Technologie » Internet
IAmTheKing: kto stoi za niesławnym szkodliwym oprogramowaniem SlothfulMedia?
Zobacz więcej zdjęć » |
Szczegółowa analiza raportu wykazała, że firma Kaspersky śledziła tę aktywność od czerwca 2018 r., a stojących za nią cyberprzestępców określała nazwą IAmTheKing. Aktywność ugrupowania wskazuje, że jest ono sponsorowane przez rząd, a jego głównym celem jest gromadzenie danych wywiadowczych znaczących podmiotów.
Chociaż aktywność cybergangu IAmTheKing stała się powszechnie znana niedawno, działa on już od kilku lat. Ugrupowanie to posiada zestaw narzędzi, który szybko ewoluuje, oraz opanowało tradycyjne metodologie testów penetracyjnych. Ponadto wykazuje solidną znajomość Powershella – narzędzia do zarządzania automatyzacją i konfiguracją.
Zamów artykuły sponsorowane na serwisie CentrumPR.pl w kilka minut, poprzez platformę Link Buildingu np.:
Przeczytaj również
- Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców
- Badanie Kaspersky Lab: ludzie są skłonni pozbyć się swoich zdjęć i innych danych za niedużą kwotę
- Technologia kontroli aplikacji firmy Kaspersky Lab wygrywa w testach AV-TEST
- Liczba roku: Każdego dnia Kaspersky Lab wykrywa 315 000 nowych szkodliwych plików
Na przestrzeni ostatnich kilku lat badacze z firmy Kaspersky wykryli trzy rodziny szkodliwego oprogramowania stworzone przez to samo ugrupowanie, którym nadali nazwy: KingOfHearts, QueenOfHearts oraz QueenOfClubs (rodzina ta została zidentyfikowana przez DHS CISA pod nazwą SlothfulMedia). Wszystkie trzy rodziny to backdoory, tj. programy zapewniające zdalny dostęp do zainfekowanego urządzenia. Jednak wśród narzędzi wykorzystywanych przez wspomniane cyberugrupowanie znajduje się również m.in. pokaźny arsenał skryptów Powershell oraz moduł do przechwytywania zrzutów ekranu.
Stosując głównie techniki spersonalizowanego phishingu, cyberprzestępcy zainfekowali urządzenia ofiar szkodliwym oprogramowaniem, a następnie wykorzystali znane programy testowania bezpieczeństwa w celu złamania zabezpieczeń kolejnych maszyn w sieci.
Do niedawna gang IAmTheKing koncentrował się wyłącznie na zbieraniu danych wywiadowczych z istotnych podmiotów rosyjskich. Wśród ofiar znajdowały się organizacje rządowe oraz wykonawcy z branży obronnej, agencje rozwoju publicznego, uniwersytety oraz przedsiębiorstwa energetyczne. Jednak w 2020 r. firma Kaspersky zidentyfikowała sporadyczne przypadki aktywności IamTheKing w Azji Centralnej oraz państwach Europy Wschodniej. Agencja DHS CISA donosiła również o aktywności tego ugrupowania na Ukrainie i w Malezji. Nie wiadomo, czy zmiana lokalizacji celów oznacza, że cyberugrupowanie dostosowuje swoją strategię, czy też jego zestaw narzędzi jest teraz wykorzystywany przez inne grupy cyberprzestępcze.
IamTheKing działa już od kilku lat. Jego aktywność jest niezwykle specyficzna, natomiast zestaw narzędzi – chociaż zaawansowany – nie wyróżnia się szczególnie pod względem technicznym. Teraz, gdy cyberugrupowanie to zostało ujawnione, więcej organizacji będzie analizowało jego arsenał. Dlatego też oferujemy dane, które udało nam się zebrać do tej pory, by wesprzeć współpracę społeczności oraz pomóc innym specjalistom ds. cyberbezpieczeństwa przygotować się do ochrony przed tym cybergangiem. Trzeba jednak pamiętać, że IAmTheKing jest teraz znany publicznie, dlatego może próbować modyfikować i uaktualniać swoje narzędzia. Nadal będziemy prowadzić dochodzenie w sprawie tego ugrupowania i dzielić się informacjami na temat jego aktywności z naszymi klientami – powiedział Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.
Więcej informacji na temat zestawu narzędzi cyberugrupowania IamTheKing znajduje się na stronie https://kas.pr/i674.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.
Komentarze (0)