26.07.2024

Компания Positive Technologies опубликовала исследование деятельности APT-группировок[1], атакующих организации в странах Юго-Восточной Азии[2]. Больше всего атак в регионе пришлось на Филиппины и Вьетнам. В тройку самых атакуемых отраслей региона вошли государственные учреждения, телекоммуникационные компании и военно-промышленный комплекс.

Согласно исследованию, в топ-5 стран региона по числу атакующих APT-группировок входят Филиппины (85%), Вьетнам (85%), Таиланд (70%), Малайзия (70%) и Индонезия (60%)[3].

"Юго-Восточная Азия является важной территорией как с точки зрения мировой экономики, так и с точки зрения геополитики. Мы проанализировали деятельность 20 APT-группировок, атаковавших Юго-Восточную Азию за период с января 2020 года по апрель 2024 года. Все они нацелены на государственные организации региона. Под ударом также телекоммуникационные компании, их атакуют 60% APT-группировок соответственно, а каждая вторая группировка предпринимает действия, направленные на организации военно-промышленного комплекса. Кроме того, более трети киберпреступных группировок атакуют предприятия из сфер науки и образования (45%), промышленности (40%) и финансов (35%)", — рассказала Яна Авезова, старший аналитик исследовательской группы Positive Technologies.

Телекоммуникации также находятся под пристальным вниманием злоумышленников, в том числе благодаря распространению в регионе технологии 5G. Поскольку темпы внедрения новых технологий в Юго-Восточной Азии опережают развитие кибербезопасности, быстрое развертывание телекоммуникаций 5G может увеличивать рост числа кибератак на эту отрасль.

Как выяснили аналитики Positive Technologies, три четверти исследованных APT-группировок начинают кибератаки с фишинговых рассылок, а половина из них эксплуатируют уязвимости в общедоступных системах, например в серверах Microsoft Exchange. Фишинговые кампании, согласно исследованию, нередко привязаны по времени к значимым для региона событиям, включая саммиты АСЕАН. Ряд APT-группировок (30%) используют в качестве первоначального этапа атаку типа watering hole, размещая на веб-сайтах скрипты, которые незаметно загружают на компьютеры посетителей вредоносные программы.

Проникнув в сеть, злоумышленники начинают исследовать среду, в которой они оказались. По данным экспертов Positive Technologies, большинство (80%) APT-группировок стремятся идентифицировать пользователей скомпрометированных узлов. Эту информацию можно использовать для повышения привилегий или продвижения в инфраструктуре. Из исследованных APT-группировок 70% собирают данные о конфигурации сети, а также просматривают файлы и каталоги в поисках полезной информации. Еще 60% APT-группировок изучают запущенные на узле процессы, что помогает им составить представление об установленных средствах защиты.

В арсенале изученных экспертами APT-группировок есть множество инструментов, в том числе уникальное ПО собственной разработки. В то же время все они используют в атаках легитимные инструменты, которые уже есть в скомпрометированной системе. Это позволяет им маскировать свои действия под действия IT-персонала и избегать обнаружения. Так, 70% APT-группировок применяют Cobalt Strike — коммерческое ПО, которое создавалось как инструмент для тестирования на проникновение, но обширные функциональные возможности которого сегодня активно эксплуатируются злоумышленниками. Например, подгруппа Earth Longzhi группировки APT41 в атаках на организации Филиппин, Таиланда, Малайзии и Индонезии использовала специальные версии загрузчиков Cobalt Strike со сложными механизмами защиты от обнаружения. Вкупе с другими техниками это позволило злоумышленникам оставаться незамеченными в инфраструктуре жертв с сентября 2021 года по июнь 2022-го.

Для борьбы со сложными целевыми атаками и построения эффективной системы защиты эксперты Positive Technologies рекомендуют организациям обратить внимание на основы подхода результативной кибербезопасности, которые включают:

  • инвентаризацию IT-активов;
  • мониторинг и реагирование на инциденты;
  • повышение киберграмотности сотрудников;
  • оценку защищенности.

Ознакомиться с полным перечнем тактик и техник APT-группировок, действующих в Юго-Восточной Азии, можно в исследовании на сайте Positive Technologies.


[1] APT-группировка — киберпреступная группа, совершающая многоэтапные и тщательно спланированные атаки, направленные на конкретную отрасль экономики или группу отраслей.

[2] География APT-атак в исследовании ограничена странами — членами Ассоциации государств Юго-Восточной Азии (АСЕАН), в которую входят Бруней, Вьетнам, Индонезия, Камбоджа, Лаос, Малайзия, Мьянма, Таиланд, Сингапур, Филиппины.

[3] Указаны доли от общего числа рассмотренных в исследовании APT-группировок.