«Лаборатория Касперского» выпустила практическое руководство по техникам, тактикам и процедурам азиатских APT-групп

10.11.2023
«Лаборатория Касперского» выпустила практическое руководство по техникам, тактикам и процедурам азиатских APT-групп

«Лаборатория Касперского» выпустила отчёт о тактиках, техниках и процедурах азиатских APT-групп. Команда Kaspersky Cyber Threat Intelligence проанализировала около сотни инцидентов, произошедших в разных уголках мира в 2022-2023 гг., и исследовала действия атакующих на основе методологии Unified Kill Chain (UKC). В качестве примеров эксперты описали пять геораспределённых инцидентов: в России и Беларуси, Индонезии, Малайзии, Аргентине, Пакистане.

В получившемся аналитическом отчёте объёмом 370 страниц подробно описываются тактики, техники и процедуры, используемые азиатскими кибергруппами на каждом из этапов атаки, даны рекомендации, как бороться с подобными атаками, и содержатся Sigma-правила для их детектирования.

В рамках исследования команда Cyber Threat Intelligence опиралась на международные инструменты, практики и методологии, в первую очередь UKC, а также MITRE ATT&CK, F3EAD, Pyramid of Pain by David Bianco, Intelligence Driven Incident Response. Несмотря на то, что рассмотренные в отчёте группы проводят огромное количество атак, спектр используемых ими техник ограничен. Это позволило экспертам глубоко погрузиться в их анализ и выявить общий «почерк».

Инструменты

Разные кибергруппы используют схожие методы и инструменты, что сокращает время подготовки к атаке и облегчает процесс взлома. В отчёте подробно описаны паттерны, характерные для азиатских кибергрупп. На основе этой информации компании могут не только идентифицировать атакующих, но и заметить развивающуюся атаку на ранней стадии.

Цели

Кибергруппы, о которых идёт речь в отчёте, специализируются на кибершпионаже, не прибегая к вымогательству, шифрованию или нарушению производственных процессов. Об этом свидетельствуют их попытки собрать конфиденциальную информацию и передать её в легальные облачные сервисы или по внешним каналам. 

Жертвы

Среди мишеней — государственные органы, промышленные предприятия, медицинские учреждения, ИТ-компании, сельскохозяйственные и энергетические организации. 

Меры противодействия

Результаты анализа тактик, техник и процедур злоумышленников позволили экспертам «Лаборатории Касперского» разработать набор тщательно продуманных Sigma-правил, помогающих специалистам по информационной безопасности обнаруживать потенциальные атаки в своей инфраструктуре.

«Несмотря на большое количество акторов и видимую сложность атак, их всё же можно классифицировать по тактикам, техникам и процедурам. Информация о техниках, используемых атакующими из Азии, позволяет выстроить эффективную защиту от соответствующих угроз. Такие данные мы и собрали в нашем отчёте. С его помощью ИБ-специалисты по всему миру, в том числе аналитики SOC, команды по активному поиску угроз, аналитики киберугроз, специалисты по цифровой криминалистике и реагированию на инциденты, смогут эффективно противостоять потенциальным угрозам», — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского».

Исследователи «Лаборатории Касперского» постоянно находят новые инструменты, методы и кампании групп, которые организуют сложные целевые атаки. Эксперты компании отслеживают более 900 APT-групп и кластеров активности, причём цель 90% из них — кибершпионаж.


Популярные материалы