Skupina APT prijetnji nedavno je otkrivena korištenjem spear phishing kampanja za iskorištavanje pandemije koronavirusa za distribuciju svog zlonamjernog softvera.
Svijet trenutno prolazi kroz iznimnu situaciju zbog trenutne pandemije koronavirusa Covid-19. Kako bi pokušali zaustaviti širenje virusa, velik broj tvrtki diljem svijeta pokrenuo je novi način udaljenog (remote) rada. Time je značajno proširena površina napada, što predstavlja veliki izazov za tvrtke u smislu informacijske sigurnosti, jer sada moraju uspostaviti stroga pravila i poduzeti mjere. osigurati kontinuitet rada poduzeća i njegovih IT sustava.
Međutim, proširena površina napada nije jedini cyber rizik koji se pojavio u posljednjih nekoliko dana: mnogi cyber kriminalci aktivno iskorištavaju ovu globalnu neizvjesnost za provođenje phishing kampanja, distribuciju zlonamjernog softvera i predstavljaju prijetnju informacijskoj sigurnosti mnogih tvrtki.
APT iskorištava pandemiju
Krajem prošlog tjedna otkrivena je skupina Advanced Persistent Threat (APT) pod nazivom Vicious Panda koja je vodila kampanje protiv , koristeći pandemiju koronavirusa za širenje svog zlonamjernog softvera. U e-poruci je rečeno primatelju da sadrži informacije o koronavirusu, ali zapravo je e-pošta sadržavala dvije zlonamjerne RTF (Rich Text Format) datoteke. Ako je žrtva otvorila te datoteke, pokrenuo se Trojanac za udaljeni pristup (RAT), koji je, između ostalog, bio sposoban snimati snimke zaslona, stvarati popise datoteka i direktorija na računalu žrtve te preuzimati datoteke.
Kampanja je do sada bila usmjerena na javni sektor Mongolije, a prema nekim zapadnim stručnjacima, predstavlja najnoviji napad u kineskoj operaciji koja je u tijeku protiv raznih vlada i organizacija diljem svijeta. Ovaj put posebnost kampanje je u tome što koristi novu globalnu situaciju s koronavirusom kako bi aktivnije zarazila svoje potencijalne žrtve.
Čini se da je e-pošta za krađu identiteta od mongolskog ministarstva vanjskih poslova i tvrdi da sadrži podatke o broju ljudi zaraženih virusom. Kako bi napravili ovu datoteku kao oružje, napadači su koristili RoyalRoad, popularan alat među kineskim kreatorima prijetnji koji im omogućuje stvaranje prilagođenih dokumenata s ugrađenim objektima koji mogu iskoristiti ranjivosti u uređivaču jednadžbi integriranom u MS Word za stvaranje složenih jednadžbi.
Tehnike preživljavanja
Nakon što žrtva otvori zlonamjerne RTF datoteke, Microsoft Word iskorištava ranjivost za učitavanje zlonamjerne datoteke (intel.wll) u početnu mapu Worda (%APPDATA%MicrosoftWordSTARTUP). Koristeći ovu metodu, ne samo da prijetnja postaje otporna, već također sprječava detonaciju cijelog lanca zaraze kada se izvodi u sandboxu, budući da se Word mora ponovno pokrenuti kako bi se zlonamjerni softver u potpunosti pokrenuo.
Datoteka intel.wll zatim učitava DLL datoteku koja se koristi za preuzimanje zlonamjernog softvera i komunikaciju s hakerskim naredbenim i kontrolnim poslužiteljem. Zapovjedno-kontrolni poslužitelj radi strogo ograničeno vremensko razdoblje svaki dan, što otežava analizu i pristup najsloženijim dijelovima lanca infekcije.
Unatoč tome, istraživači su uspjeli utvrditi da se u prvoj fazi ovog lanca, odmah nakon primanja odgovarajuće naredbe, RAT učitava i dešifrira te se učitava DLL koji se učitava u memoriju. Arhitektura slična dodatku sugerira da postoje i drugi moduli uz korisni teret koji se vidi u ovoj kampanji.
Zaštitne mjere protiv novih APT
Ova zlonamjerna kampanja koristi višestruke trikove kako bi se infiltrirala u sustave svojih žrtava i zatim ugrozila njihovu informacijsku sigurnost. Kako biste se zaštitili od takvih kampanja, važno je poduzeti niz mjera.
Prvi je iznimno važan: važno je da zaposlenici budu pažljivi i oprezni kada primaju e-poštu. E-pošta je jedan od glavnih vektora napada, ali gotovo nijedna tvrtka ne može bez e-pošte. Ako dobijete e-mail od nepoznatog pošiljatelja, bolje je da ga ne otvarate, a ako ga otvorite, nemojte otvarati nikakve privitke niti klikati na linkove.
Kako bi ugrozio informacijsku sigurnost svojih žrtava, ovaj napad iskorištava ranjivost u Wordu. Zapravo, razlog su nezakrpane ranjivosti , a zajedno s drugim sigurnosnim problemima, mogu dovesti do velikih povreda podataka. Zbog toga je jako važno primijeniti odgovarajuću zakrpu kako biste zatvorili ranjivost što je prije moguće.
Kako bi se ovi problemi uklonili, postoje rješenja posebno dizajnirana za identifikaciju, . Modul automatski traži zakrpe potrebne za osiguranje sigurnosti kompjutorskih računala, dajući prioritet najhitnijim ažuriranjima i planirajući njihovu instalaciju. Informacije o zakrpama koje zahtijevaju instalaciju prijavljuju se administratoru čak i kada se otkriju exploit i malware.
Rješenje može odmah pokrenuti instalaciju potrebnih zakrpa i ažuriranja ili se njihova instalacija može zakazati sa središnje upravljačke konzole temeljene na webu, po potrebi izolirajući nezakrpana računala. Na taj način administrator može upravljati zakrpama i ažuriranjima kako bi tvrtka radila glatko.
Nažalost, predmetni cyber napad sigurno neće biti posljednji koji će iskoristiti trenutnu globalnu situaciju s koronavirusom kako bi ugrozio informacijsku sigurnost poduzeća.
Izvor: www.habr.com