サイバーセキュリティの脅威におけるコロナウイルスの話題の悪用

今日のコロナウイルスのトピックはすべてのニュースフィードを埋め尽くしており、また、新型コロナウイルスとそれに関連するすべてのトピックを悪用する攻撃者のさまざまな活動の主なライトモチーフにもなっています。 このノートでは、そのような悪意のある活動のいくつかの例に注目してもらいたいと思います。もちろん、これは多くの情報セキュリティ専門家にとって秘密ではありませんが、その概要を 19 つのノートにまとめておくと、自分自身の認識を容易に整えることができます。 -従業員向けのイベントを開催する。従業員の中には、リモートで働いている人や、以前よりもさまざまな情報セキュリティの脅威にさらされやすい人もいる。

UFOからのXNUMX分間のケア

世界は、SARS-CoV-19 コロナウイルス (2-nCoV) によって引き起こされる潜在的に重篤な急性呼吸器感染症である、新型コロナウイルス感染症 (COVID-2019) のパンデミックを正式に宣言しました。 このトピックに関する Habré に関する情報はたくさんあります。信頼性と有用性の両方があり得ること、またその逆の可能性があることを常に覚えておいてください。

公開された情報には批判的になることをお勧めします。

Официальныеисточники

• ロシア連邦保健省のウェブサイト
• ロスポトレブナゾルのウェブサイト
• WHOのウェブサイト（英語）
• WHOのウェブサイト
• 各地域の運営本部のウェブサイトおよび公式グループ

ロシアにお住まいでない場合は、あなたの国の同様のサイトを参照してください。
手を洗い、愛する人の世話をし、可能であれば家にいて、リモートで仕事をしましょう。

以下に関する出版物を読んでください。 コロナウイルス | リモートワーク

現在、コロナウイルスに関連するまったく新しい脅威はないことに留意する必要があります。 むしろ、私たちが話しているのは、すでに伝統的な攻撃ベクトルであり、単に新しい「ソース」で使用されているだけです。 したがって、脅威の主なタイプを次のように呼びます。

• コロナウイルスおよび関連する悪意のあるコードに関連したフィッシング サイトおよびニュースレター
• 新型コロナウイルス感染症に関する恐怖や不完全な情報を悪用することを目的とした詐欺や偽情報
• コロナウイルス研究に関与する組織に対する攻撃

伝統的に国民が当局を信頼しておらず、政府が真実を隠していると信じているロシアでは、フィッシングサイトやメーリングリスト、詐欺的リソースの「宣伝」に成功する可能性が、よりオープンな国に比べてはるかに高い。当局。 しかし今日では、恐怖、同情、貪欲など、人の古典的な人間の弱点をすべて悪用する創造的なサイバー詐欺師から自分が絶対に守られていると考える人は誰もいません。

たとえば、医療用マスクを販売する詐欺サイトを考えてみましょう。

同様のサイトであるCoronavirusMedicalkit[.]comは、存在しない新型コロナウイルス感染症ワクチンを医薬品の発送「のみ」で無料配布したとして、米国当局によって閉鎖された。 今回の場合、このような低価格は、米国のパニック状況下での医薬品への駆け込み需要を計算したものでした。

この場合の攻撃者の目的は、ユーザーを感染させたり、個人データや識別情報を盗んだりすることではなく、単に恐怖の波に乗って、ユーザーに医療用マスクを高額で買い取らせることであるため、これは典型的なサイバー脅威ではありません。実際のコストの 5 ～ 10 ～ 30 倍もかかります。 しかし、コロナウイルスのテーマを悪用した偽の Web サイトを作成するというアイデアそのものが、サイバー犯罪者によっても利用されています。 たとえば、これは名前に「covid19」というキーワードが含まれているサイトですが、これもフィッシング サイトです。

