Skupina APT hrozeb byla nedávno objevena pomocí spear phishingových kampaní ke zneužití pandemie koronaviru k distribuci jejich malwaru.
Svět v současné době zažívá výjimečnou situaci kvůli současné pandemii koronaviru Covid-19. Ve snaze zastavit šíření viru spustilo velké množství společností po celém světě nový režim vzdálené (vzdálené) práce. Tím se výrazně rozšířila plocha pro útoky, což pro společnosti představuje velkou výzvu z hlediska informační bezpečnosti, protože nyní potřebují stanovit přísná pravidla a jednat. zajistit kontinuitu provozu podniku a jeho IT systémů.
Rozšířená plocha útoku však není jediným kybernetickým rizikem, které se v posledních dnech objevilo: mnoho kybernetických zločinců tuto globální nejistotu aktivně využívá k provádění phishingových kampaní, šíření malwaru a představuje hrozbu pro informační bezpečnost mnoha společností.
APT využívá pandemii
Koncem minulého týdne byla objevena skupina Advanced Persistent Threat (APT) s názvem Vicious Panda, která vedla kampaně proti využívající pandemii koronaviru k šíření svého malwaru. E-mail řekl příjemci, že obsahuje informace o koronaviru, ale ve skutečnosti e-mail obsahoval dva škodlivé soubory RTF (Rich Text Format). Pokud oběť tyto soubory otevřela, byl spuštěn Trojan pro vzdálený přístup (RAT), který mimo jiné dokázal pořizovat snímky obrazovky, vytvářet seznamy souborů a adresářů v počítači oběti a stahovat soubory.
Kampaň se dosud zaměřovala na mongolský veřejný sektor a podle některých západních expertů představuje nejnovější útok v probíhající čínské operaci proti různým vládám a organizacím po celém světě. Tentokrát je zvláštností kampaně, že využívá novou globální situaci s koronavirem k aktivnějšímu infikování svých potenciálních obětí.
Zdá se, že phishingový e-mail pochází od mongolského ministerstva zahraničních věcí a tvrdí, že obsahuje informace o počtu lidí infikovaných virem. K vyzbrojení tohoto souboru útočníci použili RoyalRoad, oblíbený nástroj mezi čínskými tvůrci hrozeb, který jim umožňuje vytvářet vlastní dokumenty s vloženými objekty, které mohou využívat zranitelnosti v editoru rovnic integrovaném do MS Word k vytváření složitých rovnic.
Techniky přežití
Jakmile oběť otevře škodlivé soubory RTF, Microsoft Word zneužije tuto chybu zabezpečení k načtení škodlivého souboru (intel.wll) do spouštěcí složky aplikace Word (%APPDATA%MicrosoftWordSTARTUP). Při použití této metody se hrozba nejen stane odolnou, ale také zabrání detonaci celého infekčního řetězce při spuštění v karanténě, protože pro úplné spuštění malwaru je nutné restartovat Word.
Soubor intel.wll poté načte soubor DLL, který se používá ke stažení malwaru a komunikaci s hackerovým příkazovým a řídicím serverem. Příkazový a řídicí server pracuje každý den po přísně omezenou dobu, což ztěžuje analýzu a přístup k nejsložitějším částem infekčního řetězce.
Navzdory tomu se vědcům podařilo zjistit, že v první fázi tohoto řetězce se ihned po obdržení příslušného příkazu načte a dešifruje RAT a načte se DLL, která se nahraje do paměti. Architektura podobná pluginu naznačuje, že kromě užitečného zatížení v této kampani existují další moduly.
Ochranná opatření proti novým APT
Tato zákeřná kampaň používá několik triků k infiltraci systémů svých obětí a následnému ohrožení jejich informační bezpečnosti. Abyste se před takovými kampaněmi ochránili, je důležité přijmout řadu opatření.
První z nich je nesmírně důležitý: je důležité, aby zaměstnanci byli při přijímání e-mailů pozorní a opatrní. E-mail je jedním z hlavních vektorů útoků, ale téměř žádná společnost se bez e-mailu neobejde. Pokud obdržíte e-mail od neznámého odesílatele, je lepší jej neotevírat, a pokud jej otevřete, neotevírejte žádné přílohy ani neklikejte na žádné odkazy.
K ohrožení zabezpečení informací obětí tento útok využívá zranitelnost v aplikaci Word. Ve skutečnosti jsou důvodem neopravené zranitelnosti a spolu s dalšími bezpečnostními problémy mohou vést k velkým únikům dat. To je důvod, proč je tak důležité použít vhodnou opravu, aby se zranitelnost co nejdříve uzavřela.
K odstranění těchto problémů existují řešení speciálně navržená pro identifikaci, . Modul automaticky vyhledává záplaty nezbytné pro zajištění bezpečnosti firemních počítačů, upřednostňuje nejnaléhavější aktualizace a naplánuje jejich instalaci. Informace o opravách, které vyžadují instalaci, jsou hlášeny správci, i když jsou zjištěny exploity a malware.
Řešení může okamžitě spustit instalaci požadovaných záplat a aktualizací, nebo lze jejich instalaci naplánovat z webové konzole centrální správy, v případě potřeby izolovat neopravené počítače. Tímto způsobem může správce spravovat záplaty a aktualizace, aby společnost fungovala hladce.
Bohužel zmíněný kybernetický útok určitě nebude poslední, který využil současné globální situace s koronavirem k ohrožení informační bezpečnosti podniků.
Zdroj: www.habr.com