Hópur APT hótana var nýlega uppgötvaður með því að nota spjótveiðiherferðir til að nýta sér faraldur kransæðaveirunnar til að dreifa spilliforritum sínum.
Heimurinn býr nú við óvenjulegar aðstæður vegna núverandi Covid-19 kransæðaveirufaraldurs. Til að reyna að stöðva útbreiðslu vírusins hefur fjöldi fyrirtækja um allan heim hleypt af stokkunum nýjum hætti fyrir fjarvinnu (fjarvinnu). Þetta hefur stækkað verulega árásaryfirborðið, sem er mikil áskorun fyrir fyrirtæki hvað varðar upplýsingaöryggi, þar sem þau þurfa nú að setja strangar reglur og grípa til aðgerða. að tryggja samfellu í rekstri fyrirtækisins og upplýsingatæknikerfum þess.
Hins vegar er aukið árásaryfirborð ekki eina netáhættan sem hefur komið fram á síðustu dögum: margir netglæpamenn nýta sér þessa alþjóðlegu óvissu á virkan hátt til að stunda vefveiðar, dreifa spilliforritum og ógna upplýsingaöryggi margra fyrirtækja.
APT nýtir sér heimsfaraldurinn
Seint í síðustu viku kom í ljós hópur með Advanced Persistent Threat (APT) sem heitir Vicious Panda sem stundaði herferðir gegn , með því að nota kransæðaveirufaraldurinn til að dreifa spilliforritum sínum. Tölvupósturinn sagði viðtakandanum að hann innihéldi upplýsingar um kransæðaveiruna, en í raun innihélt tölvupósturinn tvær illgjarn RTF (Rich Text Format) skrár. Ef fórnarlambið opnaði þessar skrár var RAT (Remote Access Trojan) hleypt af stokkunum, sem meðal annars var fær um að taka skjámyndir, búa til lista yfir skrár og möppur á tölvu fórnarlambsins og hlaða niður skrám.
Herferðin hefur hingað til beinst að opinberum geira Mongólíu og að sögn sumra vestrænna sérfræðinga táknar hún nýjustu árásina í yfirstandandi aðgerðum Kínverja gegn ýmsum stjórnvöldum og samtökum um allan heim. Að þessu sinni er sérstaða herferðarinnar að hún notar nýja alþjóðlega kransæðaveiruástandið til að smita hugsanleg fórnarlömb sín á virkari hátt.
Vefveiðarpósturinn virðist vera frá mongólska utanríkisráðuneytinu og segist innihalda upplýsingar um fjölda fólks sem smitast af vírusnum. Til að vopna þessa skrá notuðu árásarmennirnir RoyalRoad, vinsælt tól meðal kínverskra ógnunarframleiðenda sem gerir þeim kleift að búa til sérsniðin skjöl með innbyggðum hlutum sem geta nýtt sér veikleika í jöfnunarritlinum sem er samþætt í MS Word til að búa til flóknar jöfnur.
Lifunartækni
Þegar fórnarlambið opnar illgjarn RTF skrár, notar Microsoft Word varnarleysið til að hlaða illgjarna skránni (intel.wll) inn í Word gangsetningarmöppuna (%APPDATA%MicrosoftWordSTARTUP). Með því að nota þessa aðferð verður ógnin ekki aðeins seig, heldur kemur hún einnig í veg fyrir að öll sýkingarkeðjan springi þegar hún keyrir í sandkassa, þar sem endurræsa verður Word til að ræsa spilliforritið að fullu.
Intel.wll skráin hleður síðan DLL skrá sem er notuð til að hlaða niður spilliforritinu og hafa samskipti við stjórn- og stjórnunarþjón tölvuþrjótsins. Stjórn- og stjórnunarþjónninn starfar í strangt takmarkaðan tíma á hverjum degi, sem gerir það erfitt að greina og fá aðgang að flóknustu hlutum sýkingarkeðjunnar.
Þrátt fyrir þetta gátu vísindamennirnir komist að því að á fyrsta stigi þessarar keðju, strax eftir að hafa fengið viðeigandi skipun, er RAT hlaðið og afkóðað og DLL er hlaðið, sem er hlaðið inn í minni. The viðbót-eins arkitektúr bendir til þess að það séu aðrar einingar til viðbótar við farminn sem sést í þessari herferð.
Ráðstafanir til að vernda gegn nýjum APT
Þessi illgjarna herferð notar margvíslegar brellur til að síast inn í kerfi fórnarlamba sinna og skerða síðan upplýsingaöryggi þeirra. Til að verjast slíkum herferðum er mikilvægt að grípa til margvíslegra ráðstafana.
Sú fyrri er afar mikilvæg: það er mikilvægt fyrir starfsmenn að vera gaumgæfilega og varkárir þegar þeir fá tölvupóst. Tölvupóstur er einn helsti árásarferillinn, en nánast ekkert fyrirtæki getur verið án tölvupósts. Ef þú færð tölvupóst frá óþekktum sendanda er betra að opna hann ekki og ef þú opnar hann skaltu ekki opna nein viðhengi eða smella á neina tengla.
Til að skerða upplýsingaöryggi fórnarlamba þess nýtir þessi árás varnarleysi í Word. Reyndar eru óuppfærðir veikleikar ástæðan , og ásamt öðrum öryggisvandamálum geta þau leitt til meiriháttar gagnabrota. Þess vegna er svo mikilvægt að nota viðeigandi plástur til að loka varnarleysinu eins fljótt og auðið er.
Til að útrýma þessum vandamálum eru til lausnir sem eru sérstaklega hannaðar fyrir auðkenningu, . Einingin leitar sjálfkrafa að plástrum sem nauðsynlegar eru til að tryggja öryggi fyrirtækjatölva, forgangsraðar brýnustu uppfærslunum og tímasetur uppsetningu þeirra. Upplýsingar um plástra sem krefjast uppsetningar eru tilkynntar til stjórnanda jafnvel þegar hetjudáð og spilliforrit finnast.
Lausnin getur þegar í stað sett af stað uppsetningu nauðsynlegra plástra og uppfærslur, eða uppsetningu þeirra er hægt að tímasetja frá miðlægri stjórnborði á vefnum, ef nauðsyn krefur með því að einangra óuppfærðar tölvur. Þannig getur stjórnandinn stjórnað plástrum og uppfærslum til að halda fyrirtækinu gangandi.
Því miður mun umrædd netárás örugglega ekki vera sú síðasta til að nýta sér núverandi alþjóðlega kransæðaveiruástand til að skerða upplýsingaöryggi fyrirtækja.
Heimild: www.habr.com