Наскоро беше открита група APT заплахи, които използват кампании за фишинг, за да използват пандемията на коронавирус, за да разпространяват своя зловреден софтуер.
В момента светът преживява изключителна ситуация поради настоящата пандемия от коронавирус Covid-19. За да се опитат да спрат разпространението на вируса, голям брой компании по света пуснаха нов режим на отдалечена (отдалечена) работа. Това значително разшири повърхността за атака, което представлява голямо предизвикателство за компаниите по отношение на информационната сигурност, тъй като сега те трябва да установят строги правила и да предприемат действия.
Разширената повърхност за атака обаче не е единственият кибер риск, който се появи през последните няколко дни: много кибер престъпници активно се възползват от тази глобална несигурност, за да провеждат фишинг кампании, да разпространяват зловреден софтуер и да представляват заплаха за информационната сигурност на много компании.
APT използва пандемията
В края на миналата седмица беше открита група за усъвършенствана постоянна заплаха (APT), наречена Vicious Panda, която провежда кампании срещу
Кампанията досега е насочена към публичния сектор на Монголия и според някои западни експерти тя представлява последната атака в продължаващата китайска операция срещу различни правителства и организации по света. Този път особеността на кампанията е, че тя използва новата глобална ситуация с коронавируса, за да заразява по-активно потенциалните си жертви.
Изглежда, че фишинг имейлът е от монголското министерство на външните работи и твърди, че съдържа информация за броя на хората, заразени с вируса. За да превърнат в оръжие този файл, нападателите са използвали RoyalRoad, популярен инструмент сред китайските създатели на заплахи, който им позволява да създават персонализирани документи с вградени обекти, които могат да използват уязвимости в Equation Editor, интегриран в MS Word, за създаване на сложни уравнения.
Техники за оцеляване
След като жертвата отвори злонамерените RTF файлове, Microsoft Word използва уязвимостта, за да зареди злонамерения файл (intel.wll) в папката за стартиране на Word (%APPDATA%MicrosoftWordSTARTUP). Използвайки този метод, заплахата не само става устойчива, но също така предотвратява взривяването на цялата верига на заразяване, когато работи в пясъчна среда, тъй като Word трябва да се рестартира, за да стартира напълно зловреден софтуер.
След това файлът intel.wll зарежда DLL файл, който се използва за изтегляне на зловреден софтуер и комуникация с командния и контролен сървър на хакера. Командно-контролният сървър работи за строго ограничен период от време всеки ден, което затруднява анализирането и достъпа до най-сложните части от веригата на заразяване.
Въпреки това изследователите са успели да установят, че в първия етап от тази верига, веднага след получаване на съответната команда, RAT се зарежда и дешифрира и се зарежда DLL, който се зарежда в паметта. Архитектурата, подобна на плъгин, предполага, че има други модули в допълнение към полезния товар, наблюдаван в тази кампания.
Мерки за защита срещу нови APT
Тази злонамерена кампания използва множество трикове, за да проникне в системите на своите жертви и след това да компрометира тяхната информационна сигурност. За да се предпазите от подобни кампании е важно да вземете набор от мерки.
Първото е изключително важно: важно е служителите да бъдат внимателни и внимателни, когато получават имейли. Имейлът е един от основните вектори на атака, но почти никоя компания не може без имейл. Ако получите имейл от непознат подател, по-добре е да не го отваряте, а ако го отворите, не отваряйте никакви прикачени файлове и не кликвайте върху връзки.
За да компрометира информационната сигурност на своите жертви, тази атака използва уязвимост в Word. Всъщност причината са непоправените уязвимости
За да се премахнат тези проблеми, има решения, специално предназначени за идентифициране,
Решението може незабавно да задейства инсталирането на необходимите корекции и актуализации или инсталирането им може да бъде планирано от уеб-базирана централна конзола за управление, като при необходимост се изолират компютри без корекции. По този начин администраторът може да управлява корекции и актуализации, за да поддържа компанията да работи гладко.
За съжаление, въпросната кибератака със сигурност няма да е последната, която ще се възползва от настоящата глобална ситуация с коронавируса, за да компрометира информационната сигурност на бизнеса.
Източник: www.habr.com