Skupina APT hrozeb byla nedávno objevena pomocí spear phishingových kampaní ke zneužití pandemie koronaviru k distribuci jejich malwaru.
Svět v současné době zažívá výjimečnou situaci kvůli současné pandemii koronaviru Covid-19. Ve snaze zastavit šíření viru spustilo velké množství společností po celém světě nový režim vzdálené (vzdálené) práce. Tím se výrazně rozšířila plocha pro útoky, což pro společnosti představuje velkou výzvu z hlediska informační bezpečnosti, protože nyní potřebují stanovit přísná pravidla a jednat.
Rozšířená plocha útoku však není jediným kybernetickým rizikem, které se v posledních dnech objevilo: mnoho kybernetických zločinců tuto globální nejistotu aktivně využívá k provádění phishingových kampaní, šíření malwaru a představuje hrozbu pro informační bezpečnost mnoha společností.
APT využívá pandemii
Koncem minulého týdne byla objevena skupina Advanced Persistent Threat (APT) s názvem Vicious Panda, která vedla kampaně proti
Kampaň se dosud zaměřovala na mongolský veřejný sektor a podle některých západních expertů představuje nejnovější útok v probíhající čínské operaci proti různým vládám a organizacím po celém světě. Tentokrát je zvláštností kampaně, že využívá novou globální situaci s koronavirem k aktivnějšímu infikování svých potenciálních obětí.
Zdá se, že phishingový e-mail pochází od mongolského ministerstva zahraničních věcí a tvrdí, že obsahuje informace o počtu lidí infikovaných virem. K vyzbrojení tohoto souboru útočníci použili RoyalRoad, oblíbený nástroj mezi čínskými tvůrci hrozeb, který jim umožňuje vytvářet vlastní dokumenty s vloženými objekty, které mohou využívat zranitelnosti v editoru rovnic integrovaném do MS Word k vytváření složitých rovnic.
Techniky přežití
Jakmile oběť otevře škodlivé soubory RTF, Microsoft Word zneužije tuto chybu zabezpečení k načtení škodlivého souboru (intel.wll) do spouštěcí složky aplikace Word (%APPDATA%MicrosoftWordSTARTUP). Při použití této metody se hrozba nejen stane odolnou, ale také zabrání detonaci celého infekčního řetězce při spuštění v karanténě, protože pro úplné spuštění malwaru je nutné restartovat Word.
Soubor intel.wll poté načte soubor DLL, který se používá ke stažení malwaru a komunikaci s hackerovým příkazovým a řídicím serverem. Příkazový a řídicí server pracuje každý den po přísně omezenou dobu, což ztěžuje analýzu a přístup k nejsložitějším částem infekčního řetězce.
Navzdory tomu se vědcům podařilo zjistit, že v první fázi tohoto řetězce se ihned po obdržení příslušného příkazu načte a dešifruje RAT a načte se DLL, která se nahraje do paměti. Architektura podobná pluginu naznačuje, že kromě užitečného zatížení v této kampani existují další moduly.
Ochranná opatření proti novým APT
Tato zákeřná kampaň používá několik triků k infiltraci systémů svých obětí a následnému ohrožení jejich informační bezpečnosti. Abyste se před takovými kampaněmi ochránili, je důležité přijmout řadu opatření.
První z nich je nesmírně důležitý: je důležité, aby zaměstnanci byli při přijímání e-mailů pozorní a opatrní. E-mail je jedním z hlavních vektorů útoků, ale téměř žádná společnost se bez e-mailu neobejde. Pokud obdržíte e-mail od neznámého odesílatele, je lepší jej neotevírat, a pokud jej otevřete, neotevírejte žádné přílohy ani neklikejte na žádné odkazy.
K ohrožení zabezpečení informací obětí tento útok využívá zranitelnost v aplikaci Word. Ve skutečnosti jsou důvodem neopravené zranitelnosti
K odstranění těchto problémů existují řešení speciálně navržená pro identifikaci,
Řešení může okamžitě spustit instalaci požadovaných záplat a aktualizací, nebo lze jejich instalaci naplánovat z webové konzole centrální správy, v případě potřeby izolovat neopravené počítače. Tímto způsobem může správce spravovat záplaty a aktualizace, aby společnost fungovala hladce.
Bohužel zmíněný kybernetický útok určitě nebude poslední, který využil současné globální situace s koronavirem k ohrožení informační bezpečnosti podniků.
Zdroj: www.habr.com