Hiljuti avastati rühm APT-ohtusid, mis kasutavad andmepüügikampaaniaid, et kasutada ära koroonaviiruse pandeemiat oma pahavara levitamiseks.
Maailmas on praegu praeguse Covid-19 koroonaviiruse pandeemia tõttu erandlik olukord. Viiruse leviku peatamiseks on suur hulk ettevõtteid üle maailma kasutusele võtnud uue kaugtöö (kaugtöö) režiimi. See on oluliselt laiendanud ründepinda, mis on ettevõtetele infoturbe seisukohalt suur väljakutse, sest nüüd tuleb kehtestada ranged reeglid ja tegutseda. tagada ettevõtte ja selle IT-süsteemide toimimise järjepidevus.
Laienenud ründepind pole aga ainuke viimastel päevadel esile kerkinud küberrisk: paljud küberkurjategijad kasutavad seda globaalset ebakindlust aktiivselt ära andmepüügikampaaniate läbiviimiseks, pahavara levitamiseks ning ohustavad paljude ettevõtete infoturbe.
APT kasutab pandeemiat ära
Eelmise nädala lõpus avastati Advanced Persistent Threat (APT) rühmitus Vicious Panda, mis korraldas kampaaniaid , kasutades koroonaviiruse pandeemiat oma pahavara levitamiseks. E-kirjas öeldi saajale, et see sisaldab teavet koroonaviiruse kohta, kuid tegelikult sisaldas e-kiri kahte pahatahtlikku RTF-faili (Rich Text Format). Kui ohver need failid avas, käivitati kaugjuurdepääsu troojalane (RAT), mis muuhulgas oli võimeline tegema ekraanipilte, looma ohvri arvutis failide ja kataloogide loendeid ning alla laadima faile.
Kampaania on seni olnud suunatud Mongoolia avalikule sektorile ning mõnede lääne ekspertide sõnul kujutab see endast viimast rünnakut käimasolevas Hiina operatsioonis erinevate valitsuste ja organisatsioonide vastu üle kogu maailma. Seekordne kampaania eripära on see, et see kasutab uut globaalset koroonaviiruse olukorda oma potentsiaalsete ohvrite aktiivsemaks nakatamiseks.
Andmepüügimeil näib olevat pärit Mongoolia välisministeeriumist ja väidetavalt sisaldab teavet viirusega nakatunud inimeste arvu kohta. Selle faili relvastamiseks kasutasid ründajad Hiina ohutootjate seas populaarset tööriista RoyalRoad, mis võimaldab neil luua kohandatud dokumente manustatud objektidega, mis võivad kasutada ära MS Wordi integreeritud võrrandiredaktori turvaauke, et luua keerulisi võrrandeid.
Ellujäämistehnikad
Kui ohver avab pahatahtlikud RTF-failid, kasutab Microsoft Word haavatavust, et laadida pahatahtlik fail (intel.wll) Wordi käivituskausta (%APPDATA%MicrosoftWordSTARTUP). Seda meetodit kasutades ei muutu oht mitte ainult vastupidavaks, vaid hoiab ära ka kogu nakkusahela plahvatuse liivakastis töötades, kuna pahavara täielikuks käivitamiseks tuleb Word taaskäivitada.
Seejärel laadib fail intel.wll DLL-faili, mida kasutatakse pahavara allalaadimiseks ning häkkeri käsu- ja juhtimisserveriga suhtlemiseks. Käsu- ja juhtimisserver töötab iga päev rangelt piiratud aja, mis muudab nakkusahela kõige keerukamate osade analüüsimise ja juurdepääsu keeruliseks.
Sellele vaatamata suutsid teadlased kindlaks teha, et selle ahela esimeses etapis, kohe pärast vastava käsu saamist, laaditakse ja dekrüpteeritakse RAT ning laaditakse DLL, mis laaditakse mällu. Pluginataoline arhitektuur viitab sellele, et lisaks selles kampaanias nähtud kasulikule koormusele on ka teisi mooduleid.
Kaitsemeetmed uue APT vastu
See pahatahtlik kampaania kasutab ohvrite süsteemidesse imbumiseks ja seejärel nende infoturbe ohustamiseks mitmeid nippe. Enda kaitsmiseks selliste kampaaniate eest on oluline võtta mitmeid meetmeid.
Esimene on äärmiselt oluline: töötajatel on oluline olla e-kirjade saamisel tähelepanelik ja ettevaatlik. E-post on üks peamisi rünnakute vektoreid, kuid peaaegu ükski ettevõte ei saa ilma meilita hakkama. Kui saate meili tundmatult saatjalt, on parem seda mitte avada ja kui avate, siis ärge avage manuseid ega klõpsake linke.
Ohvrite infoturbe ohustamiseks kasutab see rünnak Wordi haavatavust. Tegelikult on põhjuseks parandamata haavatavused , ja koos muude turvaprobleemidega võivad need kaasa tuua suuri andmerikkumisi. Seetõttu on haavatavuse võimalikult kiireks sulgemiseks nii oluline paigaldada sobiv plaaster.
Nende probleemide kõrvaldamiseks on spetsiaalselt identifitseerimiseks loodud lahendused, . Moodul otsib automaatselt ettevõtte arvutite turvalisuse tagamiseks vajalikke plaastreid, prioriseerides kiireloomulisi uuendusi ja ajastades nende paigaldamise. Teave installimist vajavate paikade kohta edastatakse administraatorile isegi siis, kui tuvastatakse ärakasutamine ja pahavara.
Lahendus võib koheselt käivitada vajalike paikade ja uuenduste installimise või ajastada nende installimise veebipõhiselt keskhalduskonsoolilt, vajadusel isoleerides paigatamata arvutid. Nii saab administraator hallata plaastreid ja värskendusi, et ettevõte toimiks sujuvalt.
Kahjuks ei jää kõnealune küberrünnak kindlasti viimaseks, mis praegust globaalset koroonaviiruse olukorda ettevõtete infoturbe ohustamiseks ära kasutab.
Allikas: www.habr.com