'n Groep APT-bedreigings is onlangs ontdek met behulp van spiesvissingveldtogte om die koronaviruspandemie te ontgin om hul wanware te versprei.
Die wêreld beleef tans 'n uitsonderlike situasie as gevolg van die huidige Covid-19-koronaviruspandemie. Om die verspreiding van die virus te probeer keer, het 'n groot aantal maatskappye regoor die wêreld 'n nuwe modus van afgeleë (afgeleë) werk bekendgestel. Dit het die aanvaloppervlak aansienlik uitgebrei, wat 'n groot uitdaging vir maatskappye in terme van inligtingsekuriteit inhou, aangesien hulle nou streng reëls moet vasstel en aksie moet neem. om kontinuïteit van bedryf van die onderneming en sy IT-stelsels te verseker.
Die uitgebreide aanvaloppervlak is egter nie die enigste kuberrisiko wat in die laaste paar dae na vore gekom het nie: baie kubermisdadigers buit hierdie wêreldwye onsekerheid aktief uit om uitvissingsveldtogte te voer, wanware te versprei en 'n bedreiging vir die inligtingsekuriteit van baie maatskappye in te hou.
APT buit die pandemie uit
Laat verlede week is 'n Advanced Persistent Threat (APT)-groep genaamd Vicious Panda ontdek wat veldtogte teen , die koronaviruspandemie gebruik om hul wanware te versprei. Die e-pos het aan die ontvanger gesê dit bevat inligting oor die koronavirus, maar in werklikheid bevat die e-pos twee kwaadwillige RTF-lêers (Rich Text Format). As die slagoffer hierdie lêers oopgemaak het, is 'n Remote Access Trojan (RAT) geloods, wat onder andere in staat was om skermkiekies te neem, lyste van lêers en gidse op die slagoffer se rekenaar te skep en lêers af te laai.
Die veldtog het tot dusver Mongolië se openbare sektor geteiken, en volgens sommige Westerse kenners verteenwoordig dit die jongste aanval in die voortslepende Chinese operasie teen verskeie regerings en organisasies regoor die wêreld. Hierdie keer is die eienaardigheid van die veldtog dat dit die nuwe wêreldwye koronavirussituasie gebruik om sy potensiële slagoffers meer aktief te besmet.
Die uitvissing-e-pos blyk van die Mongoolse Ministerie van Buitelandse Sake te kom en beweer dat dit inligting bevat oor die aantal mense wat met die virus besmet is. Om hierdie lêer te wapen, het die aanvallers RoyalRoad gebruik, 'n gewilde hulpmiddel onder Chinese bedreigingmakers wat hulle in staat stel om persoonlike dokumente te skep met ingebedde voorwerpe wat kwesbaarhede in die Vergelykingsredigeerder wat in MS Word geïntegreer is, kan ontgin om komplekse vergelykings te skep.
Oorlewingstegnieke
Sodra die slagoffer die kwaadwillige RTF-lêers oopmaak, buit Microsoft Word die kwesbaarheid uit om die kwaadwillige lêer (intel.wll) in die Word-opstartgids (%APPDATA%MicrosoftWordSTARTUP) te laai. Deur hierdie metode te gebruik, word die bedreiging nie net veerkragtig nie, maar dit verhoed ook dat die hele infeksieketting ontplof wanneer dit in 'n sandbox loop, aangesien Word herbegin moet word om die wanware ten volle te begin.
Die intel.wll-lêer laai dan 'n DLL-lêer wat gebruik word om die wanware af te laai en met die kuberkraker se opdrag- en beheerbediener te kommunikeer. Die bevel- en beheerbediener werk elke dag vir 'n streng beperkte tydperk, wat dit moeilik maak om die mees komplekse dele van die infeksieketting te ontleed en toegang te verkry.
Ten spyte hiervan kon die navorsers vasstel dat in die eerste fase van hierdie ketting, onmiddellik na ontvangs van die toepaslike opdrag, die RAT gelaai en gedekripteer word, en die DLL word gelaai, wat in die geheue gelaai word. Die plugin-agtige argitektuur dui daarop dat daar ander modules is bykomend tot die loonvrag wat in hierdie veldtog gesien word.
Maatreëls om teen nuwe APT te beskerm
Hierdie kwaadwillige veldtog gebruik verskeie truuks om sy slagoffers se stelsels te infiltreer en dan hul inligtingsekuriteit in gedrang te bring. Om jouself teen sulke veldtogte te beskerm, is dit belangrik om 'n reeks maatreëls te tref.
Die eerste een is uiters belangrik: dit is belangrik vir werknemers om oplettend en versigtig te wees wanneer hulle e-posse ontvang. E-pos is een van die hoofaanvalvektore, maar byna geen maatskappy kan sonder e-pos klaarkom nie. As jy 'n e-pos van 'n onbekende sender ontvang, is dit beter om dit nie oop te maak nie, en as jy dit wel oopmaak, moenie enige aanhangsels oopmaak of op enige skakels klik nie.
Om die inligtingsekuriteit van sy slagoffers te kompromitteer, buit hierdie aanval 'n kwesbaarheid in Word uit. Trouens, ongelapte kwesbaarhede is die rede , en saam met ander sekuriteitskwessies kan dit tot groot data-oortredings lei. Dit is hoekom dit so belangrik is om die toepaslike pleister toe te pas om die kwesbaarheid so gou as moontlik te sluit.
Om hierdie probleme uit te skakel, is daar oplossings wat spesifiek ontwerp is vir identifikasie, . Die module soek outomaties na pleisters wat nodig is om die sekuriteit van maatskappyrekenaars te verseker, prioritiseer die mees dringende opdaterings en skeduleer die installasie daarvan. Inligting oor pleisters wat installasie vereis, word aan die administrateur gerapporteer, selfs wanneer misbruik en wanware opgespoor word.
Die oplossing kan onmiddellik die installering van vereiste pleisters en opdaterings aktiveer, of die installasie daarvan kan vanaf 'n webgebaseerde sentrale bestuurskonsole geskeduleer word, indien nodig, met die isolering van onaangepasde rekenaars. Op hierdie manier kan die administrateur pleisters en opdaterings bestuur om die maatskappy glad te laat werk.
Ongelukkig sal die betrokke kuberaanval beslis nie die laaste wees wat voordeel trek uit die huidige wêreldwye koronavirussituasie om die inligtingsekuriteit van besighede in die gedrang te bring nie.
Bron: will.com