一般的に、当社のインシデント調査サービスは毎日監視されます。 Cisco アンブレラの調査、名前に covid、 covid19、 コロナウイルスなどの単語が含まれるドメインがいくつ作成されているかがわかります。 そしてそれらの多くは悪意のあるものです。

一部の従業員が在宅勤務に異動し、企業のセキュリティ対策で保護されていない環境では、従業員が意図的に、または意図せずに、従業員のモバイル デバイスやデスクトップ デバイスからアクセスされるリソースを監視することがこれまで以上に重要になっています。知識。 サービスを利用していない場合 Ciscoアンブレラ そのようなドメイン (および Cisco 提供 このサービスへの接続は無料です)、次に、少なくとも、関連するキーワードでドメインを監視するように Web アクセス監視ソリューションを構成します。 同時に、ドメインをブラックリストに登録する従来のアプローチやレピュテーション データベースの使用は失敗する可能性があることを覚えておいてください。悪意のあるドメインは非常に迅速に作成され、数時間以内に 1 ～ 2 回の攻撃にのみ使用されるためです。攻撃者は新しい一時的なドメインに切り替えます。 情報セキュリティ企業には、ナレッジ ベースを迅速に更新してすべての顧客に配布する時間がありません。

攻撃者は電子メール チャネルを積極的に悪用し、添付ファイル内のフィッシング リンクやマルウェアを配布し続けています。 ユーザーはコロナウイルスに関する完全に合法なニュースメールを受信しながらも、その量の中に悪意のあるものがあるとは必ずしも認識できないため、その有効性は非常に高いです。 そして、感染者数は増加する一方ですが、そのような脅威の範囲も拡大する一方です。

たとえば、CDC に代わって送信されるフィッシングメールの例は次のとおりです。

もちろん、リンクをたどると CDC Web サイトには誘導されませんが、被害者のログイン名とパスワードを盗む偽のページに誘導されます。

以下は、世界保健機関を代表すると思われるフィッシングメールの例です。

そしてこの例では、多くの人々が当局が感染の本当の規模を隠していると信じているという事実を攻撃者が当てにしているため、ユーザーは喜んでほとんどためらうことなく、悪意のあるリンクや添付ファイルが含まれるこの種の手紙をクリックします。おそらくすべての秘密が明らかになるでしょう。

ちなみにこんなサイトもありました ワールドメーターを使用すると、死亡率、喫煙者数、さまざまな国の人口など、さまざまな指標を追跡できます。 ウェブサイトには新型コロナウイルスに関する専用ページも設けられている。 そこで、16月XNUMX日にこのサイトにアクセスしたとき、当局が私たちに真実を語っているのではないかと一瞬疑ったページを目にしました（この数字の理由はわかりません。おそらく単なる間違いかもしれません）。

攻撃者が同様の電子メールを送信するために使用する一般的なインフラストラクチャの XNUMX つは、最近最も危険で人気のある脅威の XNUMX つである Emotet です。 電子メール メッセージに添付された Word 文書には Emotet ダウンローダーが含まれており、被害者のコンピュータに新しい悪意のあるモジュールをロードします。 Emotet は当初、日本の居住者をターゲットに医療用マスクを販売する詐欺サイトへのリンクを宣伝するために使用されていました。 以下は、サンドボックスを使用して悪意のあるファイルを分析した結果です。 シスコ脅威グリッド、ファイルの悪意を分析します。

しかし、攻撃者は MS Word だけでなく、MS Excel などの他の Microsoft アプリケーションでも起動できる機能を悪用し (APT36 ハッカー グループはこのように行動しました)、クリムゾンを含むインド政府からコロナウイルスとの戦いに関する推奨事項を送信します。ねずみ：

コロナウイルスのテーマを悪用するもう XNUMX つの悪意のあるキャンペーンは、Nanocore RAT です。これにより、リモート アクセス、キーボード ストロークの傍受、画面イメージのキャプチャ、ファイルへのアクセスなどのために被害者のコンピュータにプログラムをインストールすることができます。

