Chaidh buidheann de bhagairtean APT a lorg o chionn ghoirid a’ cleachdadh iomairtean fiasgach sleagh gus brath a ghabhail air a’ ghalair lèir-sgaoilte coronavirus gus an malware aca a sgaoileadh.
Tha an saoghal an-dràsta ann an suidheachadh air leth mar thoradh air a’ ghalair lèir-sgaoilte coronavirus Covid-19. Gus feuchainn ri stad a chuir air sgaoileadh a’ bhìoras, tha àireamh mhòr de chompanaidhean air feadh an t-saoghail air modh ùr de dh’ obair iomallach (iomallach) a chuir air bhog. Tha seo air uachdar an ionnsaigh a leudachadh gu mòr, a tha na dhùbhlan mòr dha companaidhean a thaobh tèarainteachd fiosrachaidh, leis gu feum iad a-nis riaghailtean teann a stèidheachadh agus gnìomh a dhèanamh.
Ach, chan e an uachdar ionnsaigh leudaichte an aon chunnart saidhbear a tha air nochdadh anns na beagan làithean a dh ’fhalbh: tha mòran de dh’ eucoirich saidhbear gu gnìomhach a ’gabhail brath air a’ mhì-chinnt chruinneil seo gus iomairtean fiasgach a dhèanamh, malware a sgaoileadh agus a bhith nan cunnart do thèarainteachd fiosrachaidh mòran chompanaidhean.
Bidh APT a’ gabhail brath air a’ ghalair lèir-sgaoilte
Anmoch an t-seachdain sa chaidh, chaidh buidheann Cunnart Leantainneach Adhartach (APT) leis an t-ainm Vicious Panda a lorg a bha a’ cumail iomairtean an aghaidh
Tha an iomairt gu ruige seo air cuimseachadh air roinn phoblach Mongolia, agus a rèir cuid de eòlaichean an Iar, tha e a’ riochdachadh an ionnsaigh as ùire ann an gnìomhachd leantainneach Shìona an aghaidh diofar riaghaltasan agus bhuidhnean air feadh an t-saoghail. An turas seo, is e cho sònraichte sa tha an iomairt gu bheil iad a’ cleachdadh an t-suidheachaidh coronavirus cruinne ùr gus galairean nas gnìomhaiche a thoirt don luchd-fulaing.
Tha e coltach gu bheil am post-d phishing bho Mhinistrealachd Cùisean Cèin Mhongòilia agus ag ràdh gu bheil fiosrachadh ann mun àireamh de dhaoine air a bheil a’ bhìoras. Gus armachd a thoirt don fhaidhle seo, chleachd an luchd-ionnsaigh RoyalRoad, inneal mòr-chòrdte am measg luchd-dèanaidh bagairtean Sìneach a leigeas leotha sgrìobhainnean àbhaisteach a chruthachadh le stuthan freumhaichte a dh’ fhaodas brath a ghabhail air so-leòntachd anns an Deasaiche Co-aontar a tha ceangailte ri MS Word gus co-aontaran iom-fhillte a chruthachadh.
Dòighean mairsinn beò
Cho luath ‘s a dh’ fhosglas an neach-fulang na faidhlichean RTF droch-rùnach, bidh Microsoft Word a’ gabhail brath air so-leòntachd am faidhle droch-rùnach (intel.wll) a luchdachadh a-steach don phasgan tòiseachaidh Word (% APPDATA% MicrosoftWordSTARTUP). Le bhith a’ cleachdadh an dòigh seo, chan e a-mhàin gu bheil am bagairt a’ fàs tapaidh, ach tha e cuideachd a’ cur casg air an t-sreath gabhaltachd gu lèir bho bhith a’ spreadhadh nuair a bhios e a’ ruith ann am bogsa gainmhich, oir feumar Word ath-thòiseachadh gus an malware a chuir air bhog gu h-iomlan.
Bidh am faidhle intel.wll an uairsin a’ luchdachadh faidhle DLL a thèid a chleachdadh gus an malware a luchdachadh sìos agus conaltradh le frithealaiche stiùiridh is smachd an neach-tarraing. Bidh an frithealaiche àithne is smachd ag obair airson ùine gu math cuibhrichte gach latha, ga dhèanamh duilich mion-sgrùdadh agus faighinn gu na pàirtean as iom-fhillte den t-sreath gabhaltachd.
A dh'aindeoin seo, bha an luchd-rannsachaidh comasach air faighinn a-mach gu bheil an RAT air a luchdachadh agus air a dhì-chrioptachadh anns a 'chiad ìre den t-sreath seo, dìreach an dèidh dha an òrdugh iomchaidh fhaighinn, agus tha an DLL air a luchdachadh, a tha air a luchdachadh gu cuimhne. Tha an ailtireachd coltach ri plugan a’ moladh gu bheil modalan eile ann a bharrachd air an uallach pàighidh a chithear san iomairt seo.
Ceumannan gus dìon an aghaidh APT ùr
Bidh an iomairt droch-rùnach seo a’ cleachdadh grunn chleasan gus siostaman an luchd-fulaing aca a thoirt a-steach agus an uairsin an tèarainteachd fiosrachaidh aca a mhilleadh. Gus do dhìon fhèin bho leithid de dh ’iomairtean, tha e cudromach grunn cheumannan a ghabhail.
Tha a’ chiad fhear air leth cudromach: tha e cudromach gum bi luchd-obrach furachail agus faiceallach nuair a gheibh iad post-d. Is e post-d aon de na prìomh vectaran ionnsaigh, ach cha mhòr nach urrainn companaidh sam bith a dhèanamh às aonais post-d. Ma gheibh thu post-d bho neach-cuiridh neo-aithnichte, tha e nas fheàrr gun a bhith ga fhosgladh, agus ma dh’ fhosglas tu e, na fosgail ceanglachan sam bith no cliog air ceanglaichean sam bith.
Gus tèarainteachd fiosrachaidh an luchd-fulaing a mhilleadh, tha an ionnsaigh seo a’ gabhail brath air so-leòntachd ann am Word. Gu dearbh, is e so-leòntachd neo-leasaichte an adhbhar
Gus cuir às do na duilgheadasan sin, tha fuasglaidhean ann a chaidh an dealbhadh gu sònraichte airson comharrachadh,
Faodaidh am fuasgladh sa bhad cuir a-steach pìosan is ùrachaidhean a tha a dhìth, no faodar an stàladh a chlàradh bho chonsal riaghlaidh meadhanach stèidhichte air an lìon, ma tha sin riatanach a’ dealachadh choimpiutairean gun atharrachadh. San dòigh seo, faodaidh an rianadair pìosan agus ùrachaidhean a riaghladh gus a’ chompanaidh a chumail a’ ruith gu rèidh.
Gu mì-fhortanach, gu cinnteach chan e an ionnsaigh saidhbear sin an tè mu dheireadh a ghabhas brath air an t-suidheachadh gnàthach coronavirus cruinne gus tèarainteachd fiosrachaidh ghnìomhachasan a mhilleadh.
Source: www.habr.com