In groep APT-bedrigingen waard koartlyn ûntdutsen mei help fan spear phishing-kampanjes om de pandemy fan coronavirus te eksploitearjen om har malware te fersprieden.
De wrâld belibbet op it stuit in útsûnderlike situaasje fanwegen de hjoeddeistige Covid-19 coronavirus-pandemy. Om te besykjen de fersprieding fan it firus te stopjen, hawwe in grut oantal bedriuwen rûn de wrâld in nije modus fan wurk op ôfstân lansearre. Dit hat it oanfalflak signifikant útwreide, wat in grutte útdaging foar bedriuwen foarmet yn termen fan ynformaasjefeiligens, om't se no strikte regels moatte fêststelle en aksje nimme. om kontinuïteit fan wurking fan 'e ûndernimming en har IT-systemen te garandearjen.
It útwreide oanfalflak is lykwols net it ienige cyberrisiko dat yn 'e lêste dagen ûntstien is: in protte cyberkriminelen brûke dizze wrâldwide ûnwissichheid aktyf om phishing-kampanjes út te fieren, malware te fersprieden en in bedriging foar de ynformaasjefeiligens fan in protte bedriuwen te foarmjen.
APT eksploitearret de pandemy
Ein ferline wike waard in Advanced Persistent Threat (APT) groep mei de namme Vicious Panda ûntdutsen dy't kampanjes fierde tsjin , mei help fan de pandemy fan coronavirus om har malware te fersprieden. De e-post fertelde de ûntfanger dat it ynformaasje befette oer it coronavirus, mar yn feite befette de e-post twa kweade RTF-bestannen (Rich Text Format). As it slachtoffer dizze bestannen iepene, waard in Remote Access Trojan (RAT) lansearre, dy't ûnder oare yn steat wie om skermôfbyldings te nimmen, listen fan bestannen en mappen op 'e kompjûter fan it slachtoffer te meitsjen en bestannen te downloaden.
De kampanje hat oant no ta rjochte op de publike sektor fan Mongoalje en fertsjintwurdiget, neffens guon westerske saakkundigen, de lêste oanfal yn 'e oanhâldende Sineeske operaasje tsjin ferskate oerheden en organisaasjes oer de hiele wrâld. Dizze kear is de eigenaardichheid fan 'e kampanje dat it de nije wrâldwide coronavirus-situaasje brûkt om har potensjele slachtoffers aktyf te ynfektearjen.
De phishing-e-post liket fan it Mongoalske ministearje fan Bûtenlânske Saken te kommen en beweart ynformaasje te befetsjen oer it oantal minsken besmet mei it firus. Om dit bestân te wapenjen, brûkten de oanfallers RoyalRoad, in populêr ark ûnder Sineeske bedrigingsmakkers wêrmei se oanpaste dokuminten kinne meitsje mei ynbêde objekten dy't kwetsberens kinne eksploitearje yn 'e Equation Editor yntegreare yn MS Word om komplekse fergelikingen te meitsjen.
Survival Techniques
Sadree't it slachtoffer de kweade RTF-bestannen iepenet, eksploitearret Microsoft Word de kwetsberens om it kweade bestân (intel.wll) te laden yn 'e Word-startmap (%APPDATA%MicrosoftWordSTARTUP). Troch dizze metoade te brûken, wurdt de bedriging net allinich fjirtich, mar it foarkomt ek dat de heule ynfeksjeketen detonearret by it rinnen yn in sânbak, om't Word opnij starte moat om de malware folslein te starten.
It bestân intel.wll laadt dan in DLL-bestân dat wurdt brûkt om de malware te downloaden en te kommunisearjen mei de kommando- en kontrôletsjinner fan 'e hacker. De kommando- en kontrôletsjinner wurket elke dei foar in strikt beheinde perioade, wêrtroch it lestich is om de meast komplekse dielen fan 'e ynfeksjeketen te analysearjen en tagong te krijen.
Nettsjinsteande dit koene de ûndersikers bepale dat yn 'e earste etappe fan dizze keten, fuortendaliks nei it ûntfangen fan it passende kommando, de RAT wurdt laden en ûntsifere, en de DLL wurdt laden, dy't yn it ûnthâld laden wurdt. De plugin-like arsjitektuer suggerearret dat d'r oare modules binne neist de lading te sjen yn dizze kampanje.
Beskermjende maatregels tsjin nije APT
Dizze kweade kampanje brûkt meardere trúkjes om de systemen fan har slachtoffers te ynfiltrearjen en dan har ynformaasjefeiligens te kompromittearjen. Om josels te beskermjen tsjin sokke kampanjes, is it wichtich om in ferskaat oan maatregels te nimmen.
De earste is ekstreem wichtich: it is wichtich foar meiwurkers om oandachtich en foarsichtich te wêzen by it ûntfangen fan e-mails. E-post is ien fan de wichtichste oanfal vectors, mar hast gjin bedriuw kin dwaan sûnder e-mail. As jo in e-post ûntfange fan in ûnbekende stjoerder, is it better om it net te iepenjen, en as jo it iepenje, iepenje dan gjin taheaksels of klikje op keppelings.
Om de ynformaasjefeiligens fan har slachtoffers te kompromittearjen, eksploitearret dizze oanfal in kwetsberens yn Word. Yn feite binne unpatched kwetsberens de reden , en tegearre mei oare feiligensproblemen kinne se liede ta grutte gegevensbrekken. Dêrom is it sa wichtich om de passende patch oan te passen om de kwetsberens sa gau mooglik te sluten.
Om dizze problemen te eliminearjen, binne d'r oplossingen spesifyk ûntworpen foar identifikaasje, . De module siket automatysk nei patches dy't nedich binne om de feiligens fan bedriuwskompjûters te garandearjen, prioriteit te jaan oan de meast urgente updates en it plannen fan har ynstallaasje. Ynformaasje oer patches dy't ynstallaasje nedich binne, wurdt rapportearre oan de behearder sels as eksploaten en malware ûntdutsen wurde.
De oplossing kin de ynstallaasje fan fereaske patches en updates fuortendaliks triggerje, of har ynstallaasje kin wurde pland fanút in web-basearre sintrale behearkonsole, as it nedich is isolearjen fan unpatched kompjûters. Op dizze manier kin de behearder patches en updates beheare om it bedriuw soepel te hâlden.
Spitigernôch sil de cyberoanfal yn kwestje grif net de lêste wêze dy't profitearret fan 'e hjoeddeistige wrâldwide coronavirus-situaasje om de ynformaasjefeiligens fan bedriuwen te kompromittearjen.
Boarne: www.habr.com