また、Nanocore RAT は通常、電子メールで配信されます。 たとえば、以下に、実行可能 PIF ファイルを含む ZIP アーカイブが添付されたメール メッセージの例を示します。 実行可能ファイルをクリックすると、被害者は自分のコンピュータにリモート アクセス プログラム (リモート アクセス ツール、RAT) をインストールします。

以下は、新型コロナウイルス感染症 (COVID-19) のトピックに寄生するキャンペーンの別の例です。 ユーザーは、拡張子が .pdf.ace の請求書が添付された、コロナウイルスの影響による配達の遅延に関する手紙を受け取ります。 圧縮アーカイブ内には、追加のコマンドを受信し、攻撃者の他の目的を実行するために、コマンド＆コントロール サーバーへの接続を確立する実行可能なコンテンツが含まれています。

Parallax RAT にも同様の機能があり、「new infection CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif」という名前のファイルを配布し、DNS プロトコルを介してコマンド サーバーと通信する悪意のあるプログラムをインストールします。 EDR クラスの保護ツール。その例は次のとおりです。 エンドポイント向け Cisco AMP、どちらの NGFW もコマンド サーバーとの通信の監視に役立ちます (たとえば、 シスコファ​​イアパワー)、または DNS 監視ツール (たとえば、 Ciscoアンブレラ).

以下の例では、被害者のコンピュータにリモート アクセス マルウェアがインストールされました。被害者は、何らかの理由で、PC にインストールされている通常のウイルス対策プログラムが実際の 新型コロナウイルス感染症から保護できるという広告に騙されました。 そして結局のところ、誰かがそのような一見冗談に騙されたのです。

しかし、マルウェアの中には非常に奇妙なものもいくつかあります。 たとえば、ランサムウェアの動作をエミュレートするジョーク ファイルなどです。 あるケースでは、Cisco Talos 部門が 発見した このファイルは、CoronaVirus.exe という名前のファイルで、実行中に画面をブロックし、タイマーを開始し、「このコンピューター上のすべてのファイルとフォルダーを削除します - コロナウイルス」というメッセージを表示します。

カウントダウンが完了すると、下部のボタンがアクティブになり、押すと次のメッセージが表示され、これはすべて冗談であり、プログラムを終了するには Alt+F12 を押してくださいという内容でした。

悪意のあるメールとの戦いは、たとえば次のように自動化できます。 シスコ電子メール セキュリティを使用すると、添付ファイル内の悪意のあるコンテンツを検出するだけでなく、フィッシング リンクとそのクリックを追跡することもできます。 ただし、この場合でも、ユーザーをトレーニングし、フィッシング シミュレーションやサイバー演習を定期的に実施することを忘れてはなりません。これにより、ユーザーを狙った攻撃者のさまざまなトリックにユーザーが備えることができます。 特にリモートで個人の電子メールを介して作業している場合、悪意のあるコードが企業または部門のネットワークに侵入する可能性があります。 ここで新しいソリューションをお勧めします シスコ セキュリティ意識向上ツールこれにより、情報セキュリティ問題に関する担当者のマイクロおよびナノトレーニングを実施できるだけでなく、フィッシング シミュレーションを組織することもできます。

しかし、何らかの理由でそのようなソリューションを使用する準備ができていない場合は、少なくとも従業員にフィッシングの危険性、その例、安全な行動のためのルールのリストを思い出させる定期的なメールを組織する価値があります（重要なことは、攻撃者は自分自身を偽装しません）。 ちなみに、現時点で考えられるリスクの XNUMX つは、経営陣からの手紙を装ったフィッシングメールです。このメールには、リモートワークに関する新しいルールや手順、リモート コンピューターにインストールする必要のある必須ソフトウェアなどが記載されているとされています。 また、サイバー犯罪者は電子メールに加えて、インスタント メッセンジャーやソーシャル ネットワークも使用できることを忘れないでください。

