произошло, необходимо повышать осведомленность сотрудников с помощью эффективных программ обучения. В обучающие программы стоит включать следующие темы: распознавание фишинговых писем и веб-сайтов, выбор надежных паролей, безопасность мобильных устройств и общедоступных сетей Wi-Fi, принципы безопасности удаленной работы. Полезно также периодически проверять знания сотрудников, например проводить имитацию фишинговых атак.

• Оценка защищенности

Регулярные мероприятия по оценке защищенности, например тестирование на проникновение, позволяют своевременно выявить бреши в системе кибербезопасности. Наиболее эффективный вариант — моделирование APT-атаки (red teaming). Он подразумевает, что специалисты имитируют возможные действия APT-группировок, начиная с детальной разведки, сканирования внешнего периметра компании и сбора полезной для атаки информации из публичных источников. При подготовке имитации активной фазы нападения прорабатываются его возможные векторы, например проникновение через внешний периметр или с помощью фишинга. Могут разрабатываться и применятся дополнительные инструменты, имитирующие поведение вредоносного ПО. Моделирование APT-атак крайне полезно для оценки защищенности критически значимой инфраструктуры.

Немаловажное значение имеют программы независимой проверки защищенности (отраслевые bug bounty). Они помогают организациям выстроить процесс непрерывного анализа защищенности сервисов и оптимизировать затраты на безопасность.

APT10

APT10 активна как минимум с 2006 года. Группа стала широко известна благодаря длительной киберкампании Operation Cloud Hopper, направленной против IT-провайдеров по всему миру с целью кражи интеллектуальной собственности и использования их инфраструктуры для дальнейших атак. В настоящее время целями группы являются аэрокосмическая промышленность, машиностроение, телекоммуникационные и фармацевтические компании. В атаках использует общедоступное и собственное вредоносное ПО.

APT23

Активность фиксируется с 2011 года. Группа атакует секторы государственного управления, здравоохранения, транспорта, высоких технологий, а также военно-промышленные комплексы на территории Тайваня, Филиппин и Гонконга. Специалисты Trend Micro также отмечают в числе жертв военно-морские ведомства, военные госпитали и национальный банк. Группа использует различное вредоносное ПО, в том числе инструмент USBferry, предназначенный для кражи данных через USB-накопители.

APT32

Группа активна как минимум с 2012 года. По мнению различных исследователей, действует в государственных интересах Вьетнама. Атакует правительственные и корпоративные сети стран Восточной и Юго-Восточной Азии. Довольно часто объектами атак становятся вьетнамские организации и правозащитники. Для начального проникновения широко используются техники watering hole и целевой фишинг. Группа использует уникальный набор вредоносного программного обеспечения в сочетании с общедоступными инструментами.

APT40

По данным исследователей, группа имеет китайское происхождение. Активна по крайней мере с 2009 года. Атакует отрасли машиностроения, транспорта, оборонную промышленность, сферу науки и образования. Как правило, атаки направлены против стран, имеющих стратегическое значение для инициативы «Один пояс — один путь». В арсенале — собственные вредоносные программы и инструменты с открытым исходным кодом, большую часть которых используют и другие APT-группы.

APT41

По мнению исследователей, группа APT41 спонсируется Китаем в целях кибершпионажа, а также проводит финансово мотивированные атаки в собственных целях. Активность киберпреступников наблюдается с 2012 года. Список жертв охватывает множество отраслей, включая государственные организации, телекоммуникации, компании по разработке программного обеспечения, производителей компьютерного оборудования и представителей других сфер по всему миру. В качестве вектора для первоначального проникновения группа использует фишинг, атаки типа supply chain и watering hole.

Dark Pink

Первая активность группы замечена в середине 2021 года. Большая часть атак была направлена против организаций в Азиатско-Тихоокеанском регионе, однако также были зафиксированы инциденты и в европейских странах. Среди подтвержденных жертв множество организаций в государствах Юго-Восточной Азии. Для кражи информации злоумышленники применяли легитимные инструменты и собственные вредоносные программы, такие как TelePowerBot, KamiKakaBot, Cucky и Ctealer.

Earth Estries

Группа активна с 2020 года. Жертвами Earth Estries являются правительственные учреждения и технологические компании Филиппин, Тайваня, Малайзии, Южной Африки, Германии и США. По мнению исследователей Trend Micro, тактики и техники группы указывают на связь с группой FamousSparrow. В арсенале группы есть различные бэкдоры и инфостилеры, в том числе Zingdoor, TrillClient и HemiGate.

Earth Krahang

Деятельность группы отслеживается с 2022 года. По мнению исследователей из Trend Micro, группа тесно сотрудничает с группой Earth Lusca и может быть связана с китайской компанией I-Soon. Атаки в основном нацелены на правительственные организации Юго-Восточной Азии, но жертвами становятся и другие страны. В атаках использует фишинг, эксплуатирует уязвимости веб-серверов, применяет вредоносное ПО, такое как PlugX и ShadowPad.

