最近、新型コロナウイルスのパンデミックを悪用してマルウェアを配布するスピア フィッシング キャンペーンを使用する APT 脅威グループが発見されました。
現在、新型コロナウイルス感染症(Covid-19)のパンデミックにより、世界は異例の状況に陥っています。 ウイルスの蔓延を阻止しようと、世界中の多くの企業がリモート(遠隔)勤務という新たな形態を開始した。 これにより攻撃対象領域が大幅に拡大し、企業は厳格なルールを確立して対策を講じる必要があるため、情報セキュリティの観点から大きな課題となっています。
しかし、攻撃対象領域の拡大だけが、ここ数日で浮上した唯一のサイバー リスクではありません。多くのサイバー犯罪者が、この世界的な不確実性を積極的に利用して、フィッシング キャンペーンを実施し、マルウェアを配布し、多くの企業の情報セキュリティに脅威を与えています。
APTはパンデミックを悪用する
先週後半、Vicious Panda と呼ばれる Advanced Persistent Threat (APT) グループが、
このキャンペーンはこれまでのところモンゴルの公共部門を標的にしており、一部の西側専門家によれば、これは世界中のさまざまな政府や組織に対して進行中の中国の作戦における最新の攻撃であるという。 今回のキャンペーンの特徴は、世界的な新型コロナウイルスの状況を利用して、潜在的な被害者をより積極的に感染させようとしていることだ。
このフィッシングメールはモンゴル外務省からのものとみられ、ウイルス感染者数に関する情報が含まれていると主張している。 このファイルを武器化するために、攻撃者は、中国の脅威作成者の間で人気のあるツールである RoyalRoad を使用しました。このツールを使用すると、MS Word に統合された数式エディターの脆弱性を悪用して複雑な数式を作成できるオブジェクトが埋め込まれたカスタム ドキュメントを作成できます。
サバイバルテクニック
被害者が悪意のある RTF ファイルを開くと、Microsoft Word は脆弱性を悪用し、悪意のあるファイル (intel.wll) を Word スタートアップ フォルダー (%APPDATA%MicrosoftWordSTARTUP) にロードします。 この方法を使用すると、脅威の回復力が高まるだけでなく、マルウェアを完全に起動するには Word を再起動する必要があるため、サンドボックスで実行するときに感染チェーン全体が爆発するのを防ぎます。
次に、intel.wll ファイルは、マルウェアをダウンロードし、ハッカーのコマンド アンド コントロール サーバーと通信するために使用される DLL ファイルをロードします。 コマンド アンド コントロール サーバーは毎日厳密に制限された時間だけ動作するため、感染チェーンの最も複雑な部分を分析してアクセスすることが困難になります。
それにもかかわらず、研究者らは、このチェーンの最初の段階で、適切なコマンドを受信した直後に、RAT がロードされて復号化され、DLL がロードされてメモリにロードされることを確認できました。 プラグインのようなアーキテクチャは、このキャンペーンで見られたペイロードに加えて他のモジュールがあることを示唆しています。
新たなAPTに対する防御策
この悪意のあるキャンペーンは、複数のトリックを使用して被害者のシステムに侵入し、情報セキュリティを侵害します。 このようなキャンペーンから身を守るためには、さまざまな対策を講じることが重要です。
XNUMX つ目は非常に重要です。従業員が電子メールを受信する際には、細心の注意を払うことが重要です。 電子メールは主な攻撃ベクトルの XNUMX つですが、電子メールなしでは対応できない企業はほとんどありません。 不明な送信者から電子メールを受信した場合は、開かないことをお勧めします。開いた場合でも、添付ファイルを開いたり、リンクをクリックしたりしないでください。
この攻撃は、被害者の情報セキュリティを侵害するために、Word の脆弱性を悪用します。 実際には、パッチが適用されていない脆弱性が原因です
これらの問題を解決するために、識別のために特別に設計されたソリューションがあります。
このソリューションでは、必要なパッチとアップデートのインストールを即座にトリガーできます。また、必要に応じて、パッチが適用されていないコンピュータを隔離して、Web ベースの中央管理コンソールからそれらのインストールをスケジュールすることもできます。 このようにして、管理者はパッチとアップデートを管理して、会社を円滑に運営し続けることができます。
残念ながら、問題のサイバー攻撃は、現在の世界的なコロナウイルスの状況を利用して企業の情報セキュリティを侵害する最後の攻撃ではないでしょう。
出所: habr.com