この種のメール配信や意識向上プログラムには、すでに古典的な偽のコロナウイルス感染マップの例を含めることもできます。 発売 ジョンズ・ホプキンス大学。 違い 悪意のあるカード それは、フィッシング サイトにアクセスすると、ユーザーのコンピュータにマルウェアがインストールされ、ユーザー アカウント情報が盗まれ、サイバー犯罪者に送信されるというものでした。 このようなプログラムの XNUMX つのバージョンは、被害者のコンピュータにリモート アクセスするための RDP 接続も作成しました。

ところでRDPについて。 これは、コロナウイルスのパンデミック中に攻撃者がより積極的に使用し始めているもう XNUMX つの攻撃ベクトルです。 多くの企業はリモートワークに切り替える際に RDP などのサービスを使用しますが、急いで設定を誤ると、攻撃者がリモート ユーザーのコンピューターと企業インフラストラクチャ内部の両方に侵入する可能性があります。 さらに、構成が正しくても、さまざまな RDP 実装には、攻撃者によって悪用される可能性のある脆弱性が存在する可能性があります。 たとえば、Cisco Talos 見つけた FreeRDP には複数の脆弱性が存在し、昨年 2019 月には Microsoft リモート デスクトップ サービスに重大な脆弱性 CVE-0708-XNUMX が発見され、被害者のコンピュータ上で任意のコードが実行されたり、マルウェアが導入されたりする可能性がありました。 彼女に関するニュースレターも配布されました ンクツキ、Cisco Talos など опубликовала それに対する保護のための推奨事項。

コロナウイルスのテーマを悪用した別の例があります。それは、被害者の家族がビットコインでの身代金の支払いを拒否した場合に感染するという本当の脅威です。 効果を高め、手紙に重要性を与え、恐喝者の全能感を醸成するために、ログインとパスワードの公開データベースから取得した被害者のアカウントの XNUMX つのパスワードが手紙の本文に挿入されました。

上の例の 19 つでは、世界保健機関からのフィッシング メッセージを示しました。 そして、これは、ユーザーが新型コロナウイルス感染症と戦うための経済的援助を求められる別の例です (ただし、手紙本文のヘッダーでは、「寄付」という言葉がすぐに目立ちます)。暗号通貨の追跡。

そして今日では、ユーザーの思いやりを悪用したそのような例がたくさんあります。

ビットコインは別の意味で新型コロナウイルス感染症と関連しています。 たとえば、これは、お金を稼ぐことができず家に座っている多くのイギリス国民が受け取る郵便物がどのようなものであるかです（ロシアでもこれは今後重要になります）。

有名な新聞やニュースサイトを装ったこれらのメールは、特別なサイトで暗号通貨をマイニングすることで簡単にお金を稼ぐことができます。 実際には、しばらくすると、稼いだ金額を特別口座に引き出すことができるというメッセージが表示されますが、その前に少額の税金を送金する必要があります。 このお金を受け取った後、詐欺師は見返りに何も送金せず、だまされやすいユーザーは送金されたお金を失うことは明らかです。

世界保健機関に関連する別の脅威があります。 ハッカーは、家庭ユーザーや中小企業がよく使用する D-Link および Linksys ルーターの DNS 設定をハッキングし、WHO アプリのインストールの必要性を警告するポップアップを表示する偽の Web サイトにユーザーをリダイレクトしました。コロナウイルスに関する最新ニュースを更新しています。 さらに、アプリケーション自体には情報を盗む悪意のあるプログラム「Oski」が含まれていました。

新型コロナウイルス感染症の現在の状況を含むアプリケーションに関する同様のアイデアが、Android トロイの木馬 CovidLock によって悪用されます。このトロイの木馬は、米国教育省、WHO、および疫病対策センターによって「認定」されたとされるアプリケーションを通じて配布されます ( CDC）。

