A közelmúltban APT fenyegetések egy csoportját fedezték fel, amelyek lándzsás adathalász kampányokat használnak, hogy kihasználják a koronavírus-járványt rosszindulatú programjaik terjesztésére.
A világ jelenleg rendkívüli helyzetben van a jelenlegi Covid-19 koronavírus-járvány miatt. A vírus terjedésének megállítása érdekében világszerte számos cég vezette be a távoli (táv)munka új módját. Ez jelentősen kibővítette a támadási felületet, ami nagy kihívás elé állítja a cégeket az információbiztonság szempontjából, hiszen most már szigorú szabályokat kell felállítani és lépni. a vállalkozás és informatikai rendszerei működésének folyamatosságának biztosítása.
A kibővült támadási felület azonban nem az egyetlen kiberkockázat, amely az elmúlt napokban megjelent: sok kiberbűnöző aktívan használja ki ezt a globális bizonytalanságot adathalász kampányok lebonyolítására, rosszindulatú programok terjesztésére, és számos vállalat információbiztonságára jelent veszélyt.
Az APT kihasználja a járványt
A múlt hét végén felfedezték a Vicious Panda nevű Advanced Persistent Threat (APT) csoportot, amely kampányt folytatott az ellen. , a koronavírus-járvány segítségével rosszindulatú programjaik terjesztésére. Az e-mail a címzettnek azt mondta, hogy a koronavírussal kapcsolatos információkat tartalmaz, de valójában két rosszindulatú RTF (Rich Text Format) fájlt tartalmazott. Ha az áldozat megnyitotta ezeket a fájlokat, akkor elindult egy távelérési trójai (RAT), amely egyebek mellett képes volt képernyőképeket készíteni, fájl- és könyvtárlistákat készíteni az áldozat számítógépén, valamint fájlokat letölteni.
A kampány eddig Mongólia közszféráját célozta, és egyes nyugati szakértők szerint ez a folyamatban lévő kínai hadművelet legújabb támadása a világ különböző kormányai és szervezetei ellen. Ezúttal a kampány sajátossága, hogy az új globális koronavírus-helyzetet arra használja fel, hogy aktívabban fertőzze meg potenciális áldozatait.
Úgy tűnik, hogy az adathalász e-mail a mongol külügyminisztériumtól származik, és azt állítja, hogy a vírussal fertőzöttek számáról tartalmaz információkat. A fájl felfegyverzésére a támadók a RoyalRoad nevű eszközt használták, amely a kínai fenyegetésgyártók körében népszerű eszköz, amely lehetővé teszi számukra, hogy olyan beágyazott objektumokat tartalmazó egyedi dokumentumokat hozzanak létre, amelyek az MS Wordbe integrált Egyenletszerkesztő sebezhetőségeit kihasználva összetett egyenleteket hozhatnak létre.
Túlélési technikák
Miután az áldozat megnyitja a rosszindulatú RTF-fájlokat, a Microsoft Word a biztonsági rést kihasználva betölti a rosszindulatú fájlt (intel.wll) a Word indító mappájába (%APPDATA%MicrosoftWordSTARTUP). Ezzel a módszerrel nemcsak ellenállóvá válik a fenyegetés, hanem megakadályozza, hogy a teljes fertőzési lánc felrobbanjon, ha homokozóban fut, mivel a Word-et újra kell indítani a kártevő teljes elindításához.
Az intel.wll fájl ezután betölt egy DLL-fájlt, amely a kártevő letöltésére és a hacker parancs- és vezérlőkiszolgálójával való kommunikációra szolgál. A parancs- és vezérlőszerver minden nap szigorúan korlátozott ideig működik, ami megnehezíti a fertőzési lánc legösszetettebb részeinek elemzését és elérését.
Ennek ellenére a kutatóknak sikerült megállapítaniuk, hogy ennek a láncnak az első szakaszában, a megfelelő parancs megérkezése után azonnal megtörténik a RAT betöltése és visszafejtése, valamint a DLL betöltése, amely betöltődik a memóriába. A plugin-szerű architektúra arra utal, hogy a kampányban látható hasznos terhelésen kívül más modulok is léteznek.
Védelmi intézkedések az új APT ellen
Ez a rosszindulatú kampány több trükköt alkalmaz, hogy beszivárogjon áldozatai rendszereibe, majd veszélyezteti információbiztonságukat. Ahhoz, hogy megvédje magát az ilyen kampányoktól, fontos, hogy tegyen egy sor intézkedést.
Az első rendkívül fontos: fontos, hogy az alkalmazottak figyelmesek és körültekintőek legyenek az e-mailek fogadásakor. Az e-mail az egyik fő támadási vektor, de szinte egyetlen cég sem nélkülözheti az e-mailt. Ha ismeretlen feladótól kap egy e-mailt, jobb, ha nem nyitja meg, ha pedig megnyitja, akkor ne nyisson meg semmilyen mellékletet, és ne kattintson semmilyen hivatkozásra.
Az áldozatok információbiztonságának veszélyeztetése érdekében ez a támadás a Word egy biztonsági rését használja ki. Valójában a kijavítatlan sérülékenységek az okai , és más biztonsági problémákkal együtt komoly adatszivárgásokhoz vezethetnek. Ezért olyan fontos a megfelelő javítás alkalmazása a biztonsági rés mielőbbi bezárásához.
Ezeknek a problémáknak a kiküszöbölésére léteznek olyan megoldások, amelyeket kifejezetten az azonosításra terveztek, . A modul automatikusan megkeresi a vállalati számítógépek biztonságának biztosításához szükséges javításokat, előtérbe helyezve a legsürgősebb frissítéseket és ütemezve azok telepítését. A telepítést igénylő javításokkal kapcsolatos információkat a rendszer akkor is jelenti a rendszergazdának, ha kizsákmányolást és rosszindulatú programokat észlel.
A megoldás azonnal elindíthatja a szükséges javítások és frissítések telepítését, vagy telepítésük ütemezhető egy web alapú központi felügyeleti konzolról, szükség esetén elkülönítve a javítatlan számítógépeket. Így az adminisztrátor kezelheti a javításokat és frissítéseket, hogy a vállalat zökkenőmentesen működjön.
Sajnos a szóban forgó kibertámadás biztosan nem lesz az utolsó, amely a jelenlegi globális koronavírus-helyzetet kihasználva veszélyezteti a vállalkozások információbiztonságát.
Forrás: will.com