Äskettäin löydettiin joukko APT-uhkia, jotka käyttävät keihään tietojenkalastelukampanjoita hyödyntääkseen koronaviruspandemiaa haittaohjelmiensa levittämiseen.
Maailma on tällä hetkellä poikkeuksellisessa tilanteessa nykyisen Covid-19 koronaviruspandemian vuoksi. Viruksen leviämisen estämiseksi monet yritykset ympäri maailmaa ovat ottaneet käyttöön uuden etätyöskentelytavan. Tämä on laajentanut merkittävästi hyökkäyspinta-alaa, mikä on suuri haaste yrityksille tietoturvallisuuden kannalta, sillä nyt on luotava tiukat säännöt ja ryhdyttävä toimiin.
Laajentunut hyökkäyspinta ei kuitenkaan ole ainoa viime päivinä ilmaantunut kyberriski: monet kyberrikolliset käyttävät aktiivisesti tätä globaalia epävarmuutta hyväkseen tietojenkalastelukampanjoiden toteuttamiseen, haittaohjelmien levittämiseen ja uhan monien yritysten tietoturvalle.
APT hyödyntää pandemiaa
Viime viikon lopulla havaittiin Advanced Persistent Threat (APT) -ryhmä nimeltä Vicious Panda, joka harjoitti kampanjoita vastaan.
Kampanja on tähän asti kohdistunut Mongolian julkiseen sektoriin, ja joidenkin länsimaisten asiantuntijoiden mukaan se edustaa viimeisintä hyökkäystä käynnissä olevassa Kiinan operaatiossa eri hallituksia ja järjestöjä vastaan ympäri maailmaa. Tällä kertaa kampanjan erikoisuutena on se, että se hyödyntää uutta globaalia koronavirustilannetta tartuttaakseen aktiivisemmin mahdollisia uhrejaan.
Tietojenkalasteluviesti näyttää olevan Mongolian ulkoministeriöltä ja väittää sisältävän tietoja viruksen saaneiden ihmisten määrästä. Tämän tiedoston aseistamiseen hyökkääjät käyttivät RoyalRoadia, kiinalaisten uhkien tekijöiden keskuudessa suosittua työkalua, jonka avulla he voivat luoda mukautettuja dokumentteja, joissa oli upotettuja objekteja, jotka voivat hyödyntää MS Wordiin integroidun yhtälöeditorin haavoittuvuuksia luodakseen monimutkaisia yhtälöitä.
Selviytymistekniikat
Kun uhri avaa haitalliset RTF-tiedostot, Microsoft Word käyttää haavoittuvuutta ja lataa haitallisen tiedoston (intel.wll) Wordin käynnistyskansioon (%APPDATA%MicrosoftWordSTARTUP). Tätä menetelmää käyttämällä uhka ei vain muutu kestäväksi, vaan se myös estää koko tartuntaketjua räjähtämästä hiekkalaatikossa ajettaessa, koska Word on käynnistettävä uudelleen, jotta haittaohjelma voidaan käynnistää kokonaan.
Intel.wll-tiedosto lataa sitten DLL-tiedoston, jota käytetään haittaohjelman lataamiseen ja hakkerin komento- ja ohjauspalvelimen kanssa viestimiseen. Komento- ja ohjauspalvelin toimii tiukasti rajoitetun ajan joka päivä, mikä vaikeuttaa tartuntaketjun monimutkaisimpien osien analysointia ja pääsyä niihin.
Tästä huolimatta tutkijat pystyivät toteamaan, että tämän ketjun ensimmäisessä vaiheessa, heti asianmukaisen komennon saatuaan, RAT ladataan ja salaus puretaan sekä DLL ladataan, joka ladataan muistiin. Plugin-tyyppinen arkkitehtuuri viittaa siihen, että tässä kampanjassa näkyvän hyötykuorman lisäksi on muitakin moduuleja.
Toimenpiteet suojaamaan uutta APT:tä vastaan
Tämä haitallinen kampanja käyttää useita temppuja tunkeutuakseen uhrien järjestelmiin ja vaarantaakseen heidän tietoturvansa. Suojataksesi itsesi tällaisilta kampanjoilta on tärkeää toteuttaa erilaisia toimenpiteitä.
Ensimmäinen on erittäin tärkeä: työntekijöiden on tärkeää olla tarkkaavaisia ja varovaisia vastaanottaessaan sähköposteja. Sähköposti on yksi tärkeimmistä hyökkäysvektoreista, mutta lähes mikään yritys ei tule toimeen ilman sähköpostia. Jos saat sähköpostin tuntemattomalta lähettäjältä, on parempi olla avaamatta sitä, ja jos avaat sen, älä avaa liitteitä tai napsauta linkkejä.
Uhrien tietoturvan vaarantamiseksi tämä hyökkäys hyödyntää Wordin haavoittuvuutta. Itse asiassa korjaamattomat haavoittuvuudet ovat syynä
Näiden ongelmien poistamiseksi on olemassa ratkaisuja, jotka on suunniteltu erityisesti tunnistamiseen,
Ratkaisu voi käynnistää tarvittavien korjaustiedostojen ja päivitysten asennuksen välittömästi tai niiden asennus voidaan ajoittaa verkkopohjaisesta keskushallintakonsolista, tarvittaessa eristäen korjaamattomat tietokoneet. Tällä tavalla järjestelmänvalvoja voi hallita korjaustiedostoja ja päivityksiä, jotta yritys toimii sujuvasti.
Valitettavasti kyseessä oleva kyberhyökkäys ei varmasti ole viimeinen, joka hyödyntää vallitsevaa globaalia koronavirustilannetta yritysten tietoturvan vaarantamiseen.
Lähde: will.com