Kürzlich wurde eine Gruppe von APT-Bedrohungen entdeckt, die Spear-Phishing-Kampagnen nutzen, um die Coronavirus-Pandemie zur Verbreitung ihrer Malware auszunutzen.
Aufgrund der aktuellen Covid-19-Coronavirus-Pandemie befindet sich die Welt derzeit in einer Ausnahmesituation. Um die Ausbreitung des Virus einzudämmen, haben zahlreiche Unternehmen auf der ganzen Welt eine neue Form der Fernarbeit (Remote-Arbeit) eingeführt. Dadurch hat sich die Angriffsfläche deutlich vergrößert, was für Unternehmen hinsichtlich der Informationssicherheit eine große Herausforderung darstellt, da sie nun strenge Regeln aufstellen und Maßnahmen ergreifen müssen. Gewährleistung der Kontinuität des Betriebs des Unternehmens und seiner IT-Systeme.
Die erweiterte Angriffsfläche ist jedoch nicht das einzige Cyberrisiko, das in den letzten Tagen aufgetreten ist: Viele Cyberkriminelle nutzen diese globale Unsicherheit aktiv aus, um Phishing-Kampagnen durchzuführen, Malware zu verbreiten und die Informationssicherheit vieler Unternehmen zu gefährden.
APT nutzt die Pandemie aus
Ende letzter Woche wurde eine Advanced Persistent Threat (APT)-Gruppe namens Vicious Panda entdeckt, die Kampagnen dagegen durchführte , die die Coronavirus-Pandemie nutzen, um ihre Malware zu verbreiten. In der E-Mail wurde dem Empfänger mitgeteilt, dass sie Informationen über das Coronavirus enthielt. Tatsächlich enthielt die E-Mail jedoch zwei schädliche RTF-Dateien (Rich Text Format). Wenn das Opfer diese Dateien öffnete, wurde ein Remote Access Trojaner (RAT) gestartet, der unter anderem in der Lage war, Screenshots zu machen, Listen von Dateien und Verzeichnissen auf dem Computer des Opfers zu erstellen und Dateien herunterzuladen.
Die Kampagne richtete sich bisher gegen den öffentlichen Sektor der Mongolei und stellt nach Ansicht einiger westlicher Experten den jüngsten Angriff im laufenden chinesischen Einsatz gegen verschiedene Regierungen und Organisationen auf der ganzen Welt dar. Diesmal besteht die Besonderheit der Kampagne darin, dass sie die neue globale Coronavirus-Situation nutzt, um ihre potenziellen Opfer aktiver zu infizieren.
Die Phishing-E-Mail scheint vom mongolischen Außenministerium zu stammen und soll Informationen über die Anzahl der mit dem Virus infizierten Personen enthalten. Um diese Datei zu einer Waffe zu machen, verwendeten die Angreifer RoyalRoad, ein bei chinesischen Bedrohungsentwicklern beliebtes Tool, mit dem sie benutzerdefinierte Dokumente mit eingebetteten Objekten erstellen können, die Schwachstellen im in MS Word integrierten Gleichungseditor ausnutzen können, um komplexe Gleichungen zu erstellen.
Überlebenstechniken
Sobald das Opfer die bösartigen RTF-Dateien öffnet, nutzt Microsoft Word die Sicherheitslücke aus, um die bösartige Datei (intel.wll) in den Word-Startordner (%APPDATA%MicrosoftWordSTARTUP) zu laden. Mit dieser Methode wird die Bedrohung nicht nur widerstandsfähiger, sondern es wird auch verhindert, dass die gesamte Infektionskette beim Ausführen in einer Sandbox explodiert, da Word neu gestartet werden muss, um die Malware vollständig zu starten.
Die intel.wll-Datei lädt dann eine DLL-Datei, die zum Herunterladen der Malware und zur Kommunikation mit dem Befehls- und Kontrollserver des Hackers verwendet wird. Der Befehls- und Kontrollserver ist täglich für einen streng begrenzten Zeitraum in Betrieb, was die Analyse und den Zugriff auf die komplexesten Teile der Infektionskette erschwert.
Trotzdem konnten die Forscher feststellen, dass in der ersten Stufe dieser Kette unmittelbar nach Erhalt des entsprechenden Befehls die RAT geladen und entschlüsselt wird und die DLL geladen wird, die in den Speicher geladen wird. Die Plugin-ähnliche Architektur legt nahe, dass es neben der in dieser Kampagne gezeigten Nutzlast noch weitere Module gibt.
Maßnahmen zum Schutz vor neuer APT
Diese bösartige Kampagne nutzt mehrere Tricks, um die Systeme ihrer Opfer zu infiltrieren und dann deren Informationssicherheit zu gefährden. Um sich vor solchen Kampagnen zu schützen, ist es wichtig, eine Reihe von Maßnahmen zu ergreifen.
Der erste Punkt ist äußerst wichtig: Es ist wichtig, dass Mitarbeiter beim Empfang von E-Mails aufmerksam und vorsichtig sind. E-Mail ist einer der Hauptangriffsvektoren, doch fast kein Unternehmen kommt ohne E-Mail aus. Wenn Sie eine E-Mail von einem unbekannten Absender erhalten, öffnen Sie diese besser nicht. Wenn Sie sie dennoch öffnen, öffnen Sie keine Anhänge und klicken Sie nicht auf Links.
Um die Informationssicherheit seiner Opfer zu gefährden, nutzt dieser Angriff eine Schwachstelle in Word aus. Tatsächlich sind ungepatchte Schwachstellen der Grund Zusammen mit anderen Sicherheitsproblemen können sie zu schwerwiegenden Datenschutzverletzungen führen. Aus diesem Grund ist es so wichtig, den entsprechenden Patch zu installieren, um die Schwachstelle so schnell wie möglich zu schließen.
Um diese Probleme zu beseitigen, gibt es Lösungen, die speziell für die Identifizierung entwickelt wurden. . Das Modul sucht automatisch nach Patches, die zur Gewährleistung der Sicherheit der Unternehmenscomputer erforderlich sind, priorisiert die dringendsten Updates und plant deren Installation. Informationen zu Patches, die installiert werden müssen, werden dem Administrator auch dann gemeldet, wenn Exploits und Malware erkannt werden.
Die Lösung kann die Installation erforderlicher Patches und Updates sofort auslösen oder deren Installation über eine webbasierte zentrale Verwaltungskonsole planen und bei Bedarf ungepatchte Computer isolieren. Auf diese Weise kann der Administrator Patches und Updates verwalten, um den reibungslosen Betrieb des Unternehmens sicherzustellen.
Leider wird der betreffende Cyberangriff sicherlich nicht der letzte sein, der die aktuelle globale Coronavirus-Situation ausnutzt, um die Informationssicherheit von Unternehmen zu gefährden.
Source: habr.com