Жақында APT қауіптерінің тобы өздерінің зиянды бағдарламаларын тарату үшін коронавирустық пандемияны пайдалану үшін найза фишингтік науқандары арқылы табылды.
Қазіргі уақытта әлем Ковид-19 коронавирустық пандемиясына байланысты ерекше жағдайды бастан кешіруде. Вирустың таралуын тоқтатуға тырысу үшін бүкіл әлем бойынша көптеген компаниялар қашықтан (қашықтан) жұмыс істеудің жаңа режимін іске қосты. Бұл шабуылдың бетін айтарлықтай кеңейтті, бұл компаниялар үшін ақпараттық қауіпсіздік тұрғысынан үлкен қиындық тудырады, өйткені олар енді қатаң ережелерді белгілеп, шаралар қабылдауы керек. кәсіпорынның және оның АТ жүйелерінің жұмысының үздіксіздігін қамтамасыз ету.
Дегенмен, кеңейтілген шабуыл беті соңғы бірнеше күнде пайда болған жалғыз киберқауіп емес: көптеген киберқылмыскерлер фишинг науқандарын жүргізу, зиянды бағдарламаларды тарату және көптеген компаниялардың ақпараттық қауіпсіздігіне қатер төндіру үшін осы жаһандық белгісіздікті белсенді түрде пайдаланады.
APT пандемияны пайдаланады
Өткен аптаның соңында Vicious Panda деп аталатын Advanced Persistent Threat (APT) тобына қарсы науқан жүргізгені анықталды. , өздерінің зиянды бағдарламаларын тарату үшін коронавирустық пандемияны пайдалану. Электрондық пошта алушыға коронавирус туралы ақпарат бар екенін айтты, бірақ шын мәнінде электрондық поштада екі зиянды RTF (Rich Text Format) файлы бар. Егер жәбірленуші бұл файлдарды ашса, қашықтан қол жеткізу трояны (RAT) іске қосылды, ол басқа нәрселермен қатар скриншоттарды түсіруге, жәбірленушінің компьютеріндегі файлдар мен каталогтардың тізімдерін жасауға және файлдарды жүктеп алуға қабілетті.
Науқан осы уақытқа дейін Моңғолияның мемлекеттік секторын нысанаға алды және кейбір батыс сарапшыларының пікірінше, бұл Қытайдың дүние жүзіндегі әртүрлі үкіметтер мен ұйымдарға қарсы жалғасып жатқан операциясының соңғы шабуылы болып табылады. Бұл жолы науқанның ерекшелігі - ол жаңа жаһандық коронавирустық жағдайды өзінің ықтимал құрбандарын белсендірек жұқтыру үшін пайдаланады.
Фишингтік электрондық пошта Моңғолия Сыртқы істер министрлігінен келген көрінеді және вирус жұқтырған адамдардың саны туралы ақпарат бар деп мәлімдейді. Бұл файлды қаруландыру үшін шабуылдаушылар күрделі теңдеулерді жасау үшін MS Word бағдарламасына біріктірілген Equation Editor осал тұстарын пайдалана алатын кірістірілген нысандары бар реттелетін құжаттарды жасауға мүмкіндік беретін қытайлық қауіп-қатер жасаушылар арасында танымал құрал RoyalRoad пайдаланды.
Тірі қалу техникасы
Жәбірленуші зиянды RTF файлдарын ашқаннан кейін, Microsoft Word зиянды файлды (intel.wll) Word іске қосу қалтасына (%APPDATA%MicrosoftWordSTARTUP) жүктеу үшін осалдықты пайдаланады. Бұл әдісті қолдану қауіп тұрақты болып қана қоймайды, сонымен қатар құм жәшігінде жұмыс істегенде бүкіл инфекция тізбегінің жарылуын болдырмайды, өйткені зиянды бағдарламаны толығымен іске қосу үшін Word бағдарламасын қайта іске қосу керек.
Содан кейін intel.wll файлы зиянды бағдарламаны жүктеп алу және хакердің командалық және басқару серверімен байланысу үшін пайдаланылатын DLL файлын жүктейді. Командалық және басқару сервері күн сайын қатаң шектеулі уақыт аралығында жұмыс істейді, бұл инфекция тізбегінің ең күрделі бөліктерін талдауды және оларға қол жеткізуді қиындатады.
Осыған қарамастан, зерттеушілер осы тізбектің бірінші кезеңінде сәйкес команданы алғаннан кейін бірден RAT жүктелетінін және шифрын шешетінін және жадқа жүктелетін DLL жүктелетінін анықтай алды. Плагинге ұқсас архитектура осы науқанда көрінетін пайдалы жүктемеден басқа басқа модульдер бар екенін көрсетеді.
Жаңа АПТ-дан қорғау шаралары
Бұл зиянды науқан құрбандарының жүйелеріне еніп, содан кейін олардың ақпараттық қауіпсіздігіне нұқсан келтіру үшін бірнеше амалдарды пайдаланады. Өзіңізді осындай науқандардан қорғау үшін бірқатар шараларды қабылдау маңызды.
Біріншісі өте маңызды: қызметкерлердің электрондық хаттарды алған кезде мұқият және мұқият болуы маңызды. Электрондық пошта шабуылдың негізгі векторларының бірі болып табылады, бірақ ешбір компания электрондық поштасыз жұмыс істей алмайды. Белгісіз жіберушіден хат алсаңыз, оны ашпағаныңыз жөн, ал ашсаңыз, ешқандай қосымшаларды ашпаңыз немесе сілтемелерді баспаңыз.
Құрбандарының ақпараттық қауіпсіздігін бұзу үшін бұл шабуыл Word бағдарламасындағы осалдықты пайдаланады. Шын мәнінде, түзетілмеген осалдықтар себеп болып табылады , және басқа қауіпсіздік мәселелерімен бірге олар үлкен деректердің бұзылуына әкелуі мүмкін. Сондықтан осалдықты мүмкіндігінше тезірек жабу үшін тиісті патчты қолдану өте маңызды.
Бұл мәселелерді жою үшін сәйкестендіру үшін арнайы әзірленген шешімдер бар, . Модуль компания компьютерлерінің қауіпсіздігін қамтамасыз ету үшін қажетті патчтарды автоматты түрде іздейді, ең шұғыл жаңартуларға басымдық береді және оларды орнатуды жоспарлайды. Орнатуды қажет ететін патчтар туралы ақпарат тіпті эксплуатациялар мен зиянды бағдарламалар анықталған кезде де әкімшіге хабарланады.
Шешім қажетті патчтар мен жаңартуларды орнатуды дереу іске қоса алады немесе оларды орнатуды веб-негізделген орталық басқару консолінен жоспарлауға болады, қажет болса, патчсыз компьютерлерді оқшаулау. Осылайша, әкімші компанияның үздіксіз жұмысын қамтамасыз ету үшін патчтар мен жаңартуларды басқара алады.
Өкінішке орай, кибершабуыл қазіргі жаһандық коронавирустық жағдайды бизнестің ақпараттық қауіпсіздігіне нұқсан келтіру үшін пайдаланатын соңғы шабуыл болмайды.
Ақпарат көзі: www.habr.com