En gruppe APT-trusler blev for nylig opdaget ved at bruge spear phishing-kampagner til at udnytte coronavirus-pandemien til at distribuere deres malware.
Verden oplever i øjeblikket en usædvanlig situation på grund af den aktuelle Covid-19 coronavirus-pandemi. For at forsøge at stoppe spredningen af virussen har et stort antal virksomheder rundt om i verden lanceret en ny måde for fjernarbejde (fjernarbejde). Dette har udvidet angrebsfladen markant, hvilket udgør en stor udfordring for virksomhederne i forhold til informationssikkerhed, da de nu skal etablere strenge regler og handle. at sikre kontinuitet i driften af virksomheden og dens IT-systemer.
Den udvidede angrebsflade er dog ikke den eneste cyberrisiko, der er dukket op i de sidste par dage: Mange cyberkriminelle udnytter aktivt denne globale usikkerhed til at gennemføre phishing-kampagner, distribuere malware og udgøre en trussel mod informationssikkerheden i mange virksomheder.
APT udnytter pandemien
I slutningen af sidste uge blev en Advanced Persistent Threat-gruppe (APT) ved navn Vicious Panda opdaget, som førte kampagner mod , ved at bruge coronavirus-pandemien til at sprede deres malware. E-mailen fortalte modtageren, at den indeholdt information om coronavirus, men faktisk indeholdt e-mailen to ondsindede RTF-filer (Rich Text Format). Hvis offeret åbnede disse filer, blev der lanceret en Remote Access Trojan (RAT), som blandt andet var i stand til at tage skærmbilleder, oprette lister over filer og mapper på offerets computer og downloade filer.
Kampagnen har indtil videre rettet sig mod Mongoliets offentlige sektor, og ifølge nogle vestlige eksperter repræsenterer den det seneste angreb i den igangværende kinesiske operation mod forskellige regeringer og organisationer rundt om i verden. Denne gang er det særlige ved kampagnen, at den bruger den nye globale coronavirus-situation til mere aktivt at inficere sine potentielle ofre.
Phishing-e-mailen ser ud til at være fra det mongolske udenrigsministerium og hævder at indeholde oplysninger om antallet af personer, der er inficeret med virussen. Til at bevæbne denne fil brugte angriberne RoyalRoad, et populært værktøj blandt kinesiske trusselsskabere, der giver dem mulighed for at skabe brugerdefinerede dokumenter med indlejrede objekter, der kan udnytte sårbarheder i Equation Editor integreret i MS Word til at skabe komplekse ligninger.
Overlevelsesteknikker
Når offeret åbner de ondsindede RTF-filer, udnytter Microsoft Word sårbarheden til at indlæse den ondsindede fil (intel.wll) i Word-startmappen (%APPDATA%MicrosoftWordSTARTUP). Ved at bruge denne metode bliver truslen ikke kun modstandsdygtig, men den forhindrer også hele infektionskæden i at detonere, når den kører i en sandkasse, da Word skal genstartes for fuldt ud at starte malwaren.
Filen intel.wll indlæser derefter en DLL-fil, der bruges til at downloade malwaren og kommunikere med hackerens kommando- og kontrolserver. Kommando- og kontrolserveren fungerer i en strengt begrænset periode hver dag, hvilket gør det vanskeligt at analysere og få adgang til de mest komplekse dele af infektionskæden.
På trods af dette var forskerne i stand til at fastslå, at i det første trin af denne kæde, umiddelbart efter at have modtaget den passende kommando, indlæses og dekrypteres RAT'en, og DLL'en indlæses, som indlæses i hukommelsen. Den plugin-lignende arkitektur antyder, at der er andre moduler ud over nyttelasten, der ses i denne kampagne.
Foranstaltninger til beskyttelse mod nye APT
Denne ondsindede kampagne bruger flere tricks til at infiltrere ofrenes systemer og derefter kompromittere deres informationssikkerhed. For at beskytte dig selv mod sådanne kampagner er det vigtigt at træffe en række foranstaltninger.
Den første er ekstremt vigtig: Det er vigtigt for medarbejderne at være opmærksomme og forsigtige, når de modtager e-mails. E-mail er en af de vigtigste angrebsvektorer, men næsten ingen virksomhed kan undvære e-mail. Hvis du modtager en e-mail fra en ukendt afsender, er det bedre ikke at åbne den, og hvis du åbner den, skal du ikke åbne nogen vedhæftede filer eller klikke på nogen links.
For at kompromittere informationssikkerheden for sine ofre udnytter dette angreb en sårbarhed i Word. Faktisk er uoprettede sårbarheder årsagen , og sammen med andre sikkerhedsproblemer kan de føre til større databrud. Det er derfor, det er så vigtigt at anvende den passende patch for at lukke sårbarheden så hurtigt som muligt.
For at eliminere disse problemer er der løsninger, der er specielt designet til identifikation, . Modulet søger automatisk efter patches, der er nødvendige for at sikre sikkerheden på virksomhedens computere, prioriterer de mest presserende opdateringer og planlægger deres installation. Oplysninger om patches, der kræver installation, rapporteres til administratoren, selv når udnyttelser og malware opdages.
Løsningen kan straks udløse installationen af nødvendige patches og opdateringer, eller deres installation kan planlægges fra en webbaseret central administrationskonsol, om nødvendigt isolere upatchede computere. På denne måde kan administratoren administrere patches og opdateringer for at holde virksomheden kørende.
Desværre vil det pågældende cyberangreb bestemt ikke være det sidste, der udnytter den nuværende globale coronavirus-situation til at kompromittere virksomhedernes informationssikkerhed.
Kilde: www.habr.com