Վերջերս հայտնաբերվել է APT սպառնալիքների մի խումբ՝ օգտագործելով նիզակային ֆիշինգի արշավները՝ օգտագործելու կորոնավիրուսային համաճարակը իրենց չարամիտ ծրագրերը տարածելու համար:
Ներկայումս աշխարհը բացառիկ իրավիճակ է ապրում՝ կապված ներկայիս Covid-19 կորոնավիրուսային համաճարակի հետ։ Վիրուսի տարածումը կասեցնելու համար մեծ թվով ընկերություններ ամբողջ աշխարհում գործարկել են հեռավար (հեռավոր) աշխատանքի նոր ռեժիմ։ Սա զգալիորեն ընդլայնել է հարձակման մակերեսը, ինչը մեծ մարտահրավեր է ընկերությունների համար տեղեկատվական անվտանգության առումով, քանի որ այժմ նրանք պետք է խիստ կանոններ սահմանեն և քայլեր ձեռնարկեն: ապահովել ձեռնարկության և նրա ՏՏ համակարգերի գործունեության շարունակականությունը.
Այնուամենայնիվ, ընդլայնված հարձակման մակերեսը միակ կիբեր ռիսկը չէ, որը ի հայտ է եկել վերջին մի քանի օրվա ընթացքում. շատ կիբերհանցագործներ ակտիվորեն օգտագործում են այս գլոբալ անորոշությունը՝ ֆիշինգային արշավներ իրականացնելու, չարամիտ ծրագրեր տարածելու և բազմաթիվ ընկերությունների տեղեկատվական անվտանգության համար վտանգ ներկայացնելու համար:
APT-ն օգտագործում է համաճարակը
Անցյալ շաբաթվա վերջին հայտնաբերվեց «Վատավոր պանդա» կոչվող Advanced Persistent Threat (APT) խումբը, որը արշավներ էր իրականացնում դեմ , օգտագործելով կորոնավիրուսային համաճարակը իրենց չարամիտ ծրագրերը տարածելու համար: Նամակում ստացողին ասվել է, որ այն պարունակում է տեղեկատվություն կորոնավիրուսի մասին, բայց իրականում նամակը պարունակում է երկու վնասակար RTF (Rich Text Format) ֆայլ: Եթե տուժողը բացում էր այս ֆայլերը, գործարկվում էր Remote Access Trojan (RAT), որը, ի թիվս այլ բաների, կարող էր սքրինշոթեր անել, զոհի համակարգչում ստեղծել ֆայլերի և գրացուցակների ցուցակներ և ներբեռնել ֆայլեր:
Արշավը մինչ այժմ թիրախավորել է Մոնղոլիայի հանրային հատվածը և, ըստ որոշ արևմտյան փորձագետների, ներկայացնում է վերջին հարձակումը չինական գործողության ընթացքում, որն ուղղված է աշխարհի տարբեր կառավարությունների և կազմակերպությունների դեմ: Այս անգամ արշավի առանձնահատկությունն այն է, որ այն օգտագործում է նոր գլոբալ կորոնավիրուսային իրավիճակը՝ իր պոտենցիալ զոհերին ավելի ակտիվ վարակելու համար։
Ֆիշինգի նամակը, ըստ երևույթին, Մոնղոլիայի արտաքին գործերի նախարարության կողմից է և պնդում է, որ տեղեկատվություն է պարունակում վիրուսով վարակված մարդկանց թվի մասին: Այս ֆայլը զինելու համար հարձակվողներն օգտագործել են RoyalRoad-ը, որը հայտնի գործիք է չինացի սպառնալիքներ արտադրողների շրջանում, որը թույլ է տալիս նրանց ստեղծել հատուկ փաստաթղթեր ներկառուցված օբյեկտներով, որոնք կարող են օգտագործել MS Word-ում ինտեգրված Equation Editor-ի խոցելիությունները՝ բարդ հավասարումներ ստեղծելու համար:
Գոյատևման տեխնիկա
Երբ տուժողը բացում է վնասակար RTF ֆայլերը, Microsoft Word-ն օգտագործում է խոցելիությունը՝ բեռնելու վնասակար ֆայլը (intel.wll) Word գործարկման թղթապանակում (%APPDATA%MicrosoftWordSTARTUP): Օգտագործելով այս մեթոդը, սպառնալիքը ոչ միայն դառնում է դիմացկուն, այլ նաև կանխում է վարակի ամբողջ շղթայի պայթյունը ավազի արկղում աշխատելիս, քանի որ Word-ը պետք է վերագործարկվի չարամիտ ծրագիրը ամբողջությամբ գործարկելու համար:
