Μια ομάδα απειλών APT ανακαλύφθηκε πρόσφατα χρησιμοποιώντας καμπάνιες ψαρέματος με δόρυ για να εκμεταλλευτεί την πανδημία του κορωνοϊού για να διανείμει το κακόβουλο λογισμικό τους.
Ο κόσμος αυτή τη στιγμή βιώνει μια εξαιρετική κατάσταση λόγω της τρέχουσας πανδημίας του κορωνοϊού Covid-19. Για να προσπαθήσουν να σταματήσουν την εξάπλωση του ιού, ένας μεγάλος αριθμός εταιρειών σε όλο τον κόσμο έχουν ξεκινήσει έναν νέο τρόπο απομακρυσμένης (απομακρυσμένης) εργασίας. Αυτό έχει επεκτείνει σημαντικά την επιφάνεια επίθεσης, γεγονός που αποτελεί μεγάλη πρόκληση για τις εταιρείες όσον αφορά την ασφάλεια των πληροφοριών, καθώς πρέπει τώρα να θεσπίσουν αυστηρούς κανόνες και να αναλάβουν δράση. για τη διασφάλιση της συνέχειας της λειτουργίας της επιχείρησης και των συστημάτων πληροφορικής της.
Ωστόσο, η διευρυμένη επιφάνεια επίθεσης δεν είναι ο μόνος κίνδυνος στον κυβερνοχώρο που εμφανίστηκε τις τελευταίες ημέρες: πολλοί εγκληματίες του κυβερνοχώρου εκμεταλλεύονται ενεργά αυτήν την παγκόσμια αβεβαιότητα για να διεξάγουν εκστρατείες phishing, να διανέμουν κακόβουλο λογισμικό και να αποτελούν απειλή για την ασφάλεια πληροφοριών πολλών εταιρειών.
Η APT εκμεταλλεύεται την πανδημία
Στα τέλη της περασμένης εβδομάδας, ανακαλύφθηκε μια ομάδα Advanced Persistent Threat (APT) που ονομάζεται Vicious Panda, η οποία διεξήγαγε εκστρατείες κατά , χρησιμοποιώντας την πανδημία του κορωνοϊού για τη διάδοση του κακόβουλου λογισμικού τους. Το email είπε στον παραλήπτη ότι περιείχε πληροφορίες για τον κοροναϊό, αλλά στην πραγματικότητα το email περιείχε δύο κακόβουλα αρχεία RTF (Rich Text Format). Εάν το θύμα άνοιγε αυτά τα αρχεία, εκκινούσε ένας Trojan απομακρυσμένης πρόσβασης (RAT), ο οποίος, μεταξύ άλλων, είχε τη δυνατότητα λήψης στιγμιότυπων οθόνης, δημιουργίας λιστών αρχείων και καταλόγων στον υπολογιστή του θύματος και λήψης αρχείων.
Η εκστρατεία έχει στοχεύσει μέχρι στιγμής τον δημόσιο τομέα της Μογγολίας και σύμφωνα με ορισμένους δυτικούς ειδικούς, αντιπροσωπεύει την τελευταία επίθεση στη συνεχιζόμενη κινεζική επιχείρηση εναντίον διαφόρων κυβερνήσεων και οργανισμών σε όλο τον κόσμο. Αυτή τη φορά, η ιδιαιτερότητα της εκστρατείας είναι ότι χρησιμοποιεί τη νέα παγκόσμια κατάσταση του κορωνοϊού για να μολύνει πιο ενεργά τα πιθανά θύματά της.
Το ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος φαίνεται να προέρχεται από το Υπουργείο Εξωτερικών της Μογγολίας και ισχυρίζεται ότι περιέχει πληροφορίες σχετικά με τον αριθμό των ατόμων που έχουν μολυνθεί από τον ιό. Για να οπλίσουν αυτό το αρχείο, οι εισβολείς χρησιμοποίησαν το RoyalRoad, ένα δημοφιλές εργαλείο μεταξύ των Κινέζων κατασκευαστών απειλών που τους επιτρέπει να δημιουργούν προσαρμοσμένα έγγραφα με ενσωματωμένα αντικείμενα που μπορούν να εκμεταλλευτούν ευπάθειες στον Επεξεργαστή Εξισώσεων που είναι ενσωματωμένος στο MS Word για να δημιουργήσουν σύνθετες εξισώσεις.
Τεχνικές επιβίωσης
Μόλις το θύμα ανοίξει τα κακόβουλα αρχεία RTF, το Microsoft Word εκμεταλλεύεται την ευπάθεια για να φορτώσει το κακόβουλο αρχείο (intel.wll) στον φάκελο εκκίνησης του Word (%APPDATA%MicrosoftWordSTARTUP). Χρησιμοποιώντας αυτήν τη μέθοδο, όχι μόνο η απειλή γίνεται ανθεκτική, αλλά αποτρέπει επίσης την έκρηξη ολόκληρης της αλυσίδας μόλυνσης όταν εκτελείται σε sandbox, καθώς το Word πρέπει να επανεκκινηθεί για να ξεκινήσει πλήρως το κακόβουλο λογισμικό.
