Darganfuwyd grŵp o fygythiadau APT yn ddiweddar gan ddefnyddio ymgyrchoedd gwe-rwydo gwaywffon i ecsbloetio’r pandemig coronafirws i ddosbarthu eu meddalwedd faleisus.
Mae'r byd yn profi sefyllfa eithriadol ar hyn o bryd oherwydd y pandemig coronafirws Covid-19 presennol. Er mwyn ceisio atal y firws rhag lledaenu, mae nifer fawr o gwmnïau ledled y byd wedi lansio dull newydd o weithio o bell (o bell). Mae hyn wedi ehangu arwyneb yr ymosodiad yn sylweddol, sy'n gosod her fawr i gwmnïau o ran diogelwch gwybodaeth, gan fod angen iddynt nawr sefydlu rheolau llym a gweithredu. i sicrhau parhad gweithrediad y fenter a'i systemau TG.
Fodd bynnag, nid yr arwyneb ymosodiad estynedig yw'r unig risg seiber sydd wedi dod i'r amlwg yn ystod yr ychydig ddyddiau diwethaf: mae llawer o droseddwyr seiber yn mynd ati i ecsbloetio'r ansicrwydd byd-eang hwn i gynnal ymgyrchoedd gwe-rwydo, dosbarthu malware a bygwth diogelwch gwybodaeth llawer o gwmnïau.
Mae APT yn manteisio ar y pandemig
Yn hwyr yr wythnos diwethaf, darganfuwyd grŵp Bygythiad Parhaus Uwch (APT) o'r enw Vicious Panda a oedd yn cynnal ymgyrchoedd yn erbyn , gan ddefnyddio'r pandemig coronafirws i ledaenu eu malware. Dywedodd yr e-bost wrth y derbynnydd ei fod yn cynnwys gwybodaeth am y coronafirws, ond mewn gwirionedd roedd yr e-bost yn cynnwys dwy ffeil RTF (Rich Text Format) faleisus. Pe bai'r dioddefwr yn agor y ffeiliau hyn, lansiwyd Trojan Mynediad o Bell (RAT), a oedd, ymhlith pethau eraill, yn gallu cymryd sgrinluniau, creu rhestrau o ffeiliau a chyfeiriaduron ar gyfrifiadur y dioddefwr, a lawrlwytho ffeiliau.
Hyd yn hyn mae'r ymgyrch wedi targedu sector cyhoeddus Mongolia, ac yn ôl rhai arbenigwyr o'r Gorllewin, mae'n cynrychioli'r ymosodiad diweddaraf yn y gweithrediad Tsieineaidd parhaus yn erbyn amrywiol lywodraethau a sefydliadau ledled y byd. Y tro hwn, hynodrwydd yr ymgyrch yw ei bod yn defnyddio'r sefyllfa coronafirws byd-eang newydd i heintio ei ddioddefwyr posibl yn fwy gweithredol.
Mae'n ymddangos bod yr e-bost gwe-rwydo gan Weinyddiaeth Materion Tramor Mongolia ac mae'n honni ei fod yn cynnwys gwybodaeth am nifer y bobl sydd wedi'u heintio â'r firws. I arfogi'r ffeil hon, defnyddiodd yr ymosodwyr RoyalRoad, offeryn poblogaidd ymhlith gwneuthurwyr bygythiadau Tsieineaidd sy'n caniatáu iddynt greu dogfennau wedi'u teilwra gyda gwrthrychau wedi'u mewnosod a all fanteisio ar wendidau yn y Golygydd Hafaliad wedi'i integreiddio i MS Word i greu hafaliadau cymhleth.
Technegau Goroesi
Unwaith y bydd y dioddefwr yn agor y ffeiliau RTF maleisus, mae Microsoft Word yn manteisio ar y bregusrwydd i lwytho'r ffeil maleisus (intel.wll) i'r ffolder cychwyn Word (% APPDATA% MicrosoftWordSTARTUP). Gan ddefnyddio'r dull hwn, nid yn unig y mae'r bygythiad yn dod yn wydn, ond mae hefyd yn atal y gadwyn heintiau gyfan rhag tanio wrth redeg mewn blwch tywod, gan fod yn rhaid ailgychwyn Word i lansio'r malware yn llawn.
