Hópur APT hótana var nýlega uppgötvaður með því að nota spjótveiðiherferðir til að nýta sér faraldur kransæðaveirunnar til að dreifa spilliforritum sínum.
Heimurinn býr nú við óvenjulegar aðstæður vegna núverandi Covid-19 kransæðaveirufaraldurs. Til að reyna að stöðva útbreiðslu vírusins hefur fjöldi fyrirtækja um allan heim hleypt af stokkunum nýjum hætti fyrir fjarvinnu (fjarvinnu). Þetta hefur stækkað verulega árásaryfirborðið, sem er mikil áskorun fyrir fyrirtæki hvað varðar upplýsingaöryggi, þar sem þau þurfa nú að setja strangar reglur og grípa til aðgerða.
Hins vegar er aukið árásaryfirborð ekki eina netáhættan sem hefur komið fram á síðustu dögum: margir netglæpamenn nýta sér þessa alþjóðlegu óvissu á virkan hátt til að stunda vefveiðar, dreifa spilliforritum og ógna upplýsingaöryggi margra fyrirtækja.
APT nýtir sér heimsfaraldurinn
Seint í síðustu viku kom í ljós hópur með Advanced Persistent Threat (APT) sem heitir Vicious Panda sem stundaði herferðir gegn
Herferðin hefur hingað til beinst að opinberum geira Mongólíu og að sögn sumra vestrænna sérfræðinga táknar hún nýjustu árásina í yfirstandandi aðgerðum Kínverja gegn ýmsum stjórnvöldum og samtökum um allan heim. Að þessu sinni er sérstaða herferðarinnar að hún notar nýja alþjóðlega kransæðaveiruástandið til að smita hugsanleg fórnarlömb sín á virkari hátt.
Vefveiðarpósturinn virðist vera frá mongólska utanríkisráðuneytinu og segist innihalda upplýsingar um fjölda fólks sem smitast af vírusnum. Til að vopna þessa skrá notuðu árásarmennirnir RoyalRoad, vinsælt tól meðal kínverskra ógnunarframleiðenda sem gerir þeim kleift að búa til sérsniðin skjöl með innbyggðum hlutum sem geta nýtt sér veikleika í jöfnunarritlinum sem er samþætt í MS Word til að búa til flóknar jöfnur.
Lifunartækni
Þegar fórnarlambið opnar illgjarn RTF skrár, notar Microsoft Word varnarleysið til að hlaða illgjarna skránni (intel.wll) inn í Word gangsetningarmöppuna (%APPDATA%MicrosoftWordSTARTUP). Með því að nota þessa aðferð verður ógnin ekki aðeins seig, heldur kemur hún einnig í veg fyrir að öll sýkingarkeðjan springi þegar hún keyrir í sandkassa, þar sem endurræsa verður Word til að ræsa spilliforritið að fullu.
Intel.wll skráin hleður síðan DLL skrá sem er notuð til að hlaða niður spilliforritinu og hafa samskipti við stjórn- og stjórnunarþjón tölvuþrjótsins. Stjórn- og stjórnunarþjónninn starfar í strangt takmarkaðan tíma á hverjum degi, sem gerir það erfitt að greina og fá aðgang að flóknustu hlutum sýkingarkeðjunnar.
Þrátt fyrir þetta gátu vísindamennirnir komist að því að á fyrsta stigi þessarar keðju, strax eftir að hafa fengið viðeigandi skipun, er RAT hlaðið og afkóðað og DLL er hlaðið, sem er hlaðið inn í minni. The viðbót-eins arkitektúr bendir til þess að það séu aðrar einingar til viðbótar við farminn sem sést í þessari herferð.
Ráðstafanir til að vernda gegn nýjum APT
Þessi illgjarna herferð notar margvíslegar brellur til að síast inn í kerfi fórnarlamba sinna og skerða síðan upplýsingaöryggi þeirra. Til að verjast slíkum herferðum er mikilvægt að grípa til margvíslegra ráðstafana.
Sú fyrri er afar mikilvæg: það er mikilvægt fyrir starfsmenn að vera gaumgæfilega og varkárir þegar þeir fá tölvupóst. Tölvupóstur er einn helsti árásarferillinn, en nánast ekkert fyrirtæki getur verið án tölvupósts. Ef þú færð tölvupóst frá óþekktum sendanda er betra að opna hann ekki og ef þú opnar hann skaltu ekki opna nein viðhengi eða smella á neina tengla.
Til að skerða upplýsingaöryggi fórnarlamba þess nýtir þessi árás varnarleysi í Word. Reyndar eru óuppfærðir veikleikar ástæðan
Til að útrýma þessum vandamálum eru til lausnir sem eru sérstaklega hannaðar fyrir auðkenningu,
Lausnin getur þegar í stað sett af stað uppsetningu nauðsynlegra plástra og uppfærslur, eða uppsetningu þeirra er hægt að tímasetja frá miðlægri stjórnborði á vefnum, ef nauðsyn krefur með því að einangra óuppfærðar tölvur. Þannig getur stjórnandinn stjórnað plástrum og uppfærslum til að halda fyrirtækinu gangandi.
Því miður mun umrædd netárás örugglega ekki vera sú síðasta til að nýta sér núverandi alþjóðlega kransæðaveiruástand til að skerða upplýsingaöryggi fyrirtækja.
Heimild: www.habr.com