Жакында эле APT коркунучтарынын тобу коронавирустун пандемиясын пайдаланып, алардын зыяндуу программаларын жайылтуу үчүн найза фишинг кампаниялары аркылуу табылган.
Учурда дүйнө COVID-19 коронавирусунун пандемиясынан улам өзгөчө кырдаалды башынан кечирүүдө. Вирустун жайылышын токтотууга аракет кылуу үчүн дүйнө жүзү боюнча көптөгөн компаниялар аралыктан (алыстан) иштөөнүн жаңы режимин ишке киргизишти. Бул чабуулдун чөйрөсүн кыйла кеңейтти, бул компаниялар үчүн маалымат коопсуздугу жагынан чоң көйгөй жаратат, анткени алар азыр катуу эрежелерди түзүп, чара көрүшү керек. ишкананын жана анын IT системаларынын үзгүлтүксүз иштешин камсыз кылуу.
Бирок, кеңейтилген чабуул бети акыркы бир нече күндө пайда болгон жалгыз кибер тобокелдик эмес: көптөгөн кибер кылмышкерлер фишинг кампанияларын жүргүзүү, зыяндуу программаларды жайылтуу жана көптөгөн компаниялардын маалыматтык коопсуздугуна коркунуч туудуруу үчүн бул глобалдык белгисиздиктен жигердүү пайдаланып жатышат.
APT пандемиядан пайдаланат
Өткөн жуманын аягында Vicious Panda деп аталган Advanced Persistent Threat (APT) тобу табылган. , алардын зыяндуу программаларын жайылтуу үчүн коронавирустун пандемиясын колдонуу. Электрондук кат алуучуга коронавирус жөнүндө маалымат камтылганын айткан, бирок чындыгында электрондук почтада эки зыяндуу RTF (Rich Text Format) файлдары бар. Эгерде жабырлануучу бул файлдарды ачса, Remote Access Trojan (RAT) ишке киргизилди, ал башка нерселер менен катар скриншотторду тартууга, жабырлануучунун компьютеринде файлдардын жана каталогдордун тизмелерин түзүүгө жана файлдарды жүктөп алууга жөндөмдүү болгон.
Бул өнөктүк азырынча Монголиянын мамлекеттик секторун бутага алды жана кээ бир батыштык эксперттердин айтымында, Кытайдын дүйнөнүн ар кайсы өкмөттөрүнө жана уюмдарына каршы уланып жаткан операциясындагы акыркы чабуул болуп саналат. Бул жолу кампаниянын өзгөчөлүгү, ал жаңы глобалдык коронавирустук кырдаалды өзүнүн потенциалдуу курмандыктарына активдүүрөөк жугузуу үчүн колдонуп жатат.
Фишинг электрондук почтасы Монголиянын Тышкы иштер министрлигине таандык окшойт жана вирусту жуктурган адамдардