ProHoster > وبلاگ > اداره > APT از ویروس کرونا برای انتشار بدافزار استفاده می کند

APT از ویروس کرونا برای انتشار بدافزار استفاده می کند

APT از ویروس کرونا برای انتشار بدافزار استفاده می کند

اخیراً گروهی از تهدیدات APT با استفاده از کمپین های فیشینگ نیزه ای برای سوء استفاده از همه گیری ویروس کرونا برای توزیع بدافزار خود کشف شده است.

جهان در حال حاضر در شرایط استثنایی به دلیل همه گیری کروناویروس فعلی کووید-19 تجربه می کند. برای جلوگیری از انتشار ویروس، تعداد زیادی از شرکت ها در سراسر جهان حالت جدیدی از کار از راه دور (از راه دور) را راه اندازی کرده اند. این به طور قابل توجهی سطح حمله را گسترش داده است، که چالش بزرگی برای شرکت ها از نظر امنیت اطلاعات ایجاد می کند، زیرا آنها اکنون نیاز به ایجاد قوانین سختگیرانه و اقدام دارند. تعدادی از اقدامات برای اطمینان از تداوم عملکرد شرکت و سیستم های فناوری اطلاعات آن.

با این حال، سطح حمله گسترده تنها خطر سایبری نیست که در چند روز اخیر ظاهر شده است: بسیاری از مجرمان سایبری به طور فعال از این عدم اطمینان جهانی برای انجام کمپین‌های فیشینگ، توزیع بدافزار و تهدیدی برای امنیت اطلاعات بسیاری از شرکت‌ها استفاده می‌کنند.

APT از بیماری همه گیر سوء استفاده می کند

اواخر هفته گذشته، یک گروه تهدید مداوم پیشرفته (APT) به نام پاندا شرور کشف شد که در حال انجام کمپین هایی علیه نیزه فیشینگ، از همه گیری ویروس کرونا برای انتشار بدافزار خود استفاده می کنند. این ایمیل به گیرنده گفت که حاوی اطلاعاتی درباره ویروس کرونا است، اما در واقع این ایمیل حاوی دو فایل مخرب RTF (فرمت متن غنی) است. اگر قربانی این فایل‌ها را باز کند، یک تروجان دسترسی از راه دور (RAT) راه‌اندازی می‌شود که از جمله می‌توانست از صفحه‌نمایش عکس بگیرد، فهرستی از فایل‌ها و دایرکتوری‌ها را در رایانه قربانی ایجاد کند و فایل‌ها را دانلود کند.

این کمپین تاکنون بخش عمومی مغولستان را هدف قرار داده است و به گفته برخی از کارشناسان غربی، این آخرین حمله در عملیات جاری چین علیه دولت ها و سازمان های مختلف در سراسر جهان است. این بار، ویژگی این کمپین این است که از وضعیت جدید کروناویروس جهانی برای آلوده کردن بیشتر قربانیان احتمالی خود استفاده می کند.

به نظر می رسد ایمیل فیشینگ از طرف وزارت امور خارجه مغولستان باشد و ادعا می کند که حاوی اطلاعاتی درباره تعداد افراد آلوده به ویروس است. برای تسلیح کردن این فایل، مهاجمان از RoyalRoad استفاده کردند، ابزاری محبوب در میان تهدیدسازان چینی که به آنها اجازه می‌دهد اسناد سفارشی را با اشیاء تعبیه‌شده ایجاد کنند که می‌توانند از آسیب‌پذیری‌ها در Equation Editor ادغام شده در MS Word برای ایجاد معادلات پیچیده سوء استفاده کنند.

تکنیک های بقا

هنگامی که قربانی فایل های مخرب RTF را باز می کند، Microsoft Word از این آسیب پذیری برای بارگذاری فایل مخرب (intel.wll) در پوشه راه اندازی Word (%APPDATA%MicrosoftWordSTARTUP) سوء استفاده می کند. با استفاده از این روش، نه تنها تهدید انعطاف پذیر می شود، بلکه از انفجار کل زنجیره عفونت هنگام اجرا در جعبه شنی جلوگیری می کند، زیرا Word باید برای راه اندازی کامل بدافزار راه اندازی مجدد شود.

