Згідно з останніми даними, російська державна хакерська група APT28 (також відома як Forest Blizzard та Pawn Storm) активізувала свою діяльність, запустивши нову хвилю цільових фішингових атак. Ці кампанії спрямовані на організації в Україні та країнах-членах НАТО. Основною метою цих атак є розгортання нового, раніше невідомого шкідливого програмного забезпечення, що отримало кодову назву PRISMEX.
Шкідливе ПЗ PRISMEX демонструє високий рівень складності та використовує кілька передових технік для уникнення виявлення та забезпечення стійкості. Серед ключових особливостей PRISMEX виділяють:
- Передова стеганографія: Використання прихованих методів для маскування шкідливого коду всередині легітимних файлів або даних, що ускладнює його виявлення традиційними засобами безпеки.
- Перехоплення COM-об'єктів (COM Hijacking): Зловживання функціоналом Component Object Model (COM) Windows для забезпечення персистентності та виконання шкідливого коду в контексті легітимних процесів.
- Зловживання легітимними хмарними сервісами: Використання популярних хмарних платформ для встановлення каналів зв'язку та управління (Command and Control, C2), що дозволяє шкідливому ПЗ ефективно обходити мережеві засоби захисту, маскуючи трафік під звичайну активність.
Ці методи дозволяють PRISMEX залишатися непоміченим протягом тривалого часу та ефективно виконувати свої шкідливі функції.
Кампанія APT28 з використанням PRISMEX становить пряму та значну загрозу для:
- Державних установ України: Включаючи урядові організації, критичну інфраструктуру та оборонний сектор.
- Організацій країн-членів НАТО: Особливо тих, що активно підтримують Україну або мають стратегічне значення.
- Міжнародних організацій та компаній: Що працюють у сферах, які можуть бути цікавими для російських спецслужб.
Цілеспрямованість атак підкреслює їхню політичну та геостратегічну мотивацію, спрямовану на збір розвідувальних даних та потенційне порушення функціонування критичних систем.
Для мінімізації ризиків від таких складних загроз, як PRISMEX, організаціям рекомендується вжити наступних заходів:
- Підвищення обізнаності користувачів: Проведення регулярних тренінгів щодо розпізнавання фішингових листів та підозрілих вкладень.
- Багатофакторна автентифікація (MFA): Запровадження MFA для всіх облікових записів, особливо для привілейованих користувачів та доступу до критичних систем.
- Посилений моніторинг мережі та кінцевих точок: Використання систем виявлення вторгнень (IDS/IPS) та розширених рішень для захисту кінцевих точок (EDR) для виявлення аномальної активності.
- Сегментація мережі: Розділення мережі на менші, ізольовані сегменти для обмеження поширення потенційної загрози.
- Регулярне оновлення програмного забезпечення: Забезпечення своєчасного встановлення патчів безпеки для операційних систем та всіх програмних продуктів.
- Резервне копіювання даних: Регулярне створення та перевірка резервних копій критичних даних, що зберігаються офлайн.