Что такое APT?
APT (Advanced Persistent Threat) - группа злоумышленников, обычно спонсируемая государством или относящаяся к силовым ведомствам, которая участвует в продолжительных кибератаках на организации или страны. Дословный перевод термина — продвинутая постоянная угроза. Также этот термин может относится к нефинансируемым государством группам, осуществляющим, тем не менее, крупномасштабные целевые вторжения для достижения определённых целей.
APT Lifting Zmiy
Название группе дали исследователи из Solar 4RAYS. Атаки группировки направлены на российские компании и госорганы. Lifting Zmiy оперирует инструментарием с открытым исходным кодом и демонстрирует высокий уровень знания Linux-систем. Также они были замечены во взломе ПЛК (Программируемые Логические Контроллеры), используемых для управления лифтовым оборудованием, в связи с чем и получили свое название.
Пример сценария атак
APT Lifting Zmiy получает первоначальный доступ к устройствам путем перебора паролей к учетным данным (TA0001 (https://attack.mitre.org/tactics/TA0001/), T1110 (https://attack.mitre.org/techniques/T1110/)). Для закрепления группировка загружает вредоносное ПО, выдающее себя за легитимное (прим. калькулятор 'calc.exe' для ОС семейства Windows), устанавливающее на устройство жертвы 'Reverse SSH' для дальнейшего удаленного SSH-подключения к устройству жертвы (TA0002 (https://attack.mitre.org/tactics/TA0002/), T1059 (https://attack.mitre.org/techniques/T1059/), TA0005 (https://attack.mitre.org/tactics/TA0005/), T1112 (https://attack.mitre.org/techniques/T1112/), T1564 (https://attack.mitre.org/techniques/T1564/), TA0011 (https://attack.mitre.org/tactics/TA0011/), T1105 (https://attack.mitre.org/techniques/T1105/)). Далее APT производит кражу чувствительных данных со скомпрометированных устройств (TA0007 (https://attack.mitre.org/tactics/TA0007/), T1012 (https://attack.mitre.org/techniques/T1012/), T1082 (https://attack.mitre.org/techniques/T1082/), TA0009 (https://attack.mitre.org/tactics/TA0009/), TA0010 (https://attack.mitre.org/tactics/TA0010/), T1041 (https://attack.mitre.org/techniques/T1041/)). После получения интересующей информации, либо при отсутствии возможности дальнейшего продвижения по инфраструктуре, приступает к ее уничтожению (TA0040 (https://attack.mitre.org/tactics/TA0040/), T1485 (https://attack.mitre.org/techniques/T1485/)).
Используемый инструментарий
* "Reverse SSH" - ПО с открытым исходным кодом для установки удаленного соединения с устройством жертвы
* "SSH-IT" - ПО для перехвата вводимых команд в рамках SSH сессий
* "mig-logcleaner" - инструмент для очистки журналов ОС Linux
* набор утилит "gsocket" - инструментарий, используемый для установления коммуникации с командными серверами*
Меры противодействия
Защитить свою систему помогут продукты компании "ИнфоТеКС" ViPNet IDS NS, ViPNet TIAS, ViPNet EndPoint Protection или ViPNet IDS HS.
В базах решающих правил AM Rules ПМ от 06.07.2024 уже доступны способы защиты от инструментария группировки: правило для обнаружения запускаемого вредоносного ПО и правила для обнаружения постэксплуатации.