Recientemente se descubrió un grupo de amenazas APT que utilizaban campañas de phishing para aprovechar la pandemia de coronavirus y distribuir su malware.
El mundo vive actualmente una situación excepcional debido a la actual pandemia del coronavirus Covid-19. Para intentar frenar la propagación del virus, un gran número de empresas de todo el mundo han puesto en marcha una nueva modalidad de trabajo remoto (remota). Esto ha ampliado significativamente la superficie de ataque, lo que plantea un gran desafío para las empresas en términos de seguridad de la información, ya que ahora deben establecer reglas estrictas y tomar medidas. para garantizar la continuidad del funcionamiento de la empresa y sus sistemas de TI.
Sin embargo, la ampliación de la superficie de ataque no es el único riesgo cibernético que ha surgido en los últimos días: muchos ciberdelincuentes están explotando activamente esta incertidumbre global para llevar a cabo campañas de phishing, distribuir malware y representar una amenaza para la seguridad de la información de muchas empresas.
APT explota la pandemia
A fines de la semana pasada, se descubrió que un grupo de Amenaza Persistente Avanzada (APT) llamado Vicious Panda estaba llevando a cabo campañas contra , utilizando la pandemia de coronavirus para difundir su malware. El correo electrónico le decía al destinatario que contenía información sobre el coronavirus, pero en realidad contenía dos archivos RTF (formato de texto enriquecido) maliciosos. Si la víctima abría estos archivos, se lanzaba un troyano de acceso remoto (RAT) que, entre otras cosas, era capaz de realizar capturas de pantalla, crear listas de archivos y directorios en el ordenador de la víctima y descargar archivos.
Hasta ahora, la campaña se ha dirigido al sector público de Mongolia y, según algunos expertos occidentales, representa el último ataque de la operación china en curso contra varios gobiernos y organizaciones de todo el mundo. Esta vez, la peculiaridad de la campaña es que utiliza la nueva situación mundial del coronavirus para infectar más activamente a sus víctimas potenciales.
El correo electrónico de phishing parece ser del Ministerio de Asuntos Exteriores de Mongolia y afirma contener información sobre el número de personas infectadas con el virus. Para convertir este archivo en un arma, los atacantes utilizaron RoyalRoad, una herramienta popular entre los creadores de amenazas chinos que les permite crear documentos personalizados con objetos incrustados que pueden explotar vulnerabilidades en el Editor de ecuaciones integrado en MS Word para crear ecuaciones complejas.
Técnicas de supervivencia
Una vez que la víctima abre los archivos RTF maliciosos, Microsoft Word aprovecha la vulnerabilidad para cargar el archivo malicioso (intel.wll) en la carpeta de inicio de Word (%APPDATA%MicrosoftWordSTARTUP). Con este método, la amenaza no solo se vuelve resistente, sino que también evita que toda la cadena de infección detone cuando se ejecuta en un entorno limitado, ya que se debe reiniciar Word para iniciar completamente el malware.
El archivo intel.wll luego carga un archivo DLL que se utiliza para descargar el malware y comunicarse con el servidor de comando y control del hacker. El servidor de comando y control opera durante un período de tiempo estrictamente limitado cada día, lo que dificulta el análisis y el acceso a las partes más complejas de la cadena de infección.
Pese a esto, los investigadores pudieron determinar que en la primera etapa de esta cadena, inmediatamente después de recibir el comando correspondiente, se carga y descifra el RAT y se carga la DLL, la cual se carga en la memoria. La arquitectura similar a un complemento sugiere que hay otros módulos además de la carga útil que se ve en esta campaña.
Medidas de protección contra nuevas APT
Esta campaña maliciosa utiliza múltiples trucos para infiltrarse en los sistemas de sus víctimas y luego comprometer la seguridad de su información. Para protegerse de este tipo de campañas, es importante tomar una serie de medidas.
El primero es sumamente importante: es importante que los empleados estén atentos y cuidadosos al recibir correos electrónicos. El correo electrónico es uno de los principales vectores de ataque, pero casi ninguna empresa puede prescindir del correo electrónico. Si recibe un correo electrónico de un remitente desconocido, es mejor no abrirlo y, si lo abre, no abra ningún archivo adjunto ni haga clic en ningún enlace.
Para comprometer la seguridad de la información de sus víctimas, este ataque aprovecha una vulnerabilidad en Word. De hecho, las vulnerabilidades sin parches son la razón y, junto con otros problemas de seguridad, pueden provocar importantes violaciones de datos. Por eso es tan importante aplicar el parche adecuado para cerrar la vulnerabilidad lo antes posible.
Para eliminar estos problemas, existen soluciones diseñadas específicamente para la identificación, . El módulo busca automáticamente los parches necesarios para garantizar la seguridad de los equipos de la empresa, priorizando las actualizaciones más urgentes y programando su instalación. La información sobre los parches que requieren instalación se informa al administrador incluso cuando se detectan vulnerabilidades y malware.
La solución puede activar inmediatamente la instalación de los parches y actualizaciones necesarios, o su instalación puede programarse desde una consola de administración central basada en web, aislando, si es necesario, las computadoras sin parches. De esta manera, el administrador puede gestionar parches y actualizaciones para que la empresa siga funcionando sin problemas.
Lamentablemente, el ciberataque en cuestión no será el último en aprovechar la actual situación mundial del coronavirus para comprometer la seguridad de la información de las empresas.
Fuente: habr.com