Un groupe de menaces APT a récemment été découvert, utilisant des campagnes de spear phishing pour exploiter la pandémie de coronavirus et diffuser leurs logiciels malveillants.
Le monde vit actuellement une situation exceptionnelle en raison de la pandémie actuelle du coronavirus Covid-19. Pour tenter d'arrêter la propagation du virus, un grand nombre d'entreprises à travers le monde ont lancé un nouveau mode de travail à distance (à distance). Cela a considérablement élargi la surface d'attaque, ce qui représente un défi majeur pour les entreprises en termes de sécurité de l'information, puisqu'elles doivent désormais établir des règles strictes et agir. assurer la continuité de fonctionnement de l’entreprise et de ses systèmes informatiques.
Mais l’augmentation de la surface d’attaque n’est pas le seul cyber-risque apparu ces derniers jours : de nombreux cybercriminels exploitent activement cette incertitude mondiale pour mener des campagnes de phishing, diffuser des logiciels malveillants et constituer une menace pour la sécurité des informations de nombreuses entreprises.
L’APT exploite la pandémie
À la fin de la semaine dernière, un groupe de menaces persistantes avancées (APT) appelé Vicious Panda a été découvert et menait des campagnes contre , utilisant la pandémie de coronavirus pour propager leurs logiciels malveillants. L’e-mail indiquait au destinataire qu’il contenait des informations sur le coronavirus, mais en fait l’e-mail contenait deux fichiers RTF (Rich Text Format) malveillants. Si la victime ouvrait ces fichiers, un cheval de Troie d'accès à distance (RAT) était lancé, capable, entre autres, de prendre des captures d'écran, de créer des listes de fichiers et de répertoires sur l'ordinateur de la victime et de télécharger des fichiers.
La campagne a jusqu'à présent ciblé le secteur public mongol et, selon certains experts occidentaux, elle représente la dernière attaque de l'opération chinoise en cours contre divers gouvernements et organisations à travers le monde. Cette fois, la particularité de la campagne est qu’elle utilise la nouvelle situation mondiale du coronavirus pour infecter plus activement ses victimes potentielles.
L'e-mail de phishing semble provenir du ministère mongol des Affaires étrangères et prétend contenir des informations sur le nombre de personnes infectées par le virus. Pour militariser ce fichier, les attaquants ont utilisé RoyalRoad, un outil populaire parmi les créateurs de menaces chinois qui leur permet de créer des documents personnalisés avec des objets intégrés pouvant exploiter les vulnérabilités de l'éditeur d'équation intégré à MS Word pour créer des équations complexes.
Techniques de survie
Une fois que la victime ouvre les fichiers RTF malveillants, Microsoft Word exploite la vulnérabilité pour charger le fichier malveillant (intel.wll) dans le dossier de démarrage de Word (%APPDATA%MicrosoftWordSTARTUP). Grâce à cette méthode, non seulement la menace devient résiliente, mais elle empêche également toute la chaîne d'infection d'exploser lors de son exécution dans un bac à sable, puisque Word doit être redémarré pour lancer complètement le malware.
Le fichier intel.wll charge ensuite un fichier DLL utilisé pour télécharger le malware et communiquer avec le serveur de commande et de contrôle du pirate informatique. Le serveur de commande et de contrôle fonctionne chaque jour pendant une période de temps strictement limitée, ce qui rend difficile l’analyse et l’accès aux parties les plus complexes de la chaîne d’infection.
Malgré cela, les chercheurs ont pu déterminer que dans la première étape de cette chaîne, immédiatement après avoir reçu la commande appropriée, le RAT est chargé et déchiffré, ainsi que la DLL, qui est chargée en mémoire. L'architecture de type plugin suggère qu'il existe d'autres modules en plus de la charge utile vue dans cette campagne.
Mesures de protection contre les nouvelles APT
Cette campagne malveillante utilise plusieurs astuces pour infiltrer les systèmes de ses victimes et compromettre ainsi la sécurité de leurs informations. Pour se protéger de telles campagnes, il est important de prendre toute une série de mesures.
La première est extrêmement importante : il est important que les collaborateurs soient attentifs et prudents lorsqu’ils reçoivent des emails. Le courrier électronique est l’un des principaux vecteurs d’attaque, mais presque aucune entreprise ne peut se passer du courrier électronique. Si vous recevez un e-mail d'un expéditeur inconnu, il est préférable de ne pas l'ouvrir, et si vous l'ouvrez, n'ouvrez aucune pièce jointe et ne cliquez sur aucun lien.
Pour compromettre la sécurité des informations de ses victimes, cette attaque exploite une vulnérabilité de Word. En fait, les vulnérabilités non corrigées sont la raison , et avec d’autres problèmes de sécurité, ils peuvent entraîner des violations de données majeures. C'est pourquoi il est si important d'appliquer le correctif approprié pour supprimer la vulnérabilité le plus rapidement possible.
Pour éliminer ces problèmes, il existe des solutions spécifiquement conçues pour l'identification, . Le module recherche automatiquement les correctifs nécessaires pour assurer la sécurité des ordinateurs de l'entreprise, en priorisant les mises à jour les plus urgentes et en planifiant leur installation. Les informations sur les correctifs nécessitant une installation sont signalées à l'administrateur même lorsque des exploits et des logiciels malveillants sont détectés.
La solution peut déclencher immédiatement l'installation des correctifs et mises à jour requis, ou leur installation peut être planifiée à partir d'une console de gestion centrale basée sur le Web, en isolant si nécessaire les ordinateurs non corrigés. De cette façon, l'administrateur peut gérer les correctifs et les mises à jour pour assurer le bon fonctionnement de l'entreprise.
Malheureusement, la cyberattaque en question ne sera certainement pas la dernière à profiter de la situation mondiale actuelle du coronavirus pour compromettre la sécurité des informations des entreprises.
Source: habr.com