Recentemente è stato scoperto un gruppo di minacce APT che utilizzano campagne di spear phishing per sfruttare la pandemia di coronavirus per distribuire il proprio malware.
Il mondo sta attualmente vivendo una situazione eccezionale a causa dell’attuale pandemia di coronavirus Covid-19. Per cercare di fermare la diffusione del virus, un gran numero di aziende in tutto il mondo hanno lanciato una nuova modalità di lavoro a distanza (remote). Ciò ha notevolmente ampliato la superficie di attacco, il che rappresenta una grande sfida per le aziende in termini di sicurezza delle informazioni, poiché ora devono stabilire regole severe e agire. garantire la continuità del funzionamento dell’impresa e dei suoi sistemi IT.
L’ampliamento della superficie di attacco non è però l’unico rischio informatico emerso negli ultimi giorni: molti criminali informatici sfruttano attivamente questa incertezza globale per condurre campagne di phishing, diffondere malware e minacciare la sicurezza informatica di molte aziende.
L’APT sfrutta la pandemia
Alla fine della scorsa settimana, è stato scoperto un gruppo Advanced Persistent Threat (APT) chiamato Vicious Panda che stava conducendo campagne contro , sfruttando la pandemia di coronavirus per diffondere il proprio malware. L'e-mail diceva al destinatario che conteneva informazioni sul coronavirus, ma in realtà l'e-mail conteneva due file RTF (Rich Text Format) dannosi. Se la vittima apriva questi file, veniva lanciato un Remote Access Trojan (RAT) che, tra le altre cose, era in grado di acquisire screenshot, creare elenchi di file e directory sul computer della vittima e scaricare file.
La campagna ha finora preso di mira il settore pubblico della Mongolia e, secondo alcuni esperti occidentali, rappresenta l'ultimo attacco nell'operazione cinese in corso contro vari governi e organizzazioni in tutto il mondo. Questa volta la particolarità della campagna è che sfrutta la nuova situazione globale del coronavirus per infettare più attivamente le sue potenziali vittime.
L'e-mail di phishing sembra provenire dal Ministero degli Affari Esteri mongolo e afferma di contenere informazioni sul numero di persone infette dal virus. Per trasformare questo file in un'arma, gli aggressori hanno utilizzato RoyalRoad, uno strumento popolare tra i creatori di minacce cinesi che consente loro di creare documenti personalizzati con oggetti incorporati in grado di sfruttare le vulnerabilità nell'Equation Editor integrato in MS Word per creare equazioni complesse.
Tecniche di sopravvivenza
Una volta che la vittima apre i file RTF dannosi, Microsoft Word sfrutta la vulnerabilità per caricare il file dannoso (intel.wll) nella cartella di avvio di Word (%APPDATA%MicrosoftWordSTARTUP). Utilizzando questo metodo, non solo la minaccia diventa resiliente, ma impedisce anche l'esplosione dell'intera catena di infezione durante l'esecuzione in una sandbox, poiché Word deve essere riavviato per avviare completamente il malware.
Il file intel.wll carica quindi un file DLL che viene utilizzato per scaricare il malware e comunicare con il server di comando e controllo dell'hacker. Il server di comando e controllo funziona ogni giorno per un periodo di tempo strettamente limitato, rendendo difficile l’analisi e l’accesso alle parti più complesse della catena dell’infezione.
Nonostante ciò, i ricercatori sono stati in grado di determinare che nella prima fase di questa catena, subito dopo aver ricevuto il comando appropriato, il RAT viene caricato e decrittografato e viene caricata la DLL, che viene caricata in memoria. L'architettura simile a un plugin suggerisce che ci siano altri moduli oltre al payload visto in questa campagna.
Misure di protezione contro i nuovi APT
Questa campagna dannosa utilizza molteplici trucchi per infiltrarsi nei sistemi delle vittime e quindi compromettere la loro sicurezza delle informazioni. Per proteggersi da tali campagne, è importante adottare una serie di misure.
Il primo è estremamente importante: è importante che i dipendenti siano attenti e attenti quando ricevono le email. La posta elettronica è uno dei principali vettori di attacco, ma quasi nessuna azienda può farne a meno. Se ricevi un'e-mail da un mittente sconosciuto, è meglio non aprirla e, se la apri, non aprire alcun allegato né fare clic su alcun collegamento.
Per compromettere la sicurezza informatica delle sue vittime, questo attacco sfrutta una vulnerabilità in Word. In effetti, la ragione sono le vulnerabilità senza patch e, insieme ad altri problemi di sicurezza, possono portare a gravi violazioni dei dati. Ecco perché è così importante applicare la patch adeguata per chiudere la vulnerabilità il prima possibile.
Per eliminare questi problemi esistono soluzioni studiate specificatamente per l’identificazione, . Il modulo ricerca automaticamente le patch necessarie a garantire la sicurezza dei computer aziendali, dando priorità agli aggiornamenti più urgenti e pianificandone l'installazione. Le informazioni sulle patch che richiedono l'installazione vengono segnalate all'amministratore anche quando vengono rilevati exploit e malware.
La soluzione può attivare immediatamente l'installazione delle patch e degli aggiornamenti richiesti, oppure la loro installazione può essere pianificata da una console di gestione centrale basata sul web, se necessario isolando i computer privi di patch. In questo modo, l'amministratore può gestire patch e aggiornamenti per garantire il corretto funzionamento dell'azienda.
Purtroppo, l’attacco informatico in questione non sarà certamente l’ultimo ad approfittare dell’attuale situazione globale del coronavirus per compromettere la sicurezza informatica delle imprese.
Fonte: habr.com