Earth Lusca

По мнению исследователей, группа действует по крайней мере с 2019 года и может быть связана с Китаем. Атаки в основном осуществляются с целью шпионажа и направлены на организации по всему миру. Целями группы являются правительственные учреждения, образовательные организации, религиозные движения, продемократические группы, СМИ, а также казино и криптовалютные проекты.

Evasive Panda

Китайскоязычная APT-группа, действующая как минимум с 2012 года. Атакует организации в Африке, в Восточной и Юго-Восточной Азии, в том числе и правительственные. Занимается шпионажем против отдельных частных лиц. Имеет в арсенале широкий набор инструментов и использует различные техники начального проникновения, в том числе атаки типа supply chain и watering hole.

Gallium

Группа атакует телеком, финансовые учреждения и правительственные организации в Юго-Восточной Азии, Европе и Африке. Активность фиксируется с 2012 года. Исследователи предполагают, что Gallium имеет китайские корни.

Gelsemium

Группа активна по меньшей мере с 2014 года. Атакует правительственные, образовательные, религиозные учреждения и производителей электроники в Восточной и Юго-Восточной Азии, Африке и на Ближнем Востоке. В атаках группа использует как довольно редкие инструменты, так и общедоступные.

GhostEmperor

Как утверждают исследователи, группа имеет китайские корни. Активность связана с кибершпионажем и отслеживается с 2021 года. Целями GhostEmperor становятся преимущественно организации в Юго-Восточной Азии, хотя их атаки могут распространяться и на другие регионы. Для первоначального проникновения группа использует фишинговые письма и эксплуатирует уязвимости серверов Microsoft Exchange. Использует ранее неизвестный руткит режима ядра Windows.

Goblin Panda

Исследователи из CrowdStrike полагают, что группа действует в интересах Китая. Ее активность фиксируется с 2013 года. Деятельность связана со шпионажем в странах Юго-Восточной Азии, особый интерес у группы вызывает Вьетнам. Атакует правительственные организации, военно-промышленный и топливно-энергетический комплексы. Группа обладает как инструментами собственной разработки, так и различным вредоносным ПО для удаленного управления.

Lancefly

Группа активна по меньшей мере с 2020 года, специализируется на кибершпионаже. Целями Lancefly являются правительственные организации, авиационные и телекоммуникационные компании в Южной и Юго-Восточной Азии. В арсенале группы есть собственный бэкдор Merdoor, который позволяет устанавливать прямое взаимодействие с зараженными устройствами, осуществлять мониторинг действий на них, перехватывать нажатия клавиш. Киберпреступники также используют трояны PlugX и ShadowPad. Исследователи пока не установили точное происхождение группы.

Mustang Panda

Исследователи из CrowdStrike полагают, что эта группа имеет китайские корни, ее активность фиксируется по крайней мере с 2014 года. Изначально она атаковала соседние с Китаем страны. С 2022 года активно атакует страны Европы, преимущественно посольства и дипломатические миссии. В фишинговых рассылках группа использует трекинговые пиксели. Имеет в арсенале различные инструменты, в том числе Cobalt Strike и модифицированные версии PlugX, а также вредоносное ПО собственной разработки.

Naikon

Группа активна минимум с 2015 года, атакует правительственные, военные и частные организации в Юго-Восточной Азии. Исследователи из ThreatConnect связывают Naikon с Народно-освободительной армией Китая. Злоумышленники используют как собственное, так и общедоступное вредоносное ПО, эксплуатирует известные уязвимости. Установлено, что в каждой атакуемой стране у группы есть свой оператор — человек, адаптирующий атаку под различные особенности конкретного региона.

Sharp Panda

По мнению исследователей из Check Point, группа имеет китайское происхождение. Атакует правительственные организации Юго-Восточной Азии с целью кибершпионажа. Кроме того, группа проводила кампании, нацеленные на высокопоставленных чиновников из стран G20.

SideWinder

По мнению некоторых исследователей, группа имеет индийское происхождение. Активна как минимум с 2012 года. Целями SideWinder становятся преимущественно правительственные, военные и коммерческие структуры в Юго-Восточной и Южной Азии. С 2019 года проявляет особый интерес к военным объектам и целям в Пакистане. Для осуществления первоначального доступа злоумышленники в основном используют фишинг.

ToddyCat

Как пишут некоторые исследователи, группа связана с Китаем. Деятельность группы отслеживается с 2020 года. В своих атаках использует различные инструменты, включая два ранее неизвестных, получивших названия Samurai и Ninja. Жертвами группы становятся государственные организации и телекоммуникационные компании, а также предприятия оборонного сектора в Азии и Европе.

Скачать тепловую карту