Nedavno je otkrivena grupa APT prijetnji koje koriste kampanje za krađu identiteta kako bi iskoristile pandemiju koronavirusa za distribuciju svog zlonamjernog softvera.
Svijet se trenutno nalazi u izuzetnoj situaciji zbog trenutne pandemije koronavirusa Covid-19. Kako bi pokušali zaustaviti širenje virusa, veliki broj kompanija širom svijeta pokrenuo je novi način rada na daljinu. Ovo je značajno proširilo površinu napada, što predstavlja veliki izazov za kompanije u smislu sigurnosti informacija, jer sada moraju uspostaviti stroga pravila i poduzeti mjere. osigurati kontinuitet rada preduzeća i njegovih IT sistema.
Međutim, proširena površina napada nije jedini sajber rizik koji se pojavio u posljednjih nekoliko dana: mnogi sajber kriminalci aktivno iskorištavaju ovu globalnu neizvjesnost za vođenje phishing kampanja, distribuciju zlonamjernog softvera i prijetnju sigurnosti informacija mnogih kompanija.
APT koristi pandemiju
Krajem prošle sedmice otkrivena je grupa za naprednu trajnu prijetnju (APT) pod nazivom Vicious Panda koja je vodila kampanje protiv , koristeći pandemiju koronavirusa za širenje svog zlonamjernog softvera. U e-poruci je primaocu rečeno da sadrži informacije o koronavirusu, ali u stvari e-mail sadrži dvije zlonamjerne RTF (Rich Text Format) datoteke. Ako je žrtva otvorila ove fajlove, pokrenut je trojanac za daljinski pristup (RAT), koji je, između ostalog, mogao da pravi snimke ekrana, kreira liste fajlova i direktorijuma na računaru žrtve i preuzima datoteke.
Kampanja je do sada bila usmjerena na javni sektor Mongolije i, prema nekim zapadnim stručnjacima, predstavlja najnoviji napad u tekućoj kineskoj operaciji protiv različitih vlada i organizacija širom svijeta. Ovoga puta, posebnost kampanje je da koristi novu globalnu situaciju s korona virusom da aktivnije zarazi svoje potencijalne žrtve.
Čini se da je e-poruka za krađu identiteta od mongolskog Ministarstva vanjskih poslova i tvrdi da sadrži informacije o broju ljudi zaraženih virusom. Da bi oružili ovu datoteku, napadači su koristili RoyalRoad, popularan alat među kineskim kreatorima prijetnji koji im omogućava da kreiraju prilagođene dokumente s ugrađenim objektima koji mogu iskoristiti ranjivosti u uređivaču jednačina integriranom u MS Word za kreiranje složenih jednačina.
Tehnike preživljavanja
Jednom kada žrtva otvori zlonamjerne RTF datoteke, Microsoft Word koristi ranjivost da učita zlonamjernu datoteku (intel.wll) u direktorij za pokretanje programa Word (%APPDATA%MicrosoftWordSTARTUP). Koristeći ovu metodu, prijetnja ne samo da postaje otporna, već i sprječava detonaciju cijelog lanca infekcije kada se radi u sandboxu, budući da Word mora biti ponovo pokrenut da bi se zlonamjerni softver u potpunosti pokrenuo.
Datoteka intel.wll zatim učitava DLL datoteku koja se koristi za preuzimanje zlonamjernog softvera i komunikaciju sa komandnim i kontrolnim serverom hakera. Komandni i kontrolni server radi u strogo ograničenom vremenskom periodu svakog dana, što otežava analizu i pristup najsloženijim dijelovima lanca infekcije.
Uprkos tome, istraživači su uspeli da utvrde da se u prvoj fazi ovog lanca, odmah po prijemu odgovarajuće komande, učitava i dešifruje RAT, a učitava se DLL, koji se učitava u memoriju. Arhitektura slična dodatku sugerira da postoje i drugi moduli pored korisnog opterećenja koji se vidi u ovoj kampanji.
Zaštitne mjere protiv novih APT
Ova zlonamjerna kampanja koristi više trikova kako bi se infiltrirala u sisteme svojih žrtava, a zatim ugrozila njihovu sigurnost informacija. Da biste se zaštitili od ovakvih kampanja, važno je poduzeti niz mjera.
Prvi je izuzetno važan: važno je da zaposleni budu pažljivi i pažljivi kada primaju mejlove. E-pošta je jedan od glavnih vektora napada, ali gotovo nijedna kompanija ne može bez e-pošte. Ako primite e-mail od nepoznatog pošiljaoca, bolje je da ga ne otvarate, a ako ga otvorite, nemojte otvarati nikakve priloge i ne kliktati na linkove.
Kako bi ugrozio sigurnost informacija svojih žrtava, ovaj napad iskorištava ranjivost u Wordu. Zapravo, razlog su nezakrpljene ranjivosti , a zajedno s drugim sigurnosnim problemima, mogu dovesti do velikih povreda podataka. Zbog toga je toliko važno primijeniti odgovarajuću zakrpu kako biste što prije zatvorili ranjivost.
Za otklanjanje ovih problema postoje rješenja posebno dizajnirana za identifikaciju, . Modul automatski traži zakrpe neophodne da bi se osigurala sigurnost računara kompanije, dajući prioritet najhitnijim ažuriranjima i zakazujući njihovu instalaciju. Informacije o zakrpama koje zahtijevaju instalaciju prijavljuju se administratoru čak i kada se otkriju eksploatacije i zlonamjerni softver.
Rješenje može odmah pokrenuti instalaciju potrebnih zakrpa i ažuriranja, ili se njihova instalacija može zakazati sa centralne upravljačke konzole zasnovane na webu, ako je potrebno izolujući nezakrpljene računare. Na ovaj način, administrator može upravljati zakrpama i ažuriranjima kako bi kompanija funkcionisala nesmetano.
Nažalost, dotični cyber napad zasigurno neće biti posljednji koji će iskoristiti trenutnu globalnu situaciju s koronavirusom kako bi ugrozio informacijsku sigurnost poslovanja.
izvor: www.habr.com