ПО Cycldek для кражи данных с физически изолированных устройств
Как сообщила «Лаборатория Касперского», ее эксперты обнаружили новые, более сложные, чем предполагалось ранее, инструменты APT-группировки Cycldek (известна по крайней мере с 2013 г.). В их числе вредоносное ПО USBCulprit, которое предназначено для кражи данных из корпоративной сети и дает злоумышленникам возможность проникнуть в отключенные от сети физически изолированные устройства. Это ПО активно с 2014 г., новые образцы появлялись в 2019 г.
Деятельность Cycldek (также известной как Goblin Panda, APT 27 и Conimes) нацелена преимущественно на крупные организации и правительственные учреждения в Юго-Восточной Азии. Эксперты «Лаборатории Касперского» обнаружили, что после 2018 г. большинство атак группировки начиналось с фишингового письма с RTF-вложением на политические темы, открытие которого приводило к использованию известных уязвимостей и загрузке вредоносного ПО NewCore RAT. Он, в свою очередь, устанавливал ПО USBCulprit, которое изучает пути к исполняемым файлам и собирает документы с определенными расширениями, а затем переносит их на подключаемые USB-устройства. Таким образом, можно предположить, что цель атаки – устройства, не подключенные к интернету или физически изолированные, передавать данные на которые можно только с помощью носителей.
При подключении промаркированных USBCulprit флэш-носителей вредоносное ПО или загружает туда украденные данные, или, наоборот, забирает данные, которые были записаны копией USBCulprit на отключенном от сети компьютере – в зависимости от конфигурации и полученных команд. Эта программа умеет находить специфические файлы, включая те, которые были недавно изменены, а также расширять свои возможности. Так, ее последние версии могут также исполнять файлы с подключенных USB-носителей.
В список собственных инструментов, используемых только Cycldek, входят также инструменты для кражи файлов cookie и паролей из баз данных веб-браузера.
Чтобы снизить риски стать жертвой Cycldek и других APT-группировок, эксперты рекомендуют компаниям в числе прочего внедрить EDR-решения для защиты конечных устройств, расследования и своевременного восстановления после инцидентов и продукты корпоративного уровня, детектирующие продвинутые угрозы на ранней стадии, а также использовать технологии контроля подключаемых устройств к компьютерам в корпоративной сети.