Recentemente descubriuse un grupo de ameazas APT usando campañas de phishing para explotar a pandemia de coronavirus para distribuír o seu malware.
O mundo está a vivir unha situación excepcional debido á actual pandemia de coronavirus Covid-19. Para tentar deter a propagación do virus, un gran número de empresas de todo o mundo lanzaron un novo modo de traballo remoto (remoto). Isto ampliou significativamente a superficie de ataque, o que supón un gran reto para as empresas en materia de seguridade da información, xa que agora necesitan establecer regras estritas e tomar medidas.
Non obstante, a superficie de ataque ampliada non é o único risco cibernético que xurdiu nos últimos días: moitos ciberdelincuentes están a explotar activamente esta incerteza global para realizar campañas de phishing, distribuír malware e supoñer unha ameaza para a seguridade da información de moitas empresas.
APT explota a pandemia
A finais da semana pasada, descubriuse un grupo de ameazas persistentes avanzadas (APT) chamado Vicious Panda que estaba a realizar campañas contra
A campaña dirixiuse ata agora ao sector público de Mongolia e, segundo algúns expertos occidentais, representa o último ataque na operación chinesa en curso contra varios gobernos e organizacións de todo o mundo. Nesta ocasión, a particularidade da campaña é que está a utilizar a nova situación mundial do coronavirus para infectar máis activamente ás súas potenciais vítimas.
O correo electrónico de phishing parece ser do Ministerio de Asuntos Exteriores de Mongolia e afirma que contén información sobre o número de persoas infectadas co virus. Para armar este ficheiro, os atacantes utilizaron RoyalRoad, unha ferramenta popular entre os creadores de ameazas chineses que lles permite crear documentos personalizados con obxectos incrustados que poden explotar as vulnerabilidades do Editor de ecuacións integrado en MS Word para crear ecuacións complexas.
Técnicas de supervivencia
Unha vez que a vítima abre os ficheiros RTF maliciosos, Microsoft Word aproveita a vulnerabilidade para cargar o ficheiro malicioso (intel.wll) no cartafol de inicio de Word (%APPDATA%MicrosoftWordSTARTUP). Usando este método, non só a ameaza faise resistente, senón que tamén evita que toda a cadea de infección detone cando se executa nun sandbox, xa que Word debe reiniciarse para lanzar completamente o malware.
A continuación, o ficheiro intel.wll carga un ficheiro DLL que se usa para descargar o malware e comunicarse co servidor de mando e control do hacker. O servidor de mando e control funciona durante un período de tempo estritamente limitado cada día, polo que é difícil analizar e acceder ás partes máis complexas da cadea de infección.
A pesar diso, os investigadores puideron determinar que na primeira etapa desta cadea, inmediatamente despois de recibir o comando apropiado, a RAT é cargada e descifrada, e a DLL, que se carga na memoria. A arquitectura tipo plugin suxire que hai outros módulos ademais da carga útil que se ve nesta campaña.
Medidas de protección contra novos APT
Esta campaña maliciosa utiliza varios trucos para infiltrarse nos sistemas das súas vítimas e, a continuación, comprometer a súa seguridade da información. Para protexerse de tales campañas, é importante tomar unha serie de medidas.
A primeira delas é moi importante: é importante que os empregados estean atentos e coidadosos á hora de recibir correos electrónicos. O correo electrónico é un dos principais vectores de ataque, pero case ningunha empresa pode prescindir do correo electrónico. Se recibe un correo electrónico dun remitente descoñecido, é mellor non abrilo e, se o abre, non abra ningún anexo nin prema en ningún enlace.
Para comprometer a seguridade da información das súas vítimas, este ataque explota unha vulnerabilidade en Word. De feito, as vulnerabilidades sen parches son a razón
Para eliminar estes problemas, existen solucións deseñadas especificamente para a identificación,
A solución pode activar inmediatamente a instalación dos parches e actualizacións necesarios, ou a súa instalación pódese programar desde unha consola de xestión central baseada na web, se é necesario illando os ordenadores sen parches. Deste xeito, o administrador pode xestionar parches e actualizacións para manter a empresa funcionando sen problemas.
Desafortunadamente, o ciberataque en cuestión non será o último en aproveitar a actual situación global de coronavirus para comprometer a seguridade da información das empresas.
Fonte: www.habr.com