تم اكتشاف مجموعة من تهديدات APT مؤخرًا باستخدام حملات التصيد الاحتيالي لاستغلال جائحة فيروس كورونا لتوزيع برامجهم الضارة.
يعيش العالم حاليًا وضعًا استثنائيًا بسبب جائحة فيروس كورونا المستجد (كوفيد-19). ولمحاولة وقف انتشار الفيروس، أطلق عدد كبير من الشركات حول العالم وضعًا جديدًا للعمل عن بعد (عن بعد). وقد أدى هذا إلى توسيع نطاق الهجوم بشكل كبير، مما يشكل تحديًا كبيرًا للشركات فيما يتعلق بأمن المعلومات، حيث أنها تحتاج الآن إلى وضع قواعد صارمة واتخاذ الإجراءات اللازمة. لضمان استمرارية تشغيل المؤسسة وأنظمة تكنولوجيا المعلومات الخاصة بها.
ومع ذلك، فإن سطح الهجوم الموسع ليس هو الخطر السيبراني الوحيد الذي ظهر في الأيام القليلة الماضية: حيث يستغل العديد من مجرمي الإنترنت بنشاط حالة عدم اليقين العالمية هذه للقيام بحملات التصيد الاحتيالي، وتوزيع البرامج الضارة، ويشكلون تهديدًا لأمن المعلومات في العديد من الشركات.
APT تستغل الوباء
في أواخر الأسبوع الماضي، تم اكتشاف مجموعة للتهديدات المتقدمة المستمرة (APT) تسمى Vicious Panda كانت تقوم بحملات ضد ، باستخدام جائحة الفيروس التاجي لنشر البرامج الضارة الخاصة بهم. أخبرت رسالة البريد الإلكتروني المستلم أنها تحتوي على معلومات حول فيروس كورونا، ولكن في الواقع تحتوي رسالة البريد الإلكتروني على ملفين ضارين RTF (Rich Text Format). إذا فتح الضحية هذه الملفات، يتم إطلاق حصان طروادة للوصول عن بعد (RAT)، والذي كان قادرًا، من بين أمور أخرى، على التقاط لقطات شاشة وإنشاء قوائم بالملفات والأدلة على كمبيوتر الضحية وتنزيل الملفات.
واستهدفت الحملة حتى الآن القطاع العام في منغوليا، ووفقا لبعض الخبراء الغربيين، فإنها تمثل أحدث هجوم في العملية الصينية المستمرة ضد مختلف الحكومات والمنظمات في جميع أنحاء العالم. هذه المرة، تكمن خصوصية الحملة في أنها تستخدم الوضع العالمي الجديد لفيروس كورونا لإصابة ضحاياه المحتملين بشكل أكثر فعالية.
يبدو أن البريد الإلكتروني التصيدي مرسل من وزارة الخارجية المنغولية ويدعي أنه يحتوي على معلومات حول عدد الأشخاص المصابين بالفيروس. لاستخدام هذا الملف كسلاح، استخدم المهاجمون RoyalRoad، وهي أداة شائعة بين صانعي التهديدات الصينيين تسمح لهم بإنشاء مستندات مخصصة تحتوي على كائنات مضمنة يمكنها استغلال نقاط الضعف في محرر المعادلات المدمج في MS Word لإنشاء معادلات معقدة.
تقنيات البقاء
بمجرد أن يفتح الضحية ملفات RTF الضارة، يستغل Microsoft Word الثغرة الأمنية لتحميل الملف الضار (intel.wll) إلى مجلد بدء تشغيل Word (%APPDATA%MicrosoftWordSTARTUP). باستخدام هذه الطريقة، لا يصبح التهديد مرنًا فحسب، بل يمنع أيضًا سلسلة العدوى بأكملها من الانفجار عند التشغيل في وضع الحماية، حيث يجب إعادة تشغيل Word لتشغيل البرامج الضارة بالكامل.
يقوم الملف intel.wll بعد ذلك بتحميل ملف DLL الذي يتم استخدامه لتنزيل البرامج الضارة والتواصل مع خادم الأوامر والتحكم الخاص بالمتسلل. يعمل خادم القيادة والتحكم لفترة زمنية محدودة للغاية كل يوم، مما يجعل من الصعب تحليل الأجزاء الأكثر تعقيدًا في سلسلة العدوى والوصول إليها.
على الرغم من ذلك، تمكن الباحثون من تحديد أنه في المرحلة الأولى من هذه السلسلة، مباشرة بعد تلقي الأمر المناسب، يتم تحميل RAT وفك تشفيره، ويتم تحميل DLL، الذي يتم تحميله في الذاكرة. تشير البنية الشبيهة بالمكونات الإضافية إلى وجود وحدات أخرى بالإضافة إلى الحمولة التي تظهر في هذه الحملة.
تدابير للحماية من التهديدات المستمرة المتقدمة الجديدة
تستخدم هذه الحملة الخبيثة حيلًا متعددة للتسلل إلى أنظمة ضحاياها ومن ثم تعريض أمن معلوماتهم للخطر. لحماية نفسك من مثل هذه الحملات، من المهم اتخاذ مجموعة من التدابير.
العامل الأول مهم للغاية: من المهم أن يكون الموظفون منتبهين وحذرين عند تلقي رسائل البريد الإلكتروني. يعد البريد الإلكتروني أحد ناقلات الهجوم الرئيسية، ولكن لا يمكن لأي شركة تقريبًا الاستغناء عن البريد الإلكتروني. إذا تلقيت بريدًا إلكترونيًا من مرسل غير معروف، فمن الأفضل عدم فتحه، وإذا قمت بفتحه، فلا تفتح أي مرفقات أو تنقر على أي روابط.
لتهديد أمن المعلومات لضحاياه، يستغل هذا الهجوم ثغرة أمنية في Word. في الواقع، نقاط الضعف غير المصححة هي السبب وإلى جانب المشكلات الأمنية الأخرى، فإنها يمكن أن تؤدي إلى خروقات كبيرة للبيانات. ولهذا السبب من المهم جدًا تطبيق التصحيح المناسب لإغلاق الثغرة الأمنية في أسرع وقت ممكن.
وللتغلب على هذه المشاكل، توجد حلول مصممة خصيصًا لتحديد الهوية، . تبحث الوحدة تلقائيًا عن التصحيحات اللازمة لضمان أمان أجهزة كمبيوتر الشركة، مع إعطاء الأولوية للتحديثات الأكثر إلحاحًا وجدولة تثبيتها. يتم إبلاغ المسؤول بالمعلومات حول التصحيحات التي تتطلب التثبيت حتى عند اكتشاف عمليات استغلال وبرامج ضارة.
يمكن أن يؤدي الحل على الفور إلى تثبيت التصحيحات والتحديثات المطلوبة، أو يمكن جدولة تثبيتها من وحدة تحكم الإدارة المركزية على شبكة الإنترنت، إذا لزم الأمر، مع عزل أجهزة الكمبيوتر غير المصححة. بهذه الطريقة، يمكن للمسؤول إدارة التصحيحات والتحديثات للحفاظ على سير عمل الشركة بسلاسة.
ولسوء الحظ، فإن الهجوم السيبراني المعني لن يكون بالتأكيد آخر من يستغل الوضع الحالي لفيروس كورونا العالمي لتعريض أمن المعلومات للشركات للخطر.
المصدر: www.habr.com