Grupo de APT-minacoj lastatempe estis malkovrita uzante lanco-fiŝkaptado-kampanjojn por ekspluati la koronavirusan pandemion por distribui sian malware.
La mondo nuntempe spertas esceptan situacion pro la nuna koronavirus-pandemio de Covid-19. Por provi haltigi la disvastiĝon de la viruso, granda nombro da kompanioj tra la mondo lanĉis novan reĝimon de fora (fora) laboro. Ĉi tio signife vastigis la ataksurfacon, kiu prezentas grandan defion por kompanioj koncerne informan sekurecon, ĉar ili nun devas establi striktajn regulojn kaj ekagi. certigi kontinuecon de operacio de la entrepreno kaj ĝiaj IT-sistemoj.
Tamen, la vastigita ataksurfaco ne estas la sola ciberrisko kiu aperis en la lastaj tagoj: multaj ciberkrimuloj aktive ekspluatas ĉi tiun tutmondan necertecon por fari phishing kampanjojn, distribui malware kaj prezenti minacon al la informa sekureco de multaj kompanioj.
APT ekspluatas la pandemion
Fine de la pasinta semajno, grupo de Altnivela Persistenta Minaco (APT) nomita Vicious Panda estis malkovrita, kiu faris kampanjojn kontraŭ , uzante la koronavirusan pandemion por disvastigi ilian malware. La retpoŝto diris al la ricevanto, ke ĝi enhavas informojn pri la koronavirus, sed fakte la retpoŝto enhavis du malicajn dosierojn RTF (Rich Text Format). Se la viktimo malfermis ĉi tiujn dosierojn, estis lanĉita Remote Access Trojan (RAT), kiu, interalie, povis fari ekrankopiojn, krei listojn de dosieroj kaj dosierujoj en la komputilo de la viktimo kaj elŝuti dosierojn.
La kampanjo ĝis nun celis la publikan sektoron de Mongolio kaj, laŭ kelkaj okcidentaj fakuloj, reprezentas la plej novan atakon en la daŭranta ĉina operacio kontraŭ diversaj registaroj kaj organizoj tra la mondo. Ĉi-foje, la propreco de la kampanjo estas, ke ĝi uzas la novan tutmondan koronavirusan situacion por pli aktive infekti siajn eblajn viktimojn.
La phishing-retpoŝto ŝajnas esti de la mongola Ministerio pri Eksteraj Aferoj kaj asertas enhavi informojn pri la nombro da homoj infektitaj per la viruso. Por armiligi ĉi tiun dosieron, la atakantoj uzis RoyalRoad, popularan ilon inter ĉinaj minacistoj, kiu permesas al ili krei kutimajn dokumentojn kun enigitaj objektoj, kiuj povas ekspluati vundeblecojn en la Ekvacia Redaktoro integrita en MS Word por krei kompleksajn ekvaciojn.
Supervivaj Teknikoj
Post kiam la viktimo malfermas la malicajn RTF-dosierojn, Microsoft Word ekspluatas la vundeblecon por ŝarĝi la malican dosieron (intel.wll) en la vort-komencdosierujon (%APPDATA%MicrosoftWordSTARTUP). Uzante ĉi tiun metodon, la minaco ne nur fariĝas rezistema, sed ĝi ankaŭ malhelpas la tutan infektan ĉenon eksplodi kiam kuras en sablokesto, ĉar Vorto devas esti rekomencita por plene lanĉi la malware.
La intel.wll-dosiero tiam ŝarĝas DLL-dosieron, kiu estas uzata por elŝuti la malware kaj komuniki kun la komando kaj kontrolservilo de la retpirato. La komanda kaj kontrola servilo funkcias por strikte limigita tempodaŭro ĉiutage, malfaciligante analizi kaj aliri la plej kompleksajn partojn de la infekta ĉeno.
Malgraŭ tio, la esploristoj povis determini, ke en la unua etapo de ĉi tiu ĉeno, tuj post ricevi la taŭgan komandon, la RAT estas ŝarĝita kaj deĉifrita, kaj la DLL estas ŝarĝita, kiu estas ŝarĝita en memoron. La kromaĵo-simila arkitekturo sugestas, ke ekzistas aliaj moduloj krom la utila ŝarĝo vidita en ĉi tiu kampanjo.
Protektaj mezuroj kontraŭ nova APT
Ĉi tiu malica kampanjo uzas plurajn lertaĵojn por infiltri la sistemojn de siaj viktimoj kaj poste endanĝerigi ilian informan sekurecon. Por protekti vin kontraŭ tiaj kampanjoj, gravas preni gamon da mezuroj.
La unua estas ege grava: gravas por dungitoj esti atentaj kaj singardaj kiam ili ricevas retpoŝtojn. Retpoŝto estas unu el la ĉefaj atakvektoroj, sed preskaŭ neniu kompanio povas malhavi retpoŝton. Se vi ricevas retmesaĝon de nekonata sendinto, estas pli bone ne malfermi ĝin, kaj se vi malfermas ĝin, tiam ne malfermu ajnajn aldonaĵojn aŭ alklaku iujn ajn ligilojn.
Por kompromiti la informan sekurecon de siaj viktimoj, ĉi tiu atako ekspluatas vundeblecon en Word. Fakte, neflakitaj vundeblecoj estas la kialo , kaj kune kun aliaj sekurecproblemoj, ili povas konduki al gravaj datumrompoj. Tial estas tiel grave apliki la taŭgan diakilon por fermi la vundeblecon kiel eble plej baldaŭ.
Por forigi ĉi tiujn problemojn, ekzistas solvoj specife desegnitaj por identigo, . La modulo aŭtomate serĉas diakilojn necesajn por certigi la sekurecon de kompaniaj komputiloj, prioritatante la plej urĝajn ĝisdatigojn kaj planante ilian instaladon. Informoj pri flikoj, kiuj postulas instaladon, estas raportitaj al la administranto eĉ kiam ekspluatoj kaj malware estas detektitaj.
La solvo povas tuj ekigi la instaladon de postulataj flikaĵoj kaj ĝisdatigoj, aŭ ilia instalado povas esti planita de retbazita centra administra konzolo, se necese izolante neflakitajn komputilojn. Tiel, la administranto povas administri diakilojn kaj ĝisdatigojn por ke la kompanio funkcias glate.
Bedaŭrinde, la koncerna ciberatako certe ne estos la lasta, kiu profitos la nunan tutmondan koronavirusan situacion por endanĝerigi la informan sekurecon de entreprenoj.
fonto: www.habr.com