Un gruppu di minacce APT hè statu scupertu recentemente utilizendu campagne di spear phishing per sfruttà a pandemia di coronavirus per distribuisce u so malware.
U mondu hè attualmente in una situazione eccezziunale per via di l'attuale pandemia di coronavirus Covid-19. Per pruvà à piantà a diffusione di u virus, un gran numaru di cumpagnie in u mondu anu lanciatu un novu modu di travagliu remoto (remotu). Questu hà allargatu significativamente a superficia d'attaccu, chì pone una grande sfida per l'imprese in quantu à a sicurità di l'infurmazioni, postu chì avà bisognu di stabilisce regule strette è piglià l'azzione. per assicurà a continuità di l'operazione di l'impresa è i so sistemi IT.
Tuttavia, a superficia di attaccu allargata ùn hè micca l'unicu risicu ciberneticu chì hè apparsu in l'ultimi ghjorni: assai criminali cibernetici sfruttanu attivamente sta incertezza glubale per fà campagni di phishing, distribuisce malware è ponenu una minaccia per a sicurità di l'infurmazioni di parechje cumpagnie.
APT sfrutta a pandemia
A fine di a settimana passata, un gruppu Advanced Persistent Threat (APT) chjamatu Vicious Panda hè statu scupertu chì conduceva campagne contr'à , aduprendu a pandemia di coronavirus per sparghje u so malware. L'e-mail hà dettu à u destinatariu chì cuntene infurmazioni nantu à u coronavirus, ma in fattu l'e-mail cuntene dui file RTF (Rich Text Format) maliziusi. Se a vittima hà apertu questi schedari, hè stata lanciata un Trojan d'Access Remote (RAT), chì, frà altre cose, era capace di piglià screenshots, creà listi di schedari è cartulari in l'urdinatore di a vittima, è scaricate i schedari.
A campagna hà finu à avà destinatu à u settore publicu di Mongolia, è sicondu alcuni esperti occidentali, rapprisenta l'ultimu attaccu in l'operazione cinese in corso contr'à diversi guverni è urganisazioni in u mondu. Sta volta, a peculiarità di a campagna hè chì usa a nova situazione globale di coronavirus per infettà più attivamente e so vittimi potenziali.
L'e-mail di phishing pare esse da u Ministeru di l'Affari Esteri di Mongolia è dice chì cuntene infurmazioni nantu à u numeru di persone infettate da u virus. Per armà stu schedariu, l'attaccanti anu utilizatu RoyalRoad, un strumentu populari trà i creatori di minacce chinesi chì li permette di creà documenti persunalizati cù oggetti incrustati chì ponu sfruttà e vulnerabilità in l'Equation Editor integratu in MS Word per creà equazioni cumplessi.
Tecniche di sopravvivenza
Quandu a vittima apre i fugliali RTF maliziusi, Microsoft Word sfrutta a vulnerabilità per carricà u schedariu maliziusu (intel.wll) in u cartulare di startup di Word (%APPDATA%MicrosoftWordSTARTUP). Aduprendu stu metudu, micca solu a minaccia diventa resistente, ma impedisce ancu a catena di infezzione sana di detonà quandu si corre in un sandbox, postu chì Word deve esse riavviatu per lancià cumplettamente u malware.
U schedariu intel.wll poi carica un schedariu DLL chì hè utilizatu per scaricà u malware è cumunicà cù u servitore di cumandamentu è cuntrollu di u pirate. U servitore di cumandamentu è cuntrollu opera per un periudu di tempu strettamente limitatu ogni ghjornu, facendu difficiule di analizà è accede à e parti più cumplesse di a catena di infezzione.
Nunustanti chistu, i circadori sò stati capaci di determinà chì in u primu stadiu di sta catena, subitu dopu avè ricivutu u cumandamentu appropritatu, u RAT hè carricu è decrypted, è u DLL hè carricu, chì hè carricu in memoria. L'architettura plugin-like suggerisce chì ci sò altri moduli in più di a carica pagata vistu in questa campagna.
Misure per prutege contr'à u novu APT
Questa campagna maliziosa usa parechji trucchi per infiltrate i sistemi di e so vittime è poi cumprumette a so sicurità di l'infurmazioni. Per prutezzione di tali campagni, hè impurtante piglià una serie di misure.
U primu hè assai impurtante: hè impurtante per l'impiegati per esse attenti è attenti quandu riceve email. L'email hè unu di i vettori principali di l'attaccu, ma quasi nisuna cumpagnia pò fà senza email. Se ricevi un email da un mittente scunnisciutu, hè megliu ùn apre micca, è s'ellu l'aperte, ùn apre micca alcun allegatu o cliccate nant'à ogni ligame.
Per cumprumette a sicurità di l'infurmazioni di e so vittimi, questu attaccu sfrutta una vulnerabilità in Word. In fatti, i vulnerabili unpatched sò u mutivu , è inseme cù altre prublemi di sicurità, ponu purtà à una grande violazione di dati. Hè per quessa hè cusì impurtante di applicà u patch appropritatu per chjude a vulnerabilità u più prestu pussibule.
Per eliminà questi prublemi, ci sò suluzioni apposta per l'identificazione, . U modulu cerca automaticamente i patches necessarii per assicurà a sicurità di l'urdinatori di a cumpagnia, priurità l'aghjurnamenti più urgenti è pianificendu a so stallazione. L'infurmazioni nantu à i patch chì necessitanu a stallazione sò riportati à l'amministratore ancu quandu si rilevanu sfruttamenti è malware.
A suluzione pò avvià immediatamente l'installazione di patch è aghjurnamenti necessarii, o a so installazione pò esse pianificata da una cunsola di gestione cintrali basata in u web, se ne necessariu isolà l'urdinatori senza patch. In questu modu, l'amministratore pò gestisce i patches è l'aghjurnamenti per mantene a cumpagnia di funziunà bè.
Sfortunatamente, l'attaccu ciberneticu in quistione ùn serà certamente l'ultimu à prufittà di a situazione attuale di coronavirus globale per cumprumette a sicurità di l'infurmazioni di l'imprese.
Source: www.habr.com