現在、多くのユーザーは自己隔離中で、料理をしたくない、または料理できないにもかかわらず、食品、食料品、トイレットペーパーなどの商品の配達サービスを積極的に利用しています。 攻撃者も独自の目的でこのベクトルを使いこなしています。 たとえば、これは悪意のある Web サイトの外観であり、カナダ郵便が所有する正規のリソースに似ています。 被害者が受信した SMS からのリンクは、注文した商品が 3 ドルだけ不足しているため配達できないことを報告する Web サイトにつながり、追加料金を支払う必要があります。 この場合、ユーザーはクレジット カードの詳細を指定する必要があるページに誘導されます...その後のすべての結果が伴います。

最後に、新型コロナウイルス感染症 (COVID-19) に関連するサイバー脅威の例をさらに 19 つ挙げたいと思います。 たとえば、プラグイン「COVID-19 コロナウイルス - ライブ マップ WordPress プラグイン」、「コロナウイルス感染拡大予測グラフ」、または「Covid-XNUMX」は、人気のある WordPress エンジンを使用してサイトに組み込まれており、感染拡大のマップを表示するとともに、コロナウイルスには、WP-VCD マルウェアも含まれています。 そして、オンライン イベントの数の増加を受けて非常に人気のある企業 Zoom は、専門家が「Zoombombing」と呼ぶ現象に直面していました。 攻撃者は、実際には普通のポルノ荒らしであり、オンライン チャットやオンライン会議に接続し、さまざまなわいせつなビデオを見せました。 ところで、今日、ロシア企業も同様の脅威に直面しています。

私たちのほとんどは、パンデミックの現在の状況について、公式および非公式のさまざまなリソースを定期的にチェックしていると思います。 攻撃者はこのトピックを悪用し、「当局があなたから隠している」情報を含む、コロナウイルスに関する「最新」情報を私たちに提供しています。 しかし、最近では一般の一般ユーザーであっても、「知人」や「友人」から検証済みの事実のコードを送信して攻撃者を手助けするケースが多くなっている。 心理学者らは、視界に入るすべてのものを送信する「警報主義者」ユーザーのこのような活動（特に、そのような脅威に対する保護メカニズムを持たないソーシャルネットワークやインスタントメッセンジャー）によって、彼らは脅威との戦いに参加していると感じることができると述べています。世界的な脅威であり、コロナウイルスから世界を救うヒーローのようにさえ感じます。 しかし、残念なことに、特別な知識の欠如は、これらの善意が「すべての人を地獄に導く」という事実につながり、新たなサイバーセキュリティの脅威を生み出し、被害者の数を拡大させます。

実際、コロナウイルスに関連したサイバー脅威の例をさらに挙げることができます。 さらに、サイバー犯罪者は立ち止まらずに、人間の情熱を悪用する新しい方法をどんどん考え出します。 しかし、そこで止めてもいいと思います。 状況はすでに明らかであり、近い将来、状況はさらに悪化することがわかります。 昨日、モスクワ当局は人口XNUMX万人の都市を自主隔離下に置いた。 モスクワ地域やロシアの他の多くの地域の当局、そして旧ソ連崩壊後の地域の最も近い隣国も同じことをした。 これは、サイバー犯罪者の標的となる潜在的な被害者の数が何倍にも増加することを意味します。 したがって、最近まで企業または部門のネットワークのみを保護することに重点を置いていたセキュリティ戦略を再考し、不足している保護ツールを評価するだけでなく、人事意識向上プログラムで示されている例を考慮することも価値があります。リモートワーカーにとって情報セキュリティ システムの重要な部分になりつつあります。 あ シスコ これについてお手伝いする準備ができています!

PS. この資料の作成には、Cisco Talos、Naked Security、Anti-Phishing、Malwarebytes Lab、ZoneAlarm、Reason Security、RiskIQ 企業、米国司法省、Bleeping Computer リソース、SecurityAffairs などからの資料が使用されました。

出所： habr.com