Sekelompok ancaman APT baru-baru ini ditemukan menggunakan kampanye spear phishing untuk mengeksploitasi pandemi virus corona guna mendistribusikan malware mereka.
Dunia saat ini sedang mengalami situasi yang luar biasa akibat pandemi virus corona Covid-19. Untuk mencoba menghentikan penyebaran virus, sejumlah besar perusahaan di seluruh dunia telah meluncurkan mode kerja jarak jauh (jarak jauh) yang baru. Hal ini telah memperluas permukaan serangan secara signifikan, yang menimbulkan tantangan besar bagi perusahaan dalam hal keamanan informasi, karena mereka kini perlu menetapkan aturan yang ketat dan mengambil tindakan. untuk memastikan kelangsungan operasi perusahaan dan sistem TI-nya.
Namun, meluasnya serangan bukanlah satu-satunya risiko dunia maya yang muncul dalam beberapa hari terakhir: banyak penjahat dunia maya yang secara aktif mengeksploitasi ketidakpastian global ini untuk melakukan kampanye phishing, mendistribusikan malware, dan menimbulkan ancaman terhadap keamanan informasi banyak perusahaan.
APT mengeksploitasi pandemi ini
Akhir pekan lalu, kelompok Ancaman Persisten Tingkat Lanjut (APT) bernama Vicious Panda ditemukan sedang melakukan kampanye melawan , menggunakan pandemi virus corona untuk menyebarkan malware mereka. Email tersebut memberi tahu penerima bahwa email tersebut berisi informasi tentang virus corona, namun kenyataannya email tersebut berisi dua file RTF (Rich Text Format) berbahaya. Jika korban membuka file tersebut, Remote Access Trojan (RAT) diluncurkan, yang antara lain mampu mengambil tangkapan layar, membuat daftar file dan direktori di komputer korban, dan mengunduh file.
Kampanye tersebut sejauh ini menargetkan sektor publik Mongolia dan, menurut beberapa pakar Barat, merupakan serangan terbaru dalam operasi Tiongkok yang sedang berlangsung terhadap berbagai pemerintah dan organisasi di seluruh dunia. Kali ini, keunikan dari kampanye ini adalah mereka memanfaatkan situasi virus corona global yang baru untuk lebih aktif menginfeksi calon korbannya.
Email phishing tersebut tampaknya berasal dari Kementerian Luar Negeri Mongolia dan mengklaim berisi informasi tentang jumlah orang yang terinfeksi virus tersebut. Untuk mempersenjatai file ini, para penyerang menggunakan RoyalRoad, alat populer di kalangan pembuat ancaman Tiongkok yang memungkinkan mereka membuat dokumen khusus dengan objek tertanam yang dapat mengeksploitasi kerentanan di Equation Editor yang terintegrasi ke dalam MS Word untuk membuat persamaan yang kompleks.
Teknik Bertahan Hidup
Setelah korban membuka file RTF berbahaya, Microsoft Word mengeksploitasi kerentanan untuk memuat file berbahaya (intel.wll) ke dalam folder startup Word (%APPDATA%MicrosoftWordSTARTUP). Dengan menggunakan metode ini, ancaman tidak hanya menjadi tangguh, namun juga mencegah seluruh rantai infeksi meledak saat dijalankan di kotak pasir, karena Word harus dimulai ulang untuk meluncurkan malware sepenuhnya.
File intel.wll kemudian memuat file DLL yang digunakan untuk mengunduh malware dan berkomunikasi dengan server komando dan kontrol peretas. Server perintah dan kontrol beroperasi dalam jangka waktu yang sangat terbatas setiap hari, sehingga sulit untuk menganalisis dan mengakses bagian paling kompleks dari rantai infeksi.
Meskipun demikian, para peneliti dapat menentukan bahwa pada tahap pertama rantai ini, segera setelah menerima perintah yang sesuai, RAT dimuat dan didekripsi, dan DLL dimuat, yang dimuat ke dalam memori. Arsitektur seperti plugin menunjukkan bahwa ada modul lain selain muatan yang terlihat dalam kampanye ini.
Tindakan perlindungan terhadap APT baru
Kampanye jahat ini menggunakan berbagai trik untuk menyusup ke sistem korbannya dan kemudian membahayakan keamanan informasi mereka. Untuk melindungi diri Anda dari kampanye semacam itu, penting untuk mengambil serangkaian tindakan.
Yang pertama sangat penting: penting bagi karyawan untuk berhati-hati dan berhati-hati saat menerima email. Email adalah salah satu vektor serangan utama, namun hampir tidak ada perusahaan yang dapat melakukannya tanpa email. Jika Anda menerima email dari pengirim yang tidak dikenal, lebih baik tidak membukanya, dan jika Anda membukanya, jangan membuka lampiran apa pun atau mengklik tautan apa pun.
Untuk membahayakan keamanan informasi korbannya, serangan ini mengeksploitasi kerentanan di Word. Faktanya, kerentanan yang belum ditambal adalah alasannya , dan bersamaan dengan masalah keamanan lainnya, hal ini dapat menyebabkan pelanggaran data besar. Inilah sebabnya mengapa sangat penting untuk menerapkan patch yang tepat untuk menutup kerentanan sesegera mungkin.
Untuk menghilangkan masalah ini, ada solusi yang dirancang khusus untuk identifikasi, . Modul ini secara otomatis mencari patch yang diperlukan untuk menjamin keamanan komputer perusahaan, memprioritaskan pembaruan yang paling mendesak dan menjadwalkan instalasinya. Informasi tentang patch yang memerlukan instalasi dilaporkan ke administrator bahkan ketika eksploitasi dan malware terdeteksi.
Solusinya dapat segera memicu penginstalan patch dan pembaruan yang diperlukan, atau penginstalannya dapat dijadwalkan dari konsol manajemen pusat berbasis web, jika perlu mengisolasi komputer yang belum dipatch. Dengan cara ini, administrator dapat mengelola patch dan pembaruan agar perusahaan tetap berjalan lancar.
Sayangnya, serangan siber yang dimaksud bukanlah serangan terakhir yang memanfaatkan situasi global virus corona saat ini untuk membahayakan keamanan informasi dunia usaha.
Sumber: www.habr.com