Usa ka grupo sa mga hulga sa APT ang bag-o lang nadiskubre gamit ang spear phishing nga kampanya aron pahimuslan ang pandemya sa coronavirus aron maapod-apod ang ilang malware.
Ang kalibutan karon nakasinati sa usa ka talagsaon nga kahimtang tungod sa karon nga Covid-19 coronavirus pandemic. Aron sulayan nga mapahunong ang pagkaylap sa virus, daghang mga kompanya sa tibuuk kalibutan ang naglansad usa ka bag-ong mode sa hilit (hilit) nga trabaho. Mahinungdanon nga gipalapdan niini ang nawong sa pag-atake, nga naghatag usa ka dako nga hagit alang sa mga kompanya bahin sa kasiguruhan sa kasayuran, tungod kay kinahanglan na nila karon nga magtukod mga estrikto nga mga lagda ug molihok. aron masiguro ang pagpadayon sa operasyon sa negosyo ug mga sistema sa IT.
Bisan pa, ang gipalapdan nga nawong sa pag-atake dili lamang ang peligro sa cyber nga mitumaw sa miaging pipila ka mga adlaw: daghang mga kriminal sa cyber ang aktibong nagpahimulos niining global nga kawalay kasiguruhan sa pagpahigayon sa mga kampanya sa phishing, pag-apod-apod sa malware ug nagbutang usa ka hulga sa seguridad sa kasayuran sa daghang mga kompanya.
Gipahimuslan sa APT ang pandemya
Sa ulahing bahin sa miaging semana, usa ka Advanced Persistent Threat (APT) nga grupo nga gitawag og Vicious Panda ang nadiskobrehan nga nagpahigayon og mga kampanya batok sa , gamit ang coronavirus pandemic aron ipakaylap ang ilang malware. Gisultihan sa email ang nakadawat nga adunay sulud nga kasayuran bahin sa coronavirus, apan sa tinuud ang email adunay duha nga malisyosong RTF (Rich Text Format) nga mga file. Kung giablihan sa biktima kini nga mga file, usa ka Remote Access Trojan (RAT) ang gilunsad, nga, taliwala sa ubang mga butang, makahimo sa pagkuha sa mga screenshot, paghimo og mga lista sa mga file ug direktoryo sa kompyuter sa biktima, ug pag-download sa mga file.
Ang kampanya hangtod karon gipunting ang sektor sa publiko sa Mongolia ug, sumala sa pipila nga mga eksperto sa Kasadpan, nagrepresentar sa labing bag-ong pag-atake sa nagpadayon nga operasyon sa China batok sa lainlaing mga gobyerno ug organisasyon sa tibuuk kalibutan. Niining higayona, ang pagkatalagsaon sa kampanya mao nga gigamit niini ang bag-ong global nga kahimtang sa coronavirus aron mas aktibo nga mataptan ang mga potensyal nga biktima niini.
Ang email sa phishing makita nga gikan sa Mongolian Ministry of Foreign Affairs ug nag-angkon nga adunay sulud nga kasayuran bahin sa gidaghanon sa mga tawo nga nataptan sa virus. Aron ma-armas kini nga file, gigamit sa mga tig-atake ang RoyalRoad, usa ka sikat nga himan sa mga naghimo sa hulga sa China nga nagtugot kanila sa paghimo og mga kostumbre nga mga dokumento nga adunay mga butang nga naka-embed nga mahimoβg pahimuslan ang mga kahuyangan sa Equation Editor nga gisagol sa MS Word aron makahimo mga komplikado nga equation.
Mga Teknik sa Kaluwasan
Sa higayon nga maablihan sa biktima ang malisyosong RTF files, gipahimuslan sa Microsoft Word ang kahuyang sa pagkarga sa malisyoso nga file (intel.wll) ngadto sa Word startup folder (%APPDATA%MicrosoftWordSTARTUP). Pinaagi sa paggamit niini nga pamaagi, dili lamang ang hulga mahimong lig-on, apan kini usab nagpugong sa tibuok nga kadena sa impeksyon gikan sa pagbuto kung nagdagan sa usa ka sandbox, tungod kay ang Pulong kinahanglan nga i-restart aron hingpit nga ilunsad ang malware.
