Так, в мае был зафиксирован ряд атак на суперкомпьютеры, расположенные в Европе. По некоторым предположениям, они совершались с целью заполучить данные исследований, связанных с коронавирусом. Тема COVID-19 активно используется для совершения вредоносных операций. Так, например, была проведена кибератака, предположительно нацеленная на индийских военных. Злоумышленники распространяли троянские программы под видом приложения для контроля распространения коронавируса, обязательного для установки в Индии. Вскоре после этого была обнаружена аналогичная атака, нацеленная уже на пакистанских пользователей мобильных устройств.
Одним из ключевых событий прошедшего периода стало то, что группа Lazarus начала вести свою деятельность в РФ. Кроме того, в её арсенале появились программы-вымогатели — не типичный для APT-кампаний инструмент. Также эксперты обнаружили, что целями Lazarus являются не только кибершпионаж и киберсаботаж, но и кража денег. В числе жертв этой группы в прошлом квартале оказались различные банки и финансовые институты по всему миру.
Группа Microcin тоже расширила свой инструментарий и использовала необычный троянец. Его внедряли в память системного процесса на устройстве жертвы. Злоумышленники использовали при разработке усовершенствования, которые позволяют затруднить обнаружение и анализ вредоносного ПО.
Также в прошедшем квартале был обнаружен неизвестный ранее сложный фреймворк, который закреплялся в ядре Windows с помощью уязвимости в драйвере VirtualBox. Эксперты дали ему название MagicScroll (он же AcidBox).
В марте были обнаружены атаки типа watering hole («атака на водопое») группы HoneyMyte на государственные сайты в Юго-Восточной Азии. В них применялись метод белых списков и техники социальной инженерии. Злоумышленники загружали на устройство обычный ZIP-архив, в состав которого входил файл, активирующий утилиту Cobalt Strike. Для этого они устанавливали
Также во втором квартале были отмечены атаки зловреда LightSpy, вобравшего в себя функциональность множества общедоступных эксплойтов, на пользователей iOS-устройств. Вредоносное ПО распространялось через Telegram и Instagram.
«Ландшафт угроз во втором квартале был полон громких событий. Группы, занимающиеся целевыми атаками, активно развивали инструментарий и проводили операции, нацеленные на пользователей не только Windows, но и macOS, Linux, Android и iOS. Мы видим, что они продолжают инвестировать в разработку инструментов, диверсифицировать векторы атак и расширять список жертв, в которые в прошедшем квартале попали даже суперкомпьютерные центры. Ещё один тренд, который мы видим, — это охота за большими деньгами, например со стороны Lazarus и Deceptikons. И по-прежнему мощным двигателем остаётся геополитика. Вот почему важно инвестировать в аналитику данных об угрозах. Эффективная защита подразумевает постоянное развитие и актуализацию систем защиты компаний. Но, чтобы верно инвестировать ресурсы, принимать решения нужно на основе данных о том, какие угрозы являются актуальными и какие техники сейчас применяют вероятные атакующие», комментируют в компании.
Отчёт Kaspersky Lab основан на потоках данных, доступ к которым предоставляется по подписке. Эти потоки включают в том числе данные индикаторов взлома и правила YARA, помогающие опознавать и анализировать вредоносное ПО.