CactusPete, også kendt som Karma Panda eller Tonto Teaь, er en cyberspionagegruppe, der har været aktiv siden 2012. De har ændret deres malware og går nu efter den militære og finansielle sektor. Målet er højst sandsynligt at få adgang til fortrolige oplysninger. Derudover antyder den hastighed, hvormed de nye malware-prøver er oprettet, at gruppen udvikler sig hurtigt. Derfor bør organisationer indenfor den militære og finansielle sektor være på vagt, advarer Kaspersky.

Denne seneste bølge af aktiviteter blev første gang bemærket af Kasperskys analytikere i februar 2020, da de så en opdateret version af gruppens bagdør, Bisonal. Ved at analysere den ondsindede kode for ligheder med allerede eksisterende koder, som bruges af kendte cyberkriminelle, kunne analytikerne forbinde denne ene malware-prøve med 300 andre.

Alle 300 prøver dukkede op mellem marts 2019 og april 2020 - ca. 20 prøver om måneden - hvilket understreger, at CactusPete har fart på. Faktisk forsætter gruppen med at forfine sine taktikker og få adgang til mere sofistikerede koder som ShadowPad.

Overtager systemer og høster kritisk information
Funktionaliteten i malwaren antyder, at gruppen er ude efter meget følsom information. Når den anvendte Bisonal-bagdør er installeret på offerets enhed, giver den gruppen mulighed for diskret at starte forskellige programmer, afslutte processer, uploade, downloade og slette filer samt hente en liste over tilgængelige drev. Når operatørerne har trængt sig dybere ind i det inficerede system, distribuerer de såkaldte ’keyloggers’, der registrer al aktivitet på tastaturet, så de kan høste legitimationsoplysninger og downloade ’privilege escalation’-malware, der gradvist giver dem mere og mere kontrol over systemet.

Det er uklart, hvordan bagdøren downloades i denne seneste kampagne. Tidligere har CactusPete primært været afhængig af spear-phishing, som er e-mails med ondsindede vedhæftede filer. Hvis de vedhæftede filer åbnes, bliver enheden inficeret.

- CactusPete er en ret interessant APT-gruppe, fordi den faktisk ikke er så avanceret – heller ikke Bisonal-bagdøren. Deres succes kommer ikke fra sofistikeret teknologi eller kompleks distribution og tilslørede taktikker, men fra en vellykket anvendelse af socialtekniske greb, hvor de manipulerer ofrene til at give dem adgang. Således er de er i stand til at inficere store mål, fordi deres ofre klikker på phishing-e-mails og åbner de ondsindede vedhæftede filer. Dette er et godt eksempel på, hvorfor phishing fortsat er en så effektiv metode til at igangsætte et cyberangreb - og hvorfor det er så vigtigt for virksomhederne at uddanne deres medarbejdere i, hvordan de spotter sådanne e-mails og holder sig opdaterede på de seneste trusler, kommenterer Konstantin Zykov, senior sikkerhedsforsker hos Kaspersky.