Ang intel.wll nga file unya nagkarga ug DLL file nga gigamit sa pag-download sa malware ug makigkomunikar sa command ug control server sa hacker. Ang command ug control server naglihok sa usa ka limitado nga panahon matag adlaw, nga nagpalisud sa pag-analisar ug pag-access sa labing komplikado nga mga bahin sa kadena sa impeksyon.
Bisan pa niini, ang mga tigdukiduki nakahimo sa pagtino nga sa unang yugto niini nga kadena, diha-diha dayon human makadawat sa tukma nga sugo, ang RAT gikarga ug gi-decrypt, ug ang DLL gikarga, nga gikarga sa panumduman. Ang arkitektura nga sama sa plugin nagsugyot nga adunay uban pang mga module dugang sa payload nga nakita sa kini nga kampanya.
Mga lakang sa pagpanalipod batok sa bag-ong APT
Kining malisyosong kampanya naggamit ug daghang mga limbong aron makalusot sa mga sistema sa mga biktima niini ug unya makompromiso ang ilang seguridad sa impormasyon. Aron mapanalipdan ang imong kaugalingon gikan sa ingon nga mga kampanya, hinungdanon nga maghimo usa ka lainlaing mga lakang.
Ang una hinungdanon kaayo: hinungdanon alang sa mga empleyado nga magmatinagdanon ug mag-amping kung makadawat mga email. Ang email usa sa mga nag-unang vector sa pag-atake, apan halos walay kompanya nga makahimo kung wala ang email. Kung makadawat ka ug email gikan sa wala mailhi nga nagpadala, mas maayo nga dili kini ablihan, ug kung ablihan nimo kini, ayaw pag-abli sa bisan unsang mga attachment o pag-klik sa bisan unsang mga link.
Aron makompromiso ang seguridad sa impormasyon sa mga biktima niini, kini nga pag-atake nagpahimulos sa pagkahuyang sa Pulong. Sa tinuud, ang mga walaβy gipunting nga kahuyangan ang hinungdan , ug uban sa ubang mga isyu sa seguridad, kini mahimong mosangpot sa dagkong mga paglapas sa datos. Kini ang hinungdan ngano nga hinungdanon nga i-apply ang angay nga patch aron masira ang pagkahuyang sa labing madali.
Aron mawagtang kini nga mga problema, adunay mga solusyon nga espesipikong gidisenyo alang sa pag-ila, . Awtomatikong gipangita sa module ang mga patch nga gikinahanglan aron masiguro ang seguridad sa mga kompyuter sa kompanya, nga nag-una sa labing dinalian nga mga update ug pag-iskedyul sa ilang pag-install. Ang impormasyon bahin sa mga patch nga nanginahanglan sa pag-install gitaho sa tagdumala bisan kung ang mga pagpahimulos ug malware nakit-an.
Ang solusyon mahimo dayon nga mag-trigger sa pag-instalar sa gikinahanglan nga mga patch ug mga update, o ang ilang pag-instalar mahimong ma-iskedyul gikan sa usa ka web-based nga sentro sa pagdumala sa console, kung gikinahanglan nga ihimulag ang wala ma-patch nga mga kompyuter. Niining paagiha, ang tagdumala makadumala sa mga patch ug mga update aron mapadayon nga hapsay ang pagdagan sa kompanya.
Ikasubo, ang pag-atake sa cyber nga gikuwestiyon dili gyud ang katapusan nga magpahimulos sa karon nga kahimtang sa coronavirus sa kalibutan aron ikompromiso ang seguridad sa kasayuran sa mga negosyo.
Source: www.habr.com