Recentment s'ha descobert un grup d'amenaces APT utilitzant campanyes de pesca de pesca per explotar la pandèmia de coronavirus per distribuir el seu programari maliciós.
El món viu actualment una situació excepcional a causa de l'actual pandèmia de coronavirus Covid-19. Per intentar aturar la propagació del virus, un gran nombre d'empreses d'arreu del món han llançat un nou mode de treball remot (remot). Això ha ampliat significativament la superfície d'atac, la qual cosa suposa un gran repte per a les empreses pel que fa a la seguretat de la informació, ja que ara necessiten establir normes estrictes i actuar. per garantir la continuïtat de funcionament de l'empresa i els seus sistemes informàtics.
Tanmateix, la superfície d'atac ampliada no és l'únic risc cibernètic que ha sorgit en els últims dies: molts ciberdelinqüents estan explotant activament aquesta incertesa global per dur a terme campanyes de pesca, distribuir programari maliciós i suposar una amenaça per a la seguretat de la informació de moltes empreses.
APT explota la pandèmia
A finals de la setmana passada, es va descobrir un grup d'amenaça persistent avançada (APT) anomenat Vicious Panda que estava duent a terme campanyes contra , utilitzant la pandèmia de coronavirus per difondre el seu programari maliciós. El correu electrònic va dir al destinatari que contenia informació sobre el coronavirus, però de fet el correu electrònic contenia dos fitxers RTF (Rich Text Format) maliciosos. Si la víctima obria aquests fitxers, es posava en marxa un troià d'accés remot (RAT) que, entre altres coses, era capaç de fer captures de pantalla, crear llistes de fitxers i directoris a l'ordinador de la víctima i descarregar fitxers.
La campanya s'ha dirigit fins ara al sector públic de Mongòlia i, segons alguns experts occidentals, representa l'últim atac de l'operació xinesa en curs contra diversos governs i organitzacions d'arreu del món. Aquesta vegada, la peculiaritat de la campanya és que està aprofitant la nova situació mundial del coronavirus per infectar més activament les seves possibles víctimes.
El correu electrònic de pesca sembla ser del Ministeri d'Afers Exteriors de Mongòlia i afirma que conté informació sobre el nombre de persones infectades amb el virus. Per armar aquest fitxer, els atacants van utilitzar RoyalRoad, una eina popular entre els fabricants d'amenaces xinesos que els permet crear documents personalitzats amb objectes incrustats que poden aprofitar les vulnerabilitats de l'Equation Editor integrat a MS Word per crear equacions complexes.
Tècniques de supervivència
Un cop la víctima obre els fitxers RTF maliciosos, Microsoft Word aprofita la vulnerabilitat per carregar el fitxer maliciós (intel.wll) a la carpeta d'inici de Word (%APPDATA%MicrosoftWordSTARTUP). Amb aquest mètode, no només l'amenaça es torna resistent, sinó que també evita que tota la cadena d'infecció detoni quan s'executa en una caixa de sorra, ja que s'ha de reiniciar Word per llançar completament el programari maliciós.
Aleshores, el fitxer intel.wll carrega un fitxer DLL que s'utilitza per descarregar el programari maliciós i comunicar-se amb el servidor d'ordres i control del pirata informàtic. El servidor de comandament i control funciona durant un període de temps estrictament limitat cada dia, cosa que dificulta l'anàlisi i l'accés a les parts més complexes de la cadena d'infecció.
Malgrat això, els investigadors van poder determinar que en la primera etapa d'aquesta cadena, immediatament després de rebre l'ordre adequat, es carrega i es desxifra la RAT i es carrega la DLL, que es carrega a la memòria. L'arquitectura semblant a un complement suggereix que hi ha altres mòduls a més de la càrrega útil que es veu en aquesta campanya.
Mesures de protecció davant nous APT
Aquesta campanya maliciosa utilitza múltiples trucs per infiltrar-se en els sistemes de les seves víctimes i després comprometre la seva seguretat de la informació. Per protegir-se d'aquestes campanyes, és important prendre una sèrie de mesures.
El primer és extremadament important: és important que els empleats estiguin atents i curosos a l'hora de rebre correus electrònics. El correu electrònic és un dels principals vectors d'atac, però gairebé cap empresa pot prescindir del correu electrònic. Si rebeu un correu electrònic d'un remitent desconegut, és millor no obrir-lo, i si l'obreu, no obriu cap fitxer adjunt ni feu clic a cap enllaç.
Per comprometre la seguretat de la informació de les seves víctimes, aquest atac explota una vulnerabilitat a Word. De fet, les vulnerabilitats sense pegats són el motiu , i juntament amb altres problemes de seguretat, poden provocar violacions importants de dades. Per això és tan important aplicar el pegat adequat per tancar la vulnerabilitat el més aviat possible.
Per eliminar aquests problemes, hi ha solucions dissenyades específicament per a la identificació, . El mòdul busca automàticament els pedaços necessaris per garantir la seguretat dels ordinadors de l'empresa, prioritzant les actualitzacions més urgents i programant-ne la instal·lació. La informació sobre els pedaços que requereixen instal·lació s'informa a l'administrador fins i tot quan es detecten exploits i programari maliciós.
La solució pot activar immediatament la instal·lació dels pedaços i actualitzacions necessaris, o bé es pot programar la seva instal·lació des d'una consola de gestió central basada en web, aïllant, si cal, els ordinadors sense pegats. D'aquesta manera, l'administrador pot gestionar els pedaços i les actualitzacions per mantenir l'empresa funcionant sense problemes.
Malauradament, el ciberatac en qüestió no serà, sens dubte, l'últim que aprofitarà l'actual situació mundial del coronavirus per comprometre la seguretat de la informació de les empreses.
Font: www.habr.com