سپس فایل intel.wll یک فایل DLL را بارگیری می کند که برای دانلود بدافزار و برقراری ارتباط با سرور فرمان و کنترل هکر استفاده می شود. سرور فرمان و کنترل هر روز برای مدت زمان محدودی کار می کند و تجزیه و تحلیل و دسترسی به پیچیده ترین بخش های زنجیره عفونت را دشوار می کند.

با وجود این، محققان توانستند تشخیص دهند که در مرحله اول این زنجیره، بلافاصله پس از دریافت فرمان مناسب، RAT بارگذاری و رمزگشایی می شود و DLL بارگذاری می شود که در حافظه بارگذاری می شود. معماری پلاگین مانند نشان می دهد که ماژول های دیگری علاوه بر بار قابل مشاهده در این کمپین وجود دارد.

اقداماتی برای محافظت در برابر APT جدید

این کمپین مخرب از ترفندهای متعددی برای نفوذ به سیستم قربانیان خود و سپس به خطر انداختن امنیت اطلاعات آنها استفاده می کند. برای محافظت از خود در برابر چنین کمپین هایی، انجام طیف وسیعی از اقدامات مهم است.

اولین مورد بسیار مهم است: برای کارکنان مهم است که هنگام دریافت ایمیل مراقب و مراقب باشند. ایمیل یکی از اصلی ترین بردارهای حمله است، اما تقریبا هیچ شرکتی نمی تواند بدون ایمیل کار کند. اگر ایمیلی از فرستنده ناشناس دریافت کردید، بهتر است آن را باز نکنید و اگر باز کردید، هیچ پیوستی را باز نکنید و روی هیچ لینکی کلیک نکنید.

برای به خطر انداختن امنیت اطلاعات قربانیان خود، این حمله از یک آسیب پذیری در Word سوء استفاده می کند. در واقع، آسیب‌پذیری‌های اصلاح نشده دلیل آن هستند موفقیت بسیاری از حملات سایبریو در کنار سایر مسائل امنیتی، می توانند منجر به نقض بزرگ داده ها شوند. به همین دلیل بسیار مهم است که پچ مناسب را برای بسته شدن آسیب پذیری در اسرع وقت اعمال کنید.

برای از بین بردن این مشکلات، راه حل هایی وجود دارد که به طور خاص برای شناسایی طراحی شده اند، مدیریت و نصب پچ ها. این ماژول به طور خودکار وصله های لازم برای اطمینان از امنیت رایانه های شرکت را جستجو می کند و فوری ترین به روز رسانی ها را اولویت بندی می کند و نصب آنها را برنامه ریزی می کند. اطلاعات مربوط به وصله‌هایی که نیاز به نصب دارند به مدیر گزارش می‌شود، حتی زمانی که سوءاستفاده‌ها و بدافزارها شناسایی شوند.

این راه‌حل می‌تواند بلافاصله نصب وصله‌ها و به‌روزرسانی‌های مورد نیاز را راه‌اندازی کند، یا نصب آنها را می‌توان از طریق یک کنسول مدیریت مرکزی مبتنی بر وب برنامه‌ریزی کرد، در صورت لزوم، رایانه‌های وصله‌نشده را جدا کرد. به این ترتیب، مدیر می تواند وصله ها و به روز رسانی ها را مدیریت کند تا شرکت به خوبی کار کند.

متأسفانه، حمله سایبری مورد بحث مطمئنا آخرین موردی نخواهد بود که از وضعیت کنونی ویروس کرونا در جهان برای به خطر انداختن امنیت اطلاعات کسب‌وکارها استفاده می‌کند.

منبع: www.habr.com

اضافه کردن نظر