Activitatea grupurilor APT (advanced persistent threat) din al treilea trimestru al anului 2020 a indicat o tendință interesantă: în timp ce mulți atacatori cibernetici avansează și continuă să își diversifice seturile de instrumente, recurgând uneori la unele extrem de bine personalizate și persistente, alții își ating obiectivele prin utilizarea unor metode de atac bine cunoscute, testate în timp, arată un raport Kasperky Lab.
În al treilea trimestru al anului 2020, cercetătorii Kaspersky au observat o divizare a abordării generale folosite de atacatori – multiple evoluții în tacticile, tehnicile și procedurile (TTP) grupurilor APT din întreaga lume au fost analizate alături de campanii eficiente care au folosit vectori și instrumente de infectare destul de banale.
Una dintre cele mai relevante descoperiri ale trimestrului a fost o campanie desfășurată de un actor necunoscut, care a decis să distrugă sistemul de securitate al uneia dintre victime, folosind un ”bootkit” personalizat pentru UEFI – o componentă hardware esențială a oricărui dispozitiv computerizat modern. Acest vector a făcut parte dintr-un plan în mai multe etape, denumit MosaicRegressor.
Răspândirea UEFI a făcut ca malware-ul plantat pe dispozitiv să fie extrem de persistent și extrem de greu de eliminat. În plus, informația descărcată de malware pe dispozitivul fiecărei victime putea fi diferită – această abordare flexibilă i-a permis actorului să se ascundă și mai multă vreme.
Alți infractori cibernetici folosesc steganografia. O nouă metodă care folosește binarul Windows Defender semnat Authenticode, un program aprobat, parte integrantă pentru soluția de securitate Windows Defender, a fost detectată într-un atac asupra unei companii de telecomunicații din Europa.