Нядаўна выяўлена група APT-пагроз, якая ў рамках кампаній па мэтавым фішынгу выкарыстоўвала пандэмію каранавіруса для распаўсюджвання свайго шкоднаснага ПЗ.
У цяперашні час свет перажывае выключную сітуацыю, звязаную з цяперашняй пандэміяй каранавіруса Covid-19. Каб паспрабаваць спыніць распаўсюджванне віруса, вялікая колькасць кампаній па ўсім свеце запусцілі новы рэжым выдаленай (дыстанцыйнай) працы. Гэтая акалічнасць значна пашырыла паверхню нападу, што ўяўляе сабой вялікую праблему для кампаній у плане інфармацыйнай бяспекі, паколькі зараз ім неабходна ўсталяваць цвёрдыя правілы і прадпрымаць. для забеспячэння бесперапыннасці працы прадпрыемства і яго ІТ-сістэм.
Аднак пашыраная паверхня нападаў - гэта не адзіны кібер-рызыка, які ўзнік у апошнія некалькі дзён: многія кібер-злачынцы актыўна выкарыстоўваюць гэтую глабальную нявызначанасць для правядзення фішынгавых кампаній, распаўсюджвання шкоднасных праграм і стварэння пагрозы інфармацыйнай бяспекі для многіх кампаній.
APT выкарыстоўвае пандэмію
У канцы мінулага тыдня была знойдзена група пастаянных пагроз павышанай складанасці (Advanced Persistent Threat, APT), якая атрымала назву Vicious Panda, якая праводзіла кампаніі па , выкарыстоўваючы пандэмію каранавіруса для распаўсюджвання свайго шкоднаснага ПЗ. У электронным лісце атрымальніку паведамлялася, што ён утрымоўвае інфармацыю аб каранавірусе, але насамрэч у лісце было два шкоднасных файла RTF (фармат Rich Text). Калі ахвяра адчыняла гэтыя файлы, то запускаўся траян выдаленага доступу (Remote Access Trojan, RAT), які апроч іншага здольны рабіць скрыншоты, ствараць спісы файлаў і каталогаў на кампутары ахвяры, а таксама загружаць файлы.
Да гэтага часу гэтая кампанія была накіравана супраць дзяржаўнага сектара Манголіі, і, на думку шэрагу заходніх экспертаў, яна ўяўляе сабой самую «свежую» атаку ў кітайскай аперацыі, якая працягваецца супраць розных урадаў і арганізацый па ўсім свеце. На гэты раз асаблівасцю кампаніі з'яўляецца тое, што яна выкарыстоўвае новую сусветную сітуацыю з каранавірусам для больш актыўнага заражэння сваіх патэнцыйных ахвяр.
Фішынгавы ліст выглядае так, нібы ён быў адпраўлены з Міністэрства замежных спраў Манголіі, і ў ім сцвярджаецца, што ён утрымлівае інфармацыю аб колькасці людзей, заражаных вірусам. Каб "узброіць" гэты файл, зламыснікі выкарыстоўвалі RoyalRoad - папулярная прылада сярод кітайскіх стваральнікаў пагроз, які дазваляе ім ствараць карыстацкія дакументы са ўбудаванымі аб'ектамі, здольныя выкарыстоўваць уразлівасці ў Рэдактары раўнанняў, інтэграваным у MS Word для стварэння складаных раўнанняў.
Тэхнікі павышэння жывучасці
Як толькі ахвяра адчыняе шкоднасныя файлы RTF, у Microsoft Word выкарыстоўваецца ўразлівасць для загрузкі шкоднаснага файла (intel.wll) у тэчку аўтазагрузкі Word (%APPDATA%MicrosoftWordSTARTUP). З дапамогай гэтага метаду пагроза не толькі набывае ўстойлівасць, але і прадухіляецца дэтанацыя ўсяго ланцужка заражэння пры яе запуску ў пясочніцы, паколькі для поўнага запуску шкоднаснага ПА патрабуецца перазапусціць Word.
Затым файл intel.wll загружае DLL-файл, які выкарыстоўваецца для загрузкі шкоднаснага ПЗ і для сувязі з серверам кіравання хакера. Праца сервера кіравання ажыццяўляецца на працягу строга абмежаванага перыяду часу кожны дзень, што абцяжарвае аналіз і доступ да найболей складаных частак ланцужка заражэння.
Нягледзячы на гэта, даследнікі змаглі ўсталяваць, што на першым этапе гэтага ланцужка адразу пасля атрымання адпаведнай каманды загружаецца і расшыфроўваецца RAT, а таксама загружаецца DLL, якая загружаецца ў памяць. Архітэктура, падобная на плягін, мяркуе, што ў дадатак да карыснай нагрузкі, заўважанай у гэтай кампаніі, ёсць і іншыя модулі.
Меры абароны ад новага APT
Гэтая шкоднасная кампанія мае мноства спосабаў падману, якія дазваляюць пранікнуць у сістэмы сваіх ахвяр і пасля гэтага паставіць пад пагрозу іх інфармацыйную бяспеку. Каб абараніцца ад такіх кампаній, важна рабіць цэлы шэраг мер.
Першая з іх надзвычай важная: пры атрыманні электронных лістоў супрацоўнікам важна быць уважлівымі і асцярожнымі. Электронная пошта з'яўляецца адным з асноўных вектараў нападу, але пры гэтым без пошты не можа абыйсціся амаль ні адна кампанія. Калі вы атрымалі ліст ад невядомага адпраўніка, то лепш не адкрывайце яго, а калі ўсё ж адкрылі яго, то не адкрывайце ніякіх укладанняў і не націскайце на якія-небудзь спасылкі.
Каб паставіць пад пагрозу інфармацыйную бяспеку сваіх ахвяр, гэты напад выкарыстоўвае ўразлівасць у Word. Насамрэч, незачыненыя ўразлівасці з'яўляюцца прычынай , а таксама нараўне з іншымі праблемамі бяспекі яны могуць прывесці да буйных парушэнняў дадзеных. Вось чаму так важна як мага хутчэй ужываць які адпавядае патч для зачынення ўразлівасці.
Каб ухіліць гэтыя праблемы, ёсць рашэнні, адмыслова распрацаваныя для ідэнтыфікацыі, . Модуль аўтаматычна шукае патчы, неабходныя для забеспячэння бяспекі кампутараў у кампаніі, расстаўляючы прыярытэты сярод найболей тэрміновых абнаўленняў і плануючы іх усталёўку. Інфармацыя аб патчах, патрабавальных усталёўкі, паведамляецца адміністратару нават пры выяўленні эксплойтаў і шкоднасных праграм.
Рашэнне здольна адразу ж запускаць усталёўку патрабаваных патчаў і абнаўленняў, альбо ж іх усталёўку можна запланаваць з вэб-кансолі цэнтралізаванага кіравання, пры неабходнасці ізаляваўшы непрапатчаныя кампутары. Такім чынам, адміністратар можа кіраваць патчамі і абнаўленнямі, каб забяспечыць бесперабойную працу кампаніі.
Нажаль, разгляданая кібер-атака будзе сапраўды не апошняй з ліку тых, якія скарыстаецца цяперашняй глабальнай сітуацыяй з каранавірусам, каб паставіць пад пагрозу інфармацыйную бяспеку прадпрыемстваў.
Крыніца: habr.com