Bu yaxınlarda bir qrup APT təhlükəsi, zərərli proqramlarını yaymaq üçün koronavirus pandemiyasından istifadə etmək üçün nizə fişinq kampaniyalarından istifadə edərək aşkar edildi.
Hazırda dünya hazırkı Covid-19 koronavirus pandemiyası səbəbindən müstəsna bir vəziyyət yaşayır. Virusun yayılmasının qarşısını almağa çalışmaq üçün dünya üzrə çoxlu sayda şirkət uzaqdan (uzaqdan) işin yeni rejimini işə salıb. Bu, informasiya təhlükəsizliyi baxımından şirkətlər üçün böyük problem yaradan hücum səthini xeyli genişləndirdi, çünki indi onlar ciddi qaydalar yaratmalı və tədbirlər görməlidirlər. müəssisənin və onun İT sistemlərinin fəaliyyətinin fasiləsizliyini təmin etmək.
Bununla belə, genişləndirilmiş hücum səthi son bir neçə gündə ortaya çıxan yeganə kiber risk deyil: bir çox kibercinayətkarlar bu qlobal qeyri-müəyyənlikdən fəal şəkildə fişinq kampaniyaları keçirmək, zərərli proqramları yaymaq və bir çox şirkətlərin informasiya təhlükəsizliyinə təhlükə yaratmaq üçün istifadə edirlər.
APT pandemiyadan istifadə edir
Keçən həftənin sonunda Vicious Panda adlı Qabaqcıl Davamlı Təhlükə (APT) qrupu aşkar edildi. , zərərli proqramlarını yaymaq üçün koronavirus pandemiyasından istifadə edir. E-poçt alıcıya koronavirus haqqında məlumatın olduğunu söylədi, lakin əslində e-poçtda iki zərərli RTF (Rich Text Format) faylı var. Qurban bu faylları açsa, digər şeylərlə yanaşı, ekran görüntülərini çəkə, qurbanın kompüterində fayl və qovluqların siyahılarını yarada və faylları endirməyə qadir olan Remote Access Trojan (RAT) işə salındı.
Kampaniya indiyədək Monqolustanın dövlət sektorunu hədəf alıb və bəzi Qərb ekspertlərinin fikrincə, Çinin dünyanın müxtəlif hökumət və təşkilatlarına qarşı davam edən əməliyyatında sonuncu hücumu təmsil edir. Bu dəfə kampaniyanın özəlliyi ondan ibarətdir ki, o, yeni qlobal koronavirus vəziyyətindən potensial qurbanlarını daha aktiv şəkildə yoluxdurmaq üçün istifadə edir.
Fişinq e-poçtunun Monqolustan Xarici İşlər Nazirliyinə aid olduğu və virusa yoluxmuş insanların sayı barədə məlumatın olduğu iddia edilir. Bu faylı silahlandırmaq üçün təcavüzkarlar, mürəkkəb tənliklər yaratmaq üçün MS Word-ə inteqrasiya olunmuş Tənlik Redaktorunda zəifliklərdən istifadə edə bilən daxili obyektlərlə xüsusi sənədlər yaratmağa imkan verən Çin təhdid istehsalçıları arasında məşhur alət olan RoyalRoad-dan istifadə etdilər.
Sağ qalma texnikaları
Qurban zərərli RTF fayllarını açdıqdan sonra Microsoft Word zərərli faylı (intel.wll) Word başlanğıc qovluğuna (%APPDATA%MicrosoftWordSTARTUP) yükləmək üçün boşluqdan istifadə edir. Bu üsuldan istifadə etməklə, təhlükə nəinki davamlı olur, həm də qum qutusunda işləyərkən bütün infeksiya zəncirinin partlamasının qarşısını alır, çünki zərərli proqramı tam işə salmaq üçün Word proqramı yenidən işə salınmalıdır.
Daha sonra intel.wll faylı zərərli proqramı yükləmək və hakerin komanda və idarəetmə serveri ilə əlaqə saxlamaq üçün istifadə edilən DLL faylını yükləyir. Komanda və idarəetmə serveri hər gün ciddi şəkildə məhdud müddət ərzində işləyir, bu da infeksiya zəncirinin ən mürəkkəb hissələrini təhlil etməyi və onlara daxil olmağı çətinləşdirir.
Buna baxmayaraq, tədqiqatçılar müəyyən edə biliblər ki, bu zəncirin birinci mərhələsində müvafiq əmr alındıqdan dərhal sonra RAT yüklənir və şifrəsi açılır, yaddaşa yüklənən DLL isə yüklənir. Pluginə bənzər arxitektura bu kampaniyada görülən faydalı yükə əlavə olaraq başqa modulların da olduğunu göstərir.
Yeni APT-yə qarşı qoruyucu tədbirlər
Bu zərərli kampaniya qurbanlarının sistemlərinə sızmaq və sonra onların informasiya təhlükəsizliyini pozmaq üçün çoxsaylı hiylələrdən istifadə edir. Özünüzü bu cür kampaniyalardan qorumaq üçün bir sıra tədbirlər görmək vacibdir.
Birincisi son dərəcə vacibdir: işçilərin elektron məktubları qəbul edərkən diqqətli və diqqətli olması vacibdir. E-poçt əsas hücum vektorlarından biridir, lakin demək olar ki, heç bir şirkət e-poçt olmadan edə bilməz. Əgər naməlum göndəricidən e-poçt alırsınızsa, onu açmamağınız daha yaxşıdır və əgər açırsınızsa, heç bir əlavəni açmayın və ya linklərə klikləməyin.
Qurbanlarının informasiya təhlükəsizliyini pozmaq üçün bu hücum Word proqramında zəiflikdən istifadə edir. Əslində, yamaqsız zəifliklər səbəbdir , və digər təhlükəsizlik problemləri ilə yanaşı, onlar böyük məlumat pozuntularına səbəb ola bilər. Buna görə zəifliyi mümkün qədər tez bağlamaq üçün müvafiq yamağı tətbiq etmək çox vacibdir.
Bu problemləri aradan qaldırmaq üçün, müəyyən etmək üçün xüsusi olaraq hazırlanmış həllər var, . Modul avtomatik olaraq şirkət kompüterlərinin təhlükəsizliyini təmin etmək üçün lazım olan yamaları axtarır, ən təcili yeniləmələrə üstünlük verir və onların quraşdırılmasını planlaşdırır. İstismarlar və zərərli proqramlar aşkar edildikdə belə, quraşdırma tələb edən yamalar haqqında məlumat administratora bildirilir.
Həll tələb olunan yamaqların və yeniləmələrin quraşdırılmasını dərhal işə sala bilər və ya lazım olduqda, yamaqsız kompüterləri təcrid etməklə onların quraşdırılması veb-əsaslı mərkəzi idarəetmə konsolundan planlaşdırıla bilər. Bu yolla, administrator şirkətin problemsiz işləməsini təmin etmək üçün yamaqları və yeniləmələri idarə edə bilər.
Təəssüf ki, sözügedən kiberhücum, şübhəsiz ki, mövcud qlobal koronavirus vəziyyətindən biznesin informasiya təhlükəsizliyini pozmaq üçün istifadə edən sonuncu hücum olmayacaq.
Mənbə: www.habr.com