Duela gutxi APT mehatxu talde bat aurkitu da spear phishing kanpainak erabiliz koronavirus pandemia ustiatzeko malwarea banatzeko.
Gaur egun mundua aparteko egoera bizi du Covid-19 koronavirus pandemiaren ondorioz. Birusaren hedapena geldiarazten saiatzeko, mundu osoko enpresa ugarik urrutiko (urruneko) lan egiteko modu berri bat jarri dute martxan. Horrek eraso-azalera nabarmen handitu du, eta horrek erronka handia dakar enpresei informazioaren segurtasunari dagokionez, orain arau zorrotzak ezarri eta neurriak hartu behar baitituzte. enpresaren eta bere sistema informatikoen funtzionamenduaren jarraipena bermatzeko.
Hala ere, hedatutako eraso-azalera ez da azken egunotan agertu den ziber-arrisku bakarra: ziber-kriminal asko mundu mailako ziurgabetasun hori aktiboki baliatzen ari dira phishing kanpainak egiteko, malwarea banatzeko eta enpresa askoren informazio-segurtasunerako mehatxu bat sortzeko.
APTk pandemia ustiatzen du
Joan den astearen amaieran, Vicious Panda izeneko Mehatxu Iraunkor Aurreratua (APT) talde bat aurkitu zen, aurkako kanpainak egiten ari zela. , koronavirus pandemia erabiliz euren malwarea zabaltzeko. Mezu elektronikoak koronabirusari buruzko informazioa zuela esan zion hartzaileak, baina, hain zuzen ere, mezu elektronikoak bi RTF (Testu Aberastuko Formatu) fitxategi maltzur zituen. Biktimak fitxategi horiek irekitzen bazituen, Urruneko Sarbideko Troiako (RAT) bat abiarazten zen, besteak beste, pantaila-argazkiak egiteko, biktimaren ordenagailuan fitxategi eta direktorioen zerrendak sortzeko eta fitxategiak deskargatzeko gai zen.
Kanpainak orain arte Mongoliako sektore publikoa izan du helburu, eta Mendebaldeko aditu batzuen arabera, Txinako hainbat gobernu eta erakunderen aurka egiten ari den operazioaren azken erasoa da. Oraingo honetan, kanpainaren berezitasuna da koronavirusaren egoera global berria erabiltzen ari dela bere biktima potentzialak modu aktiboagoan kutsatzeko.
Phishing posta elektronikoa Mongoliako Atzerri Arazoetarako Ministerioarena dela dirudi eta birusak kutsatutako pertsona kopuruari buruzko informazioa duela dio. Fitxategi hau armatzeko, erasotzaileek RoyalRoad erabili zuten, txinatar mehatxuen sortzaileen artean tresna ezaguna, MS Word-en integratutako Ekuazio Editorearen ahuleziak txertatutako objektuekin dokumentu pertsonalizatuak sortzeko aukera ematen duena, ekuazio konplexuak sortzeko.
Biziraupen Teknikak
Biktimak RTF fitxategi gaiztoak irekitzen dituenean, Microsoft Word-ek ahultasuna baliatzen du fitxategi gaiztoa (intel.wll) Word abiarazte karpetan (%APPDATA%MicrosoftWordSTARTUP) kargatzeko. Metodo hau erabiliz, mehatxua erresiliente bihurtzen ez ezik, infekzio-kate osoa lehertzea eragozten du sandbox batean exekutatzen denean, Word berrabiarazi behar baita malwarea guztiz abiarazteko.
Intel.wll fitxategiak malwarea deskargatzeko eta hackerren komando eta kontrol zerbitzariarekin komunikatzeko erabiltzen den DLL fitxategi bat kargatzen du. Komando eta kontrol zerbitzariak denbora-tarte zorrozki mugatu batean funtzionatzen du egunero, eta zaila da infekzio-katearen atal konplexuenak aztertzea eta atzitzea.
Hala ere, ikertzaileek kate honen lehen fasean, dagokion komandoa jaso eta berehala, RAT kargatu eta deszifratzen dela eta DLLa kargatzen dela, memorian kargatzen dena, zehaztu zuten. Plugin moduko arkitekturak iradokitzen du kanpaina honetan ikusitako kargaz gain beste modulu batzuk daudela.
APT berrien aurka babesteko neurriak
Kanpaina gaizto honek trikimailu anitz erabiltzen ditu biktimen sistemak infiltratzeko eta gero haien informazioaren segurtasuna arriskuan jartzeko. Horrelako kanpainetatik babesteko, garrantzitsua da hainbat neurri hartzea.
Lehenengoa berebiziko garrantzia du: garrantzitsua da langileak e-mailak jasotzean adi eta kontuz ibiltzea. Posta elektronikoa da eraso-bektore nagusietako bat, baina ia konpainiak ezin du posta elektronikorik gabe egin. Bidaltzaile ezezagun baten mezu elektroniko bat jasotzen baduzu, hobe da ez irekitzea, eta irekitzen baduzu, ez ireki eranskinik edo ez egin klik esteketan.
Bere biktimen informazioaren segurtasuna arriskuan jartzeko, eraso honek Word-en ahultasun bat baliatzen du. Izan ere, adabakirik gabeko ahultasunak dira arrazoia , eta beste segurtasun arazo batzuekin batera, datu-hauste handiak ekar ditzakete. Horregatik da hain garrantzitsua adabaki egokia aplikatzea ahultasuna ahalik eta azkarren ixteko.
Arazo horiek kentzeko, identifikaziorako bereziki diseinatutako irtenbideak daude, . Moduluak automatikoki bilatzen ditu enpresako ordenagailuen segurtasuna bermatzeko beharrezkoak diren adabakiak, eguneratze premiazkoenak lehenetsiz eta haien instalazioa programatuz. Instalazioa behar duten adabakiei buruzko informazioa administratzaileari jakinaraziko zaio ustiapenak eta malwarea detektatzen direnean ere.
Irtenbideak berehala abiarazi dezake beharrezko adabaki eta eguneraketak instalatzea, edo haien instalazioa web-oinarritutako kudeaketa zentralaren kontsola batetik programatu daiteke, beharrezkoa bada adabaki gabeko ordenagailuak isolatuz. Horrela, administratzaileak adabakiak eta eguneraketak kudeatu ditzake konpainia ondo funtzionatzen jarraitzeko.
Zoritxarrez, ziber-erasoa ez da izango, zalantzarik gabe, egungo koronabirusaren egoera globala aprobetxatuko duen azkena enpresen informazioaren segurtasuna arriskuan jartzeko.
Iturria: www.habr.com