Komek tehdîdên APT di van demên dawî de hate kifş kirin ku bi karanîna kampanyayên phishing-ê bikar tînin da ku pandemiya coronavirus bikar bînin da ku nermalava xwe belav bikin.
Cîhan niha ji ber pandemiya koronavirusê ya heyî Covid-19 di rewşek awarte de ye. Ji bo ku hewil bidin belavbûna vîrusê rawestînin, hejmareke mezin ji pargîdaniyên li çaraliyê cîhanê modek nû ya xebata dûr (dûr) dane destpêkirin. Vê yekê rûyê êrîşê bi girîngî berfireh kiriye, ku ev yek ji pargîdaniyan re di warê ewlehiya agahdariyê de pirsgirêkek mezin çêdike, ji ber ku ew naha hewce ne ku qaîdeyên hişk saz bikin û tevbigerin. da ku domdariya xebata pargîdanî û pergalên wê yên IT-ê misoger bike.
Lêbelê, rûbera êrişê ya berfireh ne tenê xetereya sîber e ku di van çend rojên dawî de derketiye holê: gelek sûcdarên sîberê bi awayekî çalak vê nediyariya gerdûnî bikar tînin da ku kampanyayên fîşekirinê bimeşînin, malware belav bikin û ji bo ewlehiya agahdariya gelek pargîdaniyan xetereyek çêkin.
APT pandemiyê bikar tîne
Di dawiya hefteya borî de, komeke Gefên Berdewam ên Pêşketî (APT) bi navê Vicious Panda hate kifş kirin ku li dijî kampanyayên li dijî , pandemiya coronavirus bikar tînin da ku malwareya xwe belav bikin. E-name ji wergir re got ku ew agahdarî di derbarê coronavirus de vedihewîne, lê di rastiyê de e-name du pelên xirabkar RTF (Formata Nivîsa dewlemend) vedihewîne. Ger mexdûr van pelan vekir, Trojanek Têketinê ya Dûr (RAT) hate destpêkirin, ku, di nav tiştên din de, dikaribû dîmenan bigire, navnîşên pelan û peldankan li ser komputera mexdûr biafirîne, û pelan dakêşîne.
Kampanya heta niha sektora giştî ya Mongolya kiriye armanc, û li gorî hin pisporên rojavayî, ew êrîşa herî dawî ye di operasyona berdewam a Çînê de li dijî hikûmet û rêxistinên cihêreng li seranserê cîhanê. Vê carê, taybetmendiya kampanyayê ev e ku ew rewşa nû ya koronavirusê ya gerdûnî bikar tîne da ku bi rengek çalaktir qurbaniyên xwe yên potansiyel veşêre.
Wusa dixuye ku e-nameya phishing ji Wezareta Karên Derve ya Mongolî ye û îdia dike ku di derheqê hejmara kesên ku bi vîrusê ketine de agahdarî vedihewîne. Ji bo çekkirina vê pelê, êrîşkaran RoyalRoad bikar anîn, amûrek populer a di nav çêkerên xeternak ên Chineseînî de ku destûrê dide wan ku belgeyên xwerû bi tiştên pêvekirî biafirînin ku dikarin qelsiyên di Edîtorê Hevkêşanê de ku di nav MS Word-ê de yekbûyî ye bikar bînin da ku hevkêşeyên tevlihev biafirînin.
Teknîkên Survival
Gava ku mexdûr pelên RTF yên xerab vedike, Microsoft Word qelsiyê îstîsmar dike ku pelê xerab (intel.wll) li peldanka destpêka Wordê (%APPDATA%MicrosoftWordSTARTUP) bar bike. Bi karanîna vê rêbazê, ne tenê metirsî berxwedêr dibe, lê ew di heman demê de pêşî li hilweşandina tevaya zincîra enfeksiyonê digire dema ku di sandboxê de dixebite, ji ber ku Word divê ji nû ve were destpêkirin da ku malware bi tevahî were destpêkirin.
Dûv re pelê intel.wll pelek DLL bar dike ku ji bo daxistina malware û danûstandina bi servera ferman û kontrolê ya hacker re tê bikar anîn. Pêşkêşkara ferman û kontrolê her roj ji bo demek hişk bi sînor dixebite, analîzkirin û gihîştina beşên herî tevlihev ên zincîra enfeksiyonê dijwar dike.
Digel vê yekê, lêkolîneran karîbûn diyar bikin ku di qonaxa yekem a vê zincîrê de, yekser piştî wergirtina fermana guncan, RAT tê barkirin û deşîfrekirin, û DLL tê barkirin, ku di bîranînê de tê barkirin. Mîmariya-pêveka-wek pêşniyar dike ku ji bilî bargiraniya ku di vê kampanyayê de tê dîtin modulên din jî hene.
Tedbîrên ji bo parastina li dijî APT-ya nû
Ev kampanyaya xerab gelek hîleyan bikar tîne da ku têkeve pergalên mexdûrên xwe û dûv re ewlehiya agahdariya wan têk bibe. Ji bo ku xwe ji kampanyayên bi vî rengî biparêzin, girîng e ku meriv rêzek tedbîran bigire.
Ya yekem pir girîng e: girîng e ku karmend di dema wergirtina e-nameyê de baldar û baldar bin. E-name yek ji vektorên êrîşê yên sereke ye, lê hema bêje ti pargîdanî bêyî e-nameyê nikare bike. Heke hûn e-nameyek ji şanderek nenas werdigirin, çêtir e ku hûn wê venekin, û heke hûn vekin, wê hingê pêvekêşan venekin û li ser ti lînkan bitikînin.
Ji bo ku ewlehiya agahdariya mexdûrên xwe tawîz bike, ev êrîş qelsiyek di Word-ê de bikar tîne. Di rastiyê de, qelsiyên nepatched sedem in , û digel pirsgirêkên ewlehiyê yên din, ew dikarin bibin sedema binpêkirinên mezin ên daneyê. Ji ber vê yekê ew qas girîng e ku meriv pêçeka guncan bicîh bîne da ku di zûtirîn dem de qelsiyê bigire.
Ji bo rakirina van pirsgirêkan, çareseriyên bi taybetî ji bo nasnameyê hatine çêkirin hene, . Modul bixweber li pêlên ku ji bo ewlehiya komputerên pargîdaniyê hewce ne digere, pêşî li nûvekirinên herî bilez digire û sazkirina wan plansaz dike. Agahdariya li ser pêlên ku pêdivî bi sazkirinê heye ji rêveberê re tê ragihandin jî dema ku kedxwarî û malware têne dîtin.
Çareserî dikare tavilê sazkirina paç û nûvekirinên hewce bike, an jî sazkirina wan dikare ji konsolek rêveberiya navendî-based web-ê were plansaz kirin, heke hewce be komputerên nepatchkirî veqetîne. Bi vî rengî, rêveber dikare paç û nûvekirinan birêve bibe da ku pargîdanî bi rêkûpêk bixebite.
Mixabin, êrîşa sîber ya navborî bê guman dê ne ya dawî be ku ji rewşa heyî ya koronavirusê ya gerdûnî sûd werbigire da ku ewlehiya agahdariya karsaziyan têk bibe.
Source: www.habr.com