የAPT ዛቻ ቡድን በቅርቡ የኮሮና ቫይረስ ወረርሽኝን በመጠቀም ማልዌራቸውን ለማሰራጨት የስፒር ማስገር ዘመቻዎችን በመጠቀም ተገኝቷል።
አሁን ባለው የኮቪድ-19 የኮሮና ቫይረስ ወረርሽኝ ምክንያት ዓለም በአሁኑ ጊዜ ለየት ያለ ሁኔታ እያጋጠማት ነው። የቫይረሱን ስርጭት ለመግታት ለመሞከር በዓለም ዙሪያ ያሉ በርካታ ቁጥር ያላቸው ኩባንያዎች አዲስ የርቀት (የርቀት) ሥራን ጀምረዋል። ይህም የጥቃቱን ገጽታ በከፍተኛ ሁኔታ አስፍቷል, ይህም ለኩባንያዎች የመረጃ ደህንነትን በተመለከተ ትልቅ ፈተና የሚፈጥር ነው, ምክንያቱም አሁን ጥብቅ ደንቦችን ማውጣት እና እርምጃ መውሰድ አለባቸው. የድርጅቱን እና የአይቲ ስርዓቶቹን ቀጣይነት ለማረጋገጥ።
ነገር ግን፣ የተስፋፋው የጥቃት ወለል ባለፉት ጥቂት ቀናት ውስጥ ብቅ ያለው ብቸኛው የሳይበር አደጋ አይደለም፡ ብዙ የሳይበር ወንጀለኞች የማስገር ዘመቻዎችን ለማካሄድ፣ ማልዌርን ለማሰራጨት እና ለብዙ ኩባንያዎች የመረጃ ደህንነት ስጋት ለመፍጠር ይህንን አለም አቀፍ እርግጠኛ አለመሆን በንቃት እየተጠቀሙበት ነው።
APT ወረርሽኙን ይጠቀማል
ባለፈው ሳምንት መገባደጃ ላይ፣ Vicious Panda የሚባል የላቀ ቀጣይነት ያለው ስጋት (ኤፒቲ) ቡድን በመቃወም ዘመቻ ሲያካሂድ ተገኘ። የኮሮና ቫይረስ ወረርሽኝን በመጠቀም ማልዌሮቻቸውን ለማሰራጨት ይጠቀሙ። ኢሜይሉ ስለኮሮናቫይረስ መረጃ እንደያዘ ለተቀባዩ ነገረው፣ ነገር ግን በእርግጥ ኢሜይሉ ሁለት ተንኮል አዘል የ RTF (የበለጸገ ጽሑፍ ቅርጸት) ፋይሎችን ይዟል። ተጎጂው እነዚህን ፋይሎች ከከፈተ, የርቀት መዳረሻ ትሮጃን (RAT) ተጀመረ, ከሌሎች ነገሮች በተጨማሪ, ቅጽበታዊ ገጽ እይታዎችን ለማንሳት, በተጠቂው ኮምፒዩተር ላይ የፋይሎች እና ማውጫዎች ዝርዝሮችን መፍጠር እና ፋይሎችን ማውረድ ይችላል.
ዘመቻው እስካሁን የሞንጎሊያን የህዝብ ሴክተር ያነጣጠረ ሲሆን አንዳንድ የምዕራባውያን ባለሙያዎች እንደሚሉት የቻይናን በአለም ላይ በተለያዩ መንግስታት እና ድርጅቶች ላይ እያካሄደ ያለውን ዘመቻ የቅርብ ጊዜ ጥቃትን ይወክላል። በዚህ ጊዜ የዘመቻው ልዩ ሁኔታ አዲሱን ዓለም አቀፍ የኮሮና ቫይረስ ሁኔታ ተጠቂዎቹን በበለጠ በንቃት ለመበከል እየተጠቀመበት መሆኑ ነው።
የማስገር ኢሜይሉ ከሞንጎልያ የውጭ ጉዳይ ሚኒስቴር የመጣ ይመስላል እና በቫይረሱ የተያዙ ሰዎችን ቁጥር መረጃ ይዟል ይላል። ይህን ፋይል ለመታጠቅ፣ አጥቂዎቹ ሮያል ሮድን ተጠቅመው በቻይናውያን አስጊ ሰሪዎች ዘንድ ታዋቂ የሆነ መሳሪያ በመጠቀም ብጁ ሰነዶችን ከኤምኤስ ወርድ ጋር በተዋሃደ የኢኩዌሽን አርታኢ ውስጥ ያሉ ተጋላጭነቶችን እንዲፈጥሩ ያስችላቸዋል።
የመዳን ዘዴዎች
አንዴ ተጎጂው ተንኮል አዘል የ RTF ፋይሎችን ከከፈተ ማይክሮሶፍት ዎርድ ተንኮል አዘል ፋይሉን (intel.wll) ወደ Word startup ፎልደር (%APPDATA%MicrosoftWordSTARTUP) ለመጫን ተጋላጭነቱን ይጠቀማል። ይህንን ዘዴ በመጠቀም ዛቻው ወደ ጠንካራ ጥንካሬ ብቻ ሳይሆን በማጠሪያ ውስጥ በሚሰራበት ጊዜ አጠቃላይ የኢንፌክሽን ሰንሰለቱ እንዳይፈነዳ ይከላከላል ምክንያቱም ማልዌርን ሙሉ በሙሉ ለመጀመር ዎርድ እንደገና መጀመር አለበት።
