卡巴斯基发现攻击亚太区政府实体的APT活动

卡巴斯基研究人员发现了一种针对特定类型安全USB驱动器的持续性攻击活动，这种USB驱动器用于为安全数据存储提供加密。这种间谍行动被称为“TetrisPhantom”，其攻击对象为亚太地区的政府实体，并且与任何已知的威胁行为者都没有明显的重叠。卡巴斯基最新发布的APT威胁形势季度报告详细介绍了这些发现以及其他发现。

2023年初，卡巴斯基全球研究与分析团队发现一场由一个之前未知的威胁行为者发动的长期网络间谍活动。攻击者通过利用特定类型的安全 USB 驱动器，秘密监视并收集亚太地区政府实体的敏感数据。这种 USB 驱动器受硬件加密保护，可确保计算机系统之间数据的安全存储和传输。世界各地的政府组织都在使用这些安全 USB 驱动器，这意味着更多实体可能会成为类似技术的牺牲品。

这些攻击活动由各种恶意模块组成，通过这些模块，行为者可以对受害者的设备进行广泛控制。这些模块能够让攻击者执行命令，从被入侵的机器上收集文件和信息，并使用相同或不同的安全 USB 驱动器作为载体将这些文件和信息传输到其他机器上。此外，该APT还能在受感染系统上执行其他恶意文件。

卡巴斯基研究人员报告说，受害者数量有限，突显了攻击的高度针对性。

“我们的调查揭示了高度的复杂性，包括基于虚拟化的软件混淆，使用直接SCSI命令与USB驱动器的低级通信，以及通过连接的安全USB进行自我复制。这些攻击活动是由一个技术高超并且资源威胁丰富的威胁行为者发动的，他们对敏感的以及受保护的政府网络内的间谍活动有着浓厚的兴趣，”卡巴斯基全球研究与分析团队（GReAT）高级安全研究员Noushin Shabab评论说。

卡巴斯基研究人员没有观察到该威胁行为者与任何现有威胁行为者的任何重叠，但由于这次攻击活动仍在进行中，专家们将继续跟踪其进展，并预计在未来看到来自他们的更复杂的攻击。

有关TetrisPhantom的更多细节将在10月25日至28日召开的安全分析师大会（SAS）上披露。请积极参加以了解威胁最新的威胁形势趋势。

更多有关2023年第三季度的APT威胁形势，请访问Securelist.com.

为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者，卡巴斯基研究人员建议采取以下措施：

定期更新您的操作系统、应用程序和反病毒软件，修补所有已知漏洞。

谨慎处理要求提供敏感信息的邮件、短信或来电。在分享任何个人信息或点击可疑链接之前，请核实发件人的身份。

为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。

使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力

为了实现端点级别的检测、响应和及时的事件修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.