Наскоро беше открита група APT заплахи, които използват кампании за фишинг, за да използват пандемията на коронавирус, за да разпространяват своя зловреден софтуер.
В момента светът преживява изключителна ситуация поради настоящата пандемия от коронавирус Covid-19. За да се опитат да спрат разпространението на вируса, голям брой компании по света пуснаха нов режим на отдалечена (отдалечена) работа. Това значително разшири повърхността за атака, което представлява голямо предизвикателство за компаниите по отношение на информационната сигурност, тъй като сега те трябва да установят строги правила и да предприемат действия. да осигури непрекъснатост на работата на предприятието и неговите ИТ системи.
Разширената повърхност за атака обаче не е единственият кибер риск, който се появи през последните няколко дни: много кибер престъпници активно се възползват от тази глобална несигурност, за да провеждат фишинг кампании, да разпространяват зловреден софтуер и да представляват заплаха за информационната сигурност на много компании.
APT използва пандемията
В края на миналата седмица беше открита група за усъвършенствана постоянна заплаха (APT), наречена Vicious Panda, която провежда кампании срещу , използвайки пандемията от коронавирус за разпространение на техния зловреден софтуер. Имейлът каза на получателя, че съдържа информация за коронавируса, но всъщност имейлът съдържа два злонамерени RTF (Rich Text Format) файла. Ако жертвата отвори тези файлове, се стартира троянски кон за отдалечен достъп (RAT), който, наред с други неща, може да прави екранни снимки, да създава списъци с файлове и директории на компютъра на жертвата и да изтегля файлове.
Кампанията досега е насочена към публичния сектор на Монголия и според някои западни експерти тя представлява последната атака в продължаващата китайска операция срещу различни правителства и организации по света. Този път особеността на кампанията е, че тя използва новата глобална ситуация с коронавируса, за да заразява по-активно потенциалните си жертви.
Изглежда, че фишинг имейлът е от монголското министерство на външните работи и твърди, че съдържа информация за броя на хората, заразени с вируса. За да превърнат в оръжие този файл, нападателите са използвали RoyalRoad, популярен инструмент сред китайските създатели на заплахи, който им позволява да създават персонализирани документи с вградени обекти, които могат да използват уязвимости в Equation Editor, интегриран в MS Word, за създаване на сложни уравнения.
Техники за оцеляване
След като жертвата отвори злонамерените RTF файлове, Microsoft Word използва уязвимостта, за да зареди злонамерения файл (intel.wll) в папката за стартиране на Word (%APPDATA%MicrosoftWordSTARTUP). Използвайки този метод, заплахата не само става устойчива, но също така предотвратява взривяването на цялата верига на заразяване, когато работи в пясъчна среда, тъй като Word трябва да се рестартира, за да стартира напълно зловреден софтуер.
След това файлът intel.wll зарежда DLL файл, който се използва за изтегляне на зловреден софтуер и комуникация с командния и контролен сървър на хакера. Командно-контролният сървър работи за строго ограничен период от време всеки ден, което затруднява анализирането и достъпа до най-сложните части от веригата на заразяване.
Въпреки това изследователите са успели да установят, че в първия етап от тази верига, веднага след получаване на съответната команда, RAT се зарежда и дешифрира и се зарежда DLL, който се зарежда в паметта. Архитектурата, подобна на плъгин, предполага, че има други модули в допълнение към полезния товар, наблюдаван в тази кампания.
Мерки за защита срещу нови APT
Тази злонамерена кампания използва множество трикове, за да проникне в системите на своите жертви и след това да компрометира тяхната информационна сигурност. За да се предпазите от подобни кампании е важно да вземете набор от мерки.
Първото е изключително важно: важно е служителите да бъдат внимателни и внимателни, когато получават имейли. Имейлът е един от основните вектори на атака, но почти никоя компания не може без имейл. Ако получите имейл от непознат подател, по-добре е да не го отваряте, а ако го отворите, не отваряйте никакви прикачени файлове и не кликвайте върху връзки.
За да компрометира информационната сигурност на своите жертви, тази атака използва уязвимост в Word. Всъщност причината са непоправените уязвимости , и заедно с други проблеми със сигурността, те могат да доведат до сериозни нарушения на данните. Ето защо е толкова важно да приложите подходящата корекция, за да затворите уязвимостта възможно най-скоро.
За да се премахнат тези проблеми, има решения, специално предназначени за идентифициране, . Модулът автоматично търси пачове, необходими за гарантиране на сигурността на фирмените компютри, като приоритизира най-спешните актуализации и планира тяхното инсталиране. Информацията за корекции, които изискват инсталиране, се съобщава на администратора дори когато бъдат открити експлойтове и зловреден софтуер.
Решението може незабавно да задейства инсталирането на необходимите корекции и актуализации или инсталирането им може да бъде планирано от уеб-базирана централна конзола за управление, като при необходимост се изолират компютри без корекции. По този начин администраторът може да управлява корекции и актуализации, за да поддържа компанията да работи гладко.
За съжаление, въпросната кибератака със сигурност няма да е последната, която ще се възползва от настоящата глобална ситуация с коронавируса, за да компрометира информационната сигурност на бизнеса.
Източник: www.habr.com