Интерактивная карта показывает связи между вредоносами APT-группировок

Исследователи из компаний Intezer и Check Point Research объединили свои усилия и создали web-сайт с интерактивной картой, которая демонстрирует связи между образцами вредоносного ПО киберпреступных группировок, предположительно связанных с Россией.

Карту, получившую название Russian APT Map, может использовать любой пользователь для получения информации о связях между различными образцами вредоносного ПО, семействами вредоносных программ и злоумышленниками. По словам исследователей, карта представляет собой универсальный сервис для всех, кто заинтересован в изучении и понимании связей и характеристик образцов, модулей, семейств и преступников, которые вместе составляют данную «экосистему».

«Если щелкнуть узлы на графике, откроется боковая панель, содержащая информацию о семействе вредоносных программ, к которому принадлежит узел, а также ссылки на аналитические отчеты и внешние ссылки на соответствующие статьи и публикации», — поясняют исследователи.

Интерактивная карта является результатом всестороннего исследования, в ходе которого специалисты собрали, классифицировали и проанализировали более 2 тыс. образцов вредоносных программ, предположительно относящихся к российским киберпреступным группировкам, и сопоставили почти 22 тыс. связей между ними на основе 3,85 млн фрагментов кода. Карта также показывает, что, хотя большинство группировок повторно использовали собственный код в своих инструментах и​ ​инфраструктурах, не было зафиксировано ни одного случая, когда использовался чужой код.

Разработчики карты открыли ее исходный код и данные с целью улучшить ее эффективность и актуальность в будущем. Исследователи также выпустили инструмент сканирования на основе Yara, названный «Russian APT Detector», который можно использовать для анализа определенного файла, папки или всей файловой системы и поиска заражений.

Источник: Securitylab