የ intel.wll ፋይል ማልዌርን ለማውረድ እና ከጠላፊው ትዕዛዝ እና ቁጥጥር አገልጋይ ጋር ለመገናኘት የሚያገለግል DLL ፋይል ይጭናል። የትእዛዝ እና የቁጥጥር አገልጋዩ በየቀኑ ለተወሰነ ጊዜ ይሠራል ፣ ይህም በጣም ውስብስብ የሆነውን የኢንፌክሽን ሰንሰለትን ለመመርመር እና ለመድረስ አስቸጋሪ ያደርገዋል።
ይህ ቢሆንም, ተመራማሪዎቹ በዚህ ሰንሰለት የመጀመሪያ ደረጃ ላይ ወዲያውኑ ተገቢውን ትእዛዝ ከተቀበለ በኋላ RAT ተጭኗል እና ዲክሪፕት ዲኤልኤል (ዲኤልኤል) ወደ ማህደረ ትውስታ የሚጫነውን ለመወሰን ችለዋል. ፕለጊን መሰል አርክቴክቸር በዚህ ዘመቻ ከሚታየው ጭነት በተጨማሪ ሌሎች ሞጁሎች እንዳሉ ይጠቁማል።
ከአዲሱ APT ለመከላከል የሚወሰዱ እርምጃዎች
ይህ ተንኮል አዘል ዘመቻ በተጎጂዎቹ ስርአቶች ውስጥ ሰርጎ ለመግባት እና የመረጃ ደህንነታቸውን ለማበላሸት ብዙ ዘዴዎችን ይጠቀማል። እራስዎን ከእንደዚህ አይነት ዘመቻዎች ለመጠበቅ, የተለያዩ እርምጃዎችን መውሰድ አስፈላጊ ነው.
የመጀመሪያው እጅግ በጣም አስፈላጊ ነው፡ ሰራተኞቹ ኢሜይሎችን ሲቀበሉ በትኩረት እና ጥንቃቄ እንዲያደርጉ አስፈላጊ ነው. ኢሜል ከዋና ዋና የጥቃት ቬክተሮች አንዱ ነው፣ ነገር ግን ምንም አይነት ኩባንያ ያለ ኢሜል ማድረግ አይችልም ማለት ይቻላል። ከማይታወቅ ላኪ ኢሜይል ከተቀበልክ ባትከፍት ይሻላል እና ከከፈትክ ምንም ዓባሪ አይክፈት ወይም ማንኛውንም ማገናኛ ላይ ጠቅ አታድርግ።
የተጎጂዎችን የመረጃ ደህንነት ለማበላሸት ይህ ጥቃት በ Word ውስጥ ያለውን ተጋላጭነት ይጠቀማል። እንደ እውነቱ ከሆነ, ያልተጣበቁ ተጋላጭነቶች ናቸው እና ከሌሎች የደህንነት ጉዳዮች ጋር ወደ ዋና የመረጃ ጥሰቶች ሊመሩ ይችላሉ። ለዚህ ነው በተቻለ ፍጥነት ተጋላጭነትን ለመዝጋት ተገቢውን ፕላስተር መተግበር በጣም አስፈላጊ የሆነው.
እነዚህን ችግሮች ለማስወገድ በተለይ ለመለየት የተነደፉ መፍትሄዎች አሉ, . ሞጁሉ የኩባንያ ኮምፒውተሮችን ደህንነት ለማረጋገጥ አስፈላጊ የሆኑትን ጥገናዎች በራስ-ሰር ይፈልጋል ፣ በጣም አስቸኳይ ዝመናዎችን ቅድሚያ በመስጠት እና የመጫኛ ጊዜን ያዘጋጃል። መጫን ስለሚያስፈልጋቸው ጥገናዎች መረጃ ለአስተዳዳሪው በዝባዦች እና ተንኮል አዘል ዌር ሲገኙ እንኳን ሪፖርት ይደረጋል።
መፍትሄው ወዲያውኑ አስፈላጊ የሆኑትን ጥገናዎች እና ማሻሻያዎችን መጫን ይችላል, ወይም መጫኑ አስፈላጊ ከሆነ ያልተጣበቁ ኮምፒተሮችን በማግለል ከዌብ-ተኮር ማዕከላዊ ማኔጅመንት ኮንሶል መርሐግብር ሊይዝ ይችላል. በዚህ መንገድ አስተዳዳሪው ኩባንያው ያለችግር እንዲሰራ ለማድረግ ጥገናዎችን እና ማሻሻያዎችን ማስተዳደር ይችላል።
እንደ አለመታደል ሆኖ፣ በጥያቄ ውስጥ ያለው የሳይበር ጥቃት የንግዶችን የመረጃ ደህንነት ለማበላሸት አሁን ካለው የአለም አቀፍ የኮሮና ቫይረስ ሁኔታ ለመጠቀም የመጨረሻው አይሆንም።
ምንጭ: hab.com