Στη συνέχεια, το αρχείο intel.wll φορτώνει ένα αρχείο DLL που χρησιμοποιείται για τη λήψη του κακόβουλου λογισμικού και την επικοινωνία με τον διακομιστή εντολών και ελέγχου του χάκερ. Ο διακομιστής εντολών και ελέγχου λειτουργεί για αυστηρά περιορισμένο χρονικό διάστημα κάθε μέρα, καθιστώντας δύσκολη την ανάλυση και την πρόσβαση στα πιο πολύπλοκα μέρη της αλυσίδας μόλυνσης.
Παρόλα αυτά, οι ερευνητές μπόρεσαν να προσδιορίσουν ότι στο πρώτο στάδιο αυτής της αλυσίδας, αμέσως μετά τη λήψη της κατάλληλης εντολής, το RAT φορτώνεται και αποκρυπτογραφείται και το DLL φορτώνεται, το οποίο φορτώνεται στη μνήμη. Η αρχιτεκτονική που μοιάζει με προσθήκη υποδηλώνει ότι υπάρχουν και άλλες λειτουργικές μονάδες εκτός από το ωφέλιμο φορτίο που εμφανίζεται σε αυτήν την καμπάνια.
Μέτρα προστασίας από νέα APT
Αυτή η κακόβουλη καμπάνια χρησιμοποιεί πολλαπλά κόλπα για να διεισδύσει στα συστήματα των θυμάτων της και στη συνέχεια να θέσει σε κίνδυνο την ασφάλεια των πληροφοριών τους. Για να προστατευτείτε από τέτοιες εκστρατείες, είναι σημαντικό να λάβετε μια σειρά μέτρων.
Το πρώτο είναι εξαιρετικά σημαντικό: είναι σημαντικό οι εργαζόμενοι να είναι προσεκτικοί και προσεκτικοί όταν λαμβάνουν email. Το email είναι ένας από τους κύριους φορείς επίθεσης, αλλά σχεδόν καμία εταιρεία δεν μπορεί να κάνει χωρίς email. Εάν λάβετε ένα email από άγνωστο αποστολέα, καλύτερα να μην το ανοίξετε και αν το ανοίξετε, μην ανοίξετε κανένα συνημμένο ή κάντε κλικ σε κανέναν σύνδεσμο.
Για να διακυβεύσει την ασφάλεια των πληροφοριών των θυμάτων της, αυτή η επίθεση εκμεταλλεύεται μια ευπάθεια στο Word. Στην πραγματικότητα, ο λόγος είναι οι μη επιδιορθωμένες ευπάθειες , και μαζί με άλλα ζητήματα ασφάλειας, μπορούν να οδηγήσουν σε μεγάλες παραβιάσεις δεδομένων. Αυτός είναι ο λόγος για τον οποίο είναι τόσο σημαντικό να εφαρμόσετε την κατάλληλη ενημέρωση κώδικα για να κλείσετε την ευπάθεια το συντομότερο δυνατό.
Για την εξάλειψη αυτών των προβλημάτων, υπάρχουν λύσεις ειδικά σχεδιασμένες για αναγνώριση, . Η ενότητα αναζητά αυτόματα ενημερώσεις κώδικα που είναι απαραίτητες για τη διασφάλιση της ασφάλειας των υπολογιστών της εταιρείας, δίνοντας προτεραιότητα στις πιο επείγουσες ενημερώσεις και προγραμματίζοντας την εγκατάστασή τους. Πληροφορίες σχετικά με ενημερώσεις κώδικα που απαιτούν εγκατάσταση αναφέρονται στον διαχειριστή ακόμα και όταν εντοπίζονται εκμεταλλεύσεις και κακόβουλο λογισμικό.
Η λύση μπορεί να ενεργοποιήσει αμέσως την εγκατάσταση των απαιτούμενων ενημερώσεων κώδικα και ενημερώσεων ή η εγκατάστασή τους μπορεί να προγραμματιστεί από μια κεντρική κονσόλα διαχείρισης που βασίζεται στο web, απομονώνοντας εάν είναι απαραίτητο υπολογιστές που δεν έχουν επιδιορθωθεί. Με αυτόν τον τρόπο, ο διαχειριστής μπορεί να διαχειρίζεται ενημερώσεις κώδικα και ενημερώσεις για να διατηρεί την ομαλή λειτουργία της εταιρείας.
Δυστυχώς, η εν λόγω κυβερνοεπίθεση δεν θα είναι σίγουρα η τελευταία που θα εκμεταλλευτεί την τρέχουσα παγκόσμια κατάσταση του κορωνοϊού για να θέσει σε κίνδυνο την ασφάλεια των πληροφοριών των επιχειρήσεων.
Πηγή: www.habr.com