Yon gwoup menas APT te dekouvri dènyèman lè l sèvi avèk kanpay èskrokri pou eksplwate pandemi coronavirus pou distribye malveyan yo.
Mond lan ap viv kounye a yon sitiyasyon eksepsyonèl akòz pandemi coronavirus Covid-19 aktyèl la. Pou eseye sispann pwopagasyon viris la, yon gwo kantite konpayi atravè mond lan te lanse yon nouvo mòd travay aleka (aleka). Sa a te siyifikativman elaji sifas atak la, ki poze yon gwo defi pou konpayi yo an tèm de sekirite enfòmasyon, depi kounye a yo bezwen etabli règ strik ak pran aksyon. asire kontinwite nan operasyon nan antrepriz la ak sistèm IT li yo.
Sepandan, sifas atak elaji a se pa sèlman cyber risk ki parèt nan dènye jou yo: anpil kriminèl cyber ap aktivman eksplwate ensètitid mondyal sa a pou fè kanpay èskrokri, distribye malveyan ak reprezante yon menas pou sekirite enfòmasyon anpil konpayi yo.
APT eksplwate pandemi an
Nan fen semèn pase a, yo te dekouvri yon gwoup Advanced Persistent Threat (APT) ki rele Vicious Panda ki t ap fè kanpay kont , itilize pandemi coronavirus pou gaye malveyan yo. Imèl la te di moun k ap resevwa a li te genyen enfòmasyon sou kowonaviris la, men an reyalite imel la te gen de fichye RTF (Rich Text Format) move. Si viktim nan te louvri dosye sa yo, yo te lanse yon Trojan Aksè Remote (RAT) ki, pami lòt bagay, te kapab pran Ekran, kreye lis dosye ak repèrtwar sou òdinatè viktim nan, ak telechaje dosye.
Kanpay la te vize jiskaprezan sektè piblik Mongoli a e, daprè kèk ekspè oksidantal yo, reprezante dènye atak la nan operasyon chinwa k ap kontinye kont divès gouvènman ak òganizasyon atravè mond lan. Fwa sa a, karakteristik kanpay la se ke li ap itilize nouvo sitiyasyon kowonaviris mondyal la pou plis aktivman enfekte potansyèl viktim li yo.
Imel èskrokri a sanble soti nan Ministè Afè Etranjè Mongolyen an e li di li genyen enfòmasyon sou kantite moun ki enfekte ak viris la. Pou sèvi ak zam sa a fichye, atakè yo te itilize RoyalRoad, yon zouti popilè nan mitan moun k ap fè menas Chinwa ki pèmèt yo kreye dokiman koutim ak objè entegre ki ka eksplwate frajilite nan Editè Ekwasyon an entegre nan MS Word pou kreye ekwasyon konplèks.
Teknik pou siviv
Yon fwa viktim nan ouvè fichye RTF move yo, Microsoft Word eksplwate vilnerabilite pou chaje fichye move a (intel.wll) nan katab demaraj Pawòl la (%APPDATA%MicrosoftWordSTARTUP). Lè l sèvi avèk metòd sa a, non sèlman menas la vin fleksib, men li tou anpeche chèn enfeksyon an antye soti nan eksplozyon lè kouri nan yon bwat sab, depi Pawòl dwe rekòmanse konplètman lanse malveyan an.
Fichye a intel.wll Lè sa a, chaje yon dosye DLL ki itilize pou telechaje malveyan an epi kominike avèk sèvè lòd ak kontwòl pirate a. Sèvè a kòmand ak kontwòl opere pou yon peryòd tan ki limite chak jou, sa ki fè li difisil pou analize ak jwenn aksè nan pati ki pi konplèks nan chèn enfeksyon an.
Malgre sa, chèchè yo te kapab detèmine ke nan premye etap nan chèn sa a, imedyatman apre yo fin resevwa kòmandman apwopriye a, RAT a chaje ak dechifre, ak DLL a chaje, ki se chaje nan memwa. Achitekti a ki sanble ak plugin sijere ke gen lòt modil anplis chaj la yo wè nan kanpay sa a.
Mezi pwoteksyon kont nouvo APT
Kanpay move sa a sèvi ak plizyè ke trik nouvèl pou enfiltre sistèm viktim li yo ak Lè sa a, konpwomèt sekirite enfòmasyon yo. Pou pwoteje tèt ou kont kanpay sa yo, li enpòtan pou pran yon seri mezi.
Premye a trè enpòtan: li enpòtan pou anplwaye yo dwe atantif ak atansyon lè yo resevwa imèl. Imèl se youn nan vektè atak prensipal yo, men prèske pa gen okenn konpayi ka fè san imel. Si w resevwa yon imèl ki soti nan yon moun ki pa konnen, li pi bon pou w pa louvri l, epi si w ap louvri l, pa ouvri okenn atachman oswa klike sou okenn lyen.
Pou konpwomi sekirite enfòmasyon viktim li yo, atak sa a eksplwate yon vilnerabilite nan Word. An reyalite, frajilite ki pa patched yo se rezon ki fè yo , ak ansanm ak lòt pwoblèm sekirite, yo ka mennen nan gwo vyolasyon done. Se poutèt sa li enpòtan anpil pou aplike patch ki apwopriye a pou fèmen vilnerabilite a pi vit ke posib.
Pou elimine pwoblèm sa yo, gen solisyon ki fèt espesyalman pou idantifikasyon, . Modil la otomatikman chèche plak ki nesesè pou asire sekirite òdinatè konpayi yo, priyorite mizajou ki pi ijan yo ak pwograme enstalasyon yo. Enfòmasyon sou plak ki mande enstalasyon yo rapòte bay administratè a menm lè eksplwatasyon ak malveyan yo detekte.
Solisyon an ka imedyatman deklanche enstalasyon patch ki nesesè yo ak mizajou, oswa enstalasyon yo ka pwograme nan yon konsole jesyon santral ki baze sou entènèt, si sa nesesè izole òdinatè ki pa patch. Nan fason sa a, administratè a ka jere plak ak mizajou pou kenbe konpayi an kouri san pwoblèm.
Malerezman, atak cyber nan kesyon an pa pral sètènman dènye moun ki pran avantaj de sitiyasyon aktyèl coronavirus mondyal la pou konpwomèt sekirite enfòmasyon biznis yo.
Sous: www.habr.com