Klompok ancaman APT bubar ditemokake nggunakake kampanye phishing tombak kanggo eksploitasi pandemi koronavirus kanggo nyebarake malware.
Donya saiki ngalami kahanan sing luar biasa amarga pandemi koronavirus Covid-19 saiki. Kanggo nyoba nyegah panyebaran virus kasebut, akeh perusahaan ing saindenging jagad ngluncurake mode kerja remot (remote) anyar. Iki wis nggedhekake permukaan serangan kanthi signifikan, sing dadi tantangan gedhe kanggo perusahaan babagan keamanan informasi, amarga saiki kudu netepake aturan sing ketat lan tumindak. kanggo njamin kesinambungan operasi perusahaan lan sistem IT.
Nanging, lumahing serangan sing ditambahi ora mung siji-sijine risiko cyber sing muncul ing sawetara dina kepungkur: akeh penjahat cyber sing aktif ngeksploitasi ketidakpastian global iki kanggo nindakake kampanye phishing, nyebarake malware lan menehi ancaman marang keamanan informasi akeh perusahaan.
APT ngeksploitasi pandemi
Pungkasan minggu kepungkur, klompok Advanced Persistent Threat (APT) sing diarani Vicious Panda ditemokake sing nindakake kampanye nglawan , nggunakake pandemi koronavirus kanggo nyebar malware. Email kasebut ngandhani panampa kasebut ngemot informasi babagan coronavirus, nanging nyatane email kasebut ngemot rong file RTF (Format Teks Kaya) sing ala. Yen korban mbukak file kasebut, Remote Access Trojan (RAT) diluncurake, sing, ing antarane, bisa njupuk gambar, nggawe dhaptar file lan direktori ing komputer korban, lan ndownload file.
Kampanye nganti saiki wis nargetake sektor publik Mongolia lan, miturut sawetara ahli Barat, nggambarake serangan paling anyar ing operasi China sing terus-terusan nglawan macem-macem pamrentah lan organisasi ing saindenging jagad. Wektu iki, kekhasan kampanye kasebut yaiku nggunakake kahanan koronavirus global anyar kanggo luwih aktif nginfeksi korban potensial.
Email phishing katon saka Kementerian Luar Negeri Mongolia lan ngaku ngemot informasi babagan jumlah wong sing kena infeksi virus. Kanggo nglebokake file iki, para panyerang nggunakake RoyalRoad, alat sing populer ing antarane pembuat ancaman Cina sing ngidini nggawe dokumen khusus kanthi obyek sing dipasang sing bisa ngeksploitasi kerentanan ing Editor Equation sing digabungake menyang MS Word kanggo nggawe persamaan kompleks.
Teknik Survival
Sawise korban mbukak file RTF angkoro, Microsoft Word eksploitasi kerentanan kanggo mbukak file angkoro (intel.wll) menyang folder wiwitan Word (%APPDATA%MicrosoftWordSTARTUP). Nggunakake metode iki, ora mung ancaman dadi tahan, nanging uga nyegah kabeh rantai infeksi saka detonating nalika mlaku ing kothak wedhi, amarga Word kudu diwiwiti maneh kanggo miwiti malware kanthi lengkap.
File intel.wll banjur mbukak file DLL sing digunakake kanggo ngundhuh malware lan komunikasi karo perintah lan server kontrol peretas. Server printah lan kontrol beroperasi sajrone wektu sing winates saben dina, dadi angel kanggo nganalisa lan ngakses bagean sing paling kompleks saka rantai infeksi.
Senadyan mangkono, para peneliti bisa nemtokake manawa ing tahap pisanan rantai iki, sanalika sawise nampa perintah sing cocog, RAT dimuat lan didekripsi, lan DLL dimuat, sing dimuat ing memori. Arsitektur kaya plugin nuduhake manawa ana modul liyane saliyane muatan sing katon ing kampanye iki.
Langkah-langkah kanggo nglindhungi APT anyar
Kampanye angkoro iki nggunakake macem-macem trik kanggo nyusup sistem korban lan banjur kompromi keamanan informasi. Kanggo nglindhungi dhewe saka kampanye kasebut, penting kanggo njupuk sawetara langkah.
Sing pisanan penting banget: penting kanggo karyawan supaya ati-ati lan ati-ati nalika nampa email. Email minangka salah sawijining vektor serangan utama, nanging meh ora ana perusahaan sing bisa nindakake tanpa email. Yen sampeyan nampa email saka pangirim sing ora dingerteni, luwih becik ora mbukak, lan yen sampeyan mbukak, aja mbukak lampiran utawa ngeklik tautan apa wae.
Kanggo kompromi keamanan informasi para korban, serangan iki ngeksploitasi kerentanan ing Word. Nyatane, kerentanan sing ora ditambal minangka alasane , lan bebarengan karo masalah keamanan liyane, bisa nyebabake pelanggaran data utama. Pramila penting banget kanggo ngetrapake tembelan sing cocog kanggo nutup kerentanan sanalika bisa.
Kanggo ngilangi masalah kasebut, ana solusi sing dirancang khusus kanggo identifikasi, . Modul kasebut kanthi otomatis nggoleki patch sing dibutuhake kanggo njamin keamanan komputer perusahaan, kanthi prioritas nganyari paling penting lan jadwal instalasi. Informasi babagan patch sing mbutuhake instalasi dilaporake menyang administrator sanajan eksploitasi lan malware dideteksi.
Solusi kasebut bisa langsung micu instalasi patch lan nganyari sing dibutuhake, utawa instalasi kasebut bisa dijadwalake saka konsol manajemen pusat basis web, yen perlu ngisolasi komputer sing ora ditambal. Kanthi cara iki, administrator bisa ngatur patch lan nganyari supaya perusahaan bisa mlaku kanthi lancar.
Sayange, serangan cyber sing ditakoni mesthi ora bakal dadi sing terakhir kanggo njupuk kauntungan saka kahanan koronavirus global saiki kanggo kompromi keamanan informasi bisnis.
Source: www.habr.com