Unit 42 benämner aktören Screening Serpens (även känd som Smoke Sandstorm, Iranian Dream Job och UNC1549). Gruppen har fortsatt att bedriva intensiva spionagekampanjer även när internetinfrastrukturen och ledningscentralerna i regionen låg nere.
Screening Serpens är inspirerad av Nordkorea i det att de använder mycket sofistikerade ”rekryteringsbeten” för att rikta sig mot mjukvaruingenjörer. Gruppen utgav sig för att vara välkända varumärken och rekryteringsplattformar för att skapa förtroende och lura måltavlor att initiera cyberinfektionen.
Ny metod för att undvika upptäckt – Appdomain hijacking
Unit 42 har identifierat en förändring i hur gruppen kör sin skadliga kod. Genom att manipulera initieringsfasen i .NET-applikationer kan aktören kringgå traditionell säkerhetstelemetri redan innan många standardskydd på endpoint-nivå hunnit aktiveras fullt ut. Metoden gör det möjligt för angriparna att etablera persistens och behålla kontroll över dataexfiltration.
Flera lager
– När APT-grupper som Screening Serpens fortsätter att utvecklas och utnyttja avancerade frontier AI-teknologier räcker inte längre traditionella endpoint-säkerhetslösningar till. Moderna organisationer behöver ett försvar baserat på flera lager och beteendeanalys, säger Elad Koren, VP Product Management på Palo Alto och fortsätter:
– Genom att fokusera på att identifiera avvikande beteenden redan vid installationstillfället – i det här fallet Appdomain Hijacking eller avstängning av systemtelemetri – kan försvarare stoppa sofistikerade attackkedjor innan de får fäste. Att övervaka applikationers logik och beteende är nu en grundförutsättning för proaktivt cyberskydd.
.jpg?w=480&action=fill&sh=3f660 "En enhetlig plattform för fysisk säkerhet, såsom Genetec Security Center SaaS, integrerar centrala funktioner som videoövervakning, passerkontroll, inbrottslarm och kommunikation på en grundläggande nivå.")
Global
