Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Сотрудничество APT: Premier Pass-as-a-Service и посредник доступа

3 мин
Оглавление
Источник: www.trendmicro.com
Источник: www.trendmicro.com

Недавний анализ выявил новую форму взаимодействия между связанными с Китаем группировками APT — в частности, между Earth Estries и Earth Naga. Исследование описывает развивающуюся модель, получившую название Premier Pass-as-a-Service, при которой одна группа выступает в роли брокера доступа, предоставляя целевые сети для последующей эксплуатации другой стороне. Такая схема усложняет как обнаружение инцидентов, так и точную атрибуцию атак.

Кто задействован

В центре внимания — две киберугрозы: Earth Estries и Earth Naga. По доступным данным, Earth Estries чаще выступает как посредник доступа, тогда как Earth Naga и другие акторы могут использовать этот доступ для дальнейших операций.

Суть модели «Premier Pass-as-a-Service»

Модель характеризуется следующими характеристиками:

  • одна группа получает и поддерживает начальный доступ к инфраструктуре жертвы;
  • доступ передаётся или продаётся другим злоумышленникам, которые проводят дальнейшую эксплуатацию и сбор данных;
  • общее использование цифровых ресурсов (инструментов, бекдоров и инфраструктуры) делает поведенческие профили участников похожими и затрудняет разделение их действий.

Мишени и география атак

Деятельность Earth Estries была сосредоточена на ключевых секторах:

  • телекоммуникации;
  • государственные учреждения;
  • в отдельных эпизодах — розничная торговля.

География атак охватывает США, Азиатско-Тихоокеанский регион, Ближний Восток, а также недавно зафиксированные операции в Южной Америке и Южной Африке. В период с конца апреля по июль текущего года зафиксированы попытки компрометации как минимум двух крупных телекоммуникационных провайдеров в странах Азиатско-Тихоокеанского региона и у государств — членов NATO.

Инструментарий и признаки

Анализ указывает на общую «наборность» инструментов между группами. В ряде инцидентов замечено использование вредоносного ПО, идентифицированного как TrillClient. Совпадения в инструментарии и поведении дают основания полагать наличие общего цифрового ресурса или рынка доступа, хотя прямые доказательства тесного кооперативного управления отсутствуют.

Последствия для аналитики и оперативного реагирования

«Традиционная модель Diamond, которая рассматривает противника, инфраструктуру, возможности и жертву в качестве ключевых аспектов киберугрозы, может не учитывать нюансы, привносимые дублирующимися тактиками, техниками и процедурами (TTP) сотрудничающих злоумышленников.»

Авторы исследования подчёркивают, что классическая модель Diamond теряет часть аналитической ценности при рассмотрении коллективных или сервис-ориентированных схем. Для понимания современной динамики APT необходимо:

  • детально анализировать роли каждого актора в общей операционной цепочке;
  • учитывать наличие брокеров доступа и общих рынков инструментов;
  • пересматривать критерии атрибуции, опираясь не только на совпадения TTP, но и на оперативные связи и торговые отношения между группами.

Практические рекомендации для защиты

  • усилить мониторинг начальных векторов компрометации и индикаторов раннего доступа (persistent footholds, C2-связи, нестандартные учетные записи);
  • ориентироваться на выявление аномалий в поведении, а не только на сигнатуры известных инструментов;
  • обмениваться IOC и тактическими данными между секторами (особенно в телекомах), учитывая, что доступ может распространяться между различными акторами;
  • обновить методики атрибуции с учётом возможного использования общих ресурсов и «access as a service» схем;
  • проводить регулярный аудит цепочек поставок и третьих сторон, которые могут быть каналом передачи доступа.

Вывод

Переход от изолированных операций к моделям совместного использования доступа, таких как Premier Pass-as-a-Service, меняет ландшафт кибершпионажа. Совместное использование инструментов и инфраструктуры усложняет распознавание действий отдельных групп и повышает требования к аналитическим методам и оперативным процедурам реагирования. Для эффективной защиты организациям и сообществу кибербезопасности необходимо адаптировать аналитические рамки и укреплять сотрудничество в обмене данными об угрозах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Сотрудничество APT: Premier Pass-as-a-Service и посредник доступа".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
IT (информационные технологии)
Игровые консоли
Найти тему
Колонки и аудиосистемы
VR-очки
Ноутбуки
Наушники
Электронные книги
Машинное обучение (Machine Learning)
Форум «Цифровые решения»
Технологии будущего
Гаджеты и электроника
Смартфоны
Умные часы
Камеры и фототехника
Графические планшеты
Планшеты
Фитнес-трекеры
Нейронные сети (Neural Networks)
Кибербезопасность
Социальные сети и мессенджеры
Гаджеты и электроника
5,73 млн интересуются