IAmTheKing: kto stoi za niesławnym szkodliwym oprogramowaniem SlothfulMedia?

Na początku bieżącego miesiąca agencja DHS CISA opublikowała informacje na temat rodziny szkodliwego oprogramowania o nazwie SlothfulMedia przypisywanej zaawansowanemu cybergangowi. Szczegółowa analiza raportu wykazała, że firma Kaspersky śledziła tę aktywność od czerwca 2018 r., a stojących za nią cyberprzestępców określała nazwą IAmTheKing. Aktywność ugrupowania wskazuje, że jest ono sponsorowane przez rząd, a jego głównym celem jest gromadzenie danych wywiadowczych znaczących podmiotów.

Chociaż aktywność cybergangu IAmTheKing stała się powszechnie znana niedawno, działa on już od kilku lat. Ugrupowanie to posiada zestaw narzędzi, który szybko ewoluuje, oraz opanowało tradycyjne metodologie testów penetracyjnych. Ponadto wykazuje solidną znajomość Powershella – narzędzia do zarządzania automatyzacją i konfiguracją.

Na przestrzeni ostatnich kilku lat badacze z firmy Kaspersky wykryli trzy rodziny szkodliwego oprogramowania stworzone przez to samo ugrupowanie, którym nadali nazwy: KingOfHearts, QueenOfHearts oraz QueenOfClubs (rodzina ta została zidentyfikowana przez DHS CISA pod nazwą SlothfulMedia). Wszystkie trzy rodziny to backdoory, tj. programy zapewniające zdalny dostęp do zainfekowanego urządzenia. Jednak wśród narzędzi wykorzystywanych przez wspomniane cyberugrupowanie znajduje się również m.in. pokaźny arsenał skryptów Powershell oraz moduł do przechwytywania zrzutów ekranu.

Stosując głównie techniki spersonalizowanego phishingu, cyberprzestępcy zainfekowali urządzenia ofiar szkodliwym oprogramowaniem, a następnie wykorzystali znane programy testowania bezpieczeństwa w celu złamania zabezpieczeń kolejnych maszyn w sieci.

Do niedawna gang IAmTheKing koncentrował się wyłącznie na zbieraniu danych wywiadowczych z istotnych podmiotów rosyjskich. Wśród ofiar znajdowały się organizacje rządowe oraz wykonawcy z branży obronnej, agencje rozwoju publicznego, uniwersytety oraz przedsiębiorstwa energetyczne. Jednak w 2020 r. firma Kaspersky zidentyfikowała sporadyczne przypadki aktywności IamTheKing w Azji Centralnej oraz państwach Europy Wschodniej. Agencja DHS CISA donosiła również o aktywności tego ugrupowania na Ukrainie i w Malezji. Nie wiadomo, czy zmiana lokalizacji celów oznacza, że cyberugrupowanie dostosowuje swoją strategię, czy też jego zestaw narzędzi jest teraz wykorzystywany przez inne grupy cyberprzestępcze.

IamTheKing działa już od kilku lat. Jego aktywność jest niezwykle specyficzna, natomiast zestaw narzędzi – chociaż zaawansowany – nie wyróżnia się szczególnie pod względem technicznym. Teraz, gdy cyberugrupowanie to zostało ujawnione, więcej organizacji będzie analizowało jego arsenał. Dlatego też oferujemy dane, które udało nam się zebrać do tej pory, by wesprzeć współpracę społeczności oraz pomóc innym specjalistom ds. cyberbezpieczeństwa przygotować się do ochrony przed tym cybergangiem. Trzeba jednak pamiętać, że IAmTheKing jest teraz znany publicznie, dlatego może próbować modyfikować i uaktualniać swoje narzędzia. Nadal będziemy prowadzić dochodzenie w sprawie tego ugrupowania i dzielić się informacjami na temat jego aktywności z naszymi klientamipowiedział Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Więcej informacji na temat zestawu narzędzi cyberugrupowania IamTheKing znajduje się na stronie https://kas.pr/i674.

Baner zgody na pliki cookie od Real Cookie Banner