Yna mae'r ffeil intel.wll yn llwytho ffeil DLL a ddefnyddir i lawrlwytho'r malware a chyfathrebu â gweinydd gorchymyn a rheoli'r haciwr. Mae'r gweinydd gorchymyn a rheoli yn gweithredu am gyfnod cyfyngedig iawn o amser bob dydd, gan ei gwneud hi'n anodd dadansoddi a chael mynediad at rannau mwyaf cymhleth y gadwyn heintiau.
Er gwaethaf hyn, roedd yr ymchwilwyr yn gallu penderfynu bod y RAT yn cael ei lwytho a'i ddadgryptio yng ngham cyntaf y gadwyn hon, yn syth ar ôl derbyn y gorchymyn priodol, a bod y DLL yn cael ei lwytho, sy'n cael ei lwytho i'r cof. Mae'r bensaernïaeth debyg i ategyn yn awgrymu bod modiwlau eraill yn ychwanegol at y llwyth tâl a welir yn yr ymgyrch hon.
Mesurau amddiffyn yn erbyn APT newydd
Mae'r ymgyrch faleisus hon yn defnyddio triciau lluosog i ymdreiddio i systemau ei ddioddefwyr ac yna'n peryglu eu diogelwch gwybodaeth. Er mwyn amddiffyn eich hun rhag ymgyrchoedd o'r fath, mae'n bwysig cymryd ystod o fesurau.
Mae'r un cyntaf yn hynod o bwysig: mae'n bwysig i weithwyr fod yn sylwgar ac yn ofalus wrth dderbyn e-byst. E-bost yw un o'r prif fectorau ymosodiad, ond ni all bron unrhyw gwmni wneud heb e-bost. Os byddwch chi'n derbyn e-bost gan anfonwr anhysbys, mae'n well peidio â'i agor, ac os byddwch chi'n ei agor, yna peidiwch ag agor unrhyw atodiadau na chlicio ar unrhyw ddolenni.
Er mwyn peryglu diogelwch gwybodaeth ei ddioddefwyr, mae'r ymosodiad hwn yn manteisio ar fregusrwydd yn Word. Mewn gwirionedd, gwendidau heb eu hail yw'r rheswm , ac ynghyd â materion diogelwch eraill, gallant arwain at doriadau data mawr. Dyna pam ei bod mor bwysig defnyddio'r darn priodol i gau'r bregusrwydd cyn gynted â phosibl.
Er mwyn dileu'r problemau hyn, mae yna atebion sydd wedi'u cynllunio'n benodol ar gyfer adnabod, . Mae'r modiwl yn chwilio'n awtomatig am y clytiau sydd eu hangen i sicrhau diogelwch cyfrifiaduron y cwmni, gan flaenoriaethu'r diweddariadau mwyaf brys ac amserlennu eu gosod. Mae gwybodaeth am glytiau sydd angen eu gosod yn cael ei hadrodd i'r gweinyddwr hyd yn oed pan ganfyddir gorchestion a drwgwedd.
Gall yr ateb ysgogi gosod y clytiau a'r diweddariadau gofynnol ar unwaith, neu gellir trefnu eu gosod o gonsol rheoli canolog ar y we, gan ynysu cyfrifiaduron heb eu clytio os oes angen. Fel hyn, gall y gweinyddwr reoli clytiau a diweddariadau i gadw'r cwmni i redeg yn esmwyth.
Yn anffodus, yn sicr nid yr ymosodiad seiber dan sylw fydd yr olaf i fanteisio ar y sefyllfa coronafirws fyd-eang bresennol i beryglu diogelwch gwybodaeth busnesau.
Ffynhonnell: hab.com