Այնուհետև intel.wll ֆայլը բեռնում է DLL ֆայլ, որն օգտագործվում է չարամիտ ծրագիրը ներբեռնելու և հաքերի հրամանի և կառավարման սերվերի հետ հաղորդակցվելու համար: Հրամանատարության և կառավարման սերվերը գործում է ամեն օր խիստ սահմանափակ ժամանակով, ինչը դժվարացնում է վարակի շղթայի ամենաբարդ մասերի վերլուծությունը և մուտքը:
Չնայած դրան, հետազոտողները կարողացել են պարզել, որ այս շղթայի առաջին փուլում, համապատասխան հրամանը ստանալուց անմիջապես հետո, RAT-ը բեռնվում և վերծանվում է, իսկ DLL-ը բեռնվում է, որը բեռնվում է հիշողության մեջ։ Փլագինանման ճարտարապետությունը հուշում է, որ այս արշավում տեսած օգտակար բեռից բացի կան այլ մոդուլներ:
Պաշտպանական միջոցառումներ նոր APT-ի դեմ
Այս չարամիտ արշավը օգտագործում է բազմաթիվ հնարքներ՝ իր զոհերի համակարգերը ներթափանցելու և այնուհետև վտանգի ենթարկելու նրանց տեղեկատվական անվտանգությունը: Նման արշավներից պաշտպանվելու համար կարևոր է մի շարք միջոցառումներ ձեռնարկել։
Առաջինը չափազանց կարևոր է. աշխատողների համար կարևոր է ուշադիր և զգույշ լինել նամակներ ստանալիս: Էլեկտրոնային փոստը հարձակման հիմնական վեկտորներից մեկն է, բայց գրեթե ոչ մի ընկերություն չի կարող անել առանց էլփոստի: Եթե նամակ եք ստանում անհայտ ուղարկողից, ավելի լավ է չբացեք այն, իսկ եթե բացեք, ապա մի բացեք հավելվածներ կամ սեղմեք որևէ հղումի վրա։
Իր զոհերի տեղեկատվական անվտանգությունը վտանգի ենթարկելու համար այս հարձակումն օգտագործում է Word-ի խոցելիությունը: Փաստորեն, չփակված խոցելիություններն են պատճառը , և անվտանգության այլ խնդիրների հետ մեկտեղ դրանք կարող են հանգեցնել տվյալների խոշոր խախտումների: Ահա թե ինչու շատ կարևոր է կիրառել համապատասխան կարկատել՝ խոցելիությունը որքան հնարավոր է շուտ փակելու համար:
Այս խնդիրները վերացնելու համար կան լուծումներ, որոնք հատուկ մշակված են նույնականացման համար, . Մոդուլը ավտոմատ կերպով որոնում է ընկերության համակարգիչների անվտանգությունն ապահովելու համար անհրաժեշտ patches՝ առաջնահերթություն տալով ամենահրատապ թարմացումներին և պլանավորելով դրանց տեղադրումը: Տեղադրում պահանջող պատչերի մասին տեղեկատվությունը հաղորդվում է ադմինիստրատորին նույնիսկ այն դեպքում, երբ հայտնաբերվում են շահագործումներ և չարամիտ ծրագրեր:
Լուծումը կարող է անմիջապես գործարկել անհրաժեշտ պատչերի և թարմացումների տեղադրումը, կամ դրանց տեղադրումը կարող է պլանավորվել վեբ վրա հիմնված կենտրոնական կառավարման վահանակից՝ անհրաժեշտության դեպքում մեկուսացնելով չկարկատված համակարգիչները: Այս կերպ ադմինիստրատորը կարող է կառավարել պատչերը և թարմացումները, որպեսզի ընկերությունը սահուն աշխատի:
Ցավոք, խնդրո առարկա կիբերհարձակումը, անշուշտ, վերջինը չի լինի, որը կօգտվի ներկայիս գլոբալ կորոնավիրուսային իրավիճակից՝ վարկաբեկելու բիզնեսի տեղեկատվական անվտանգությունը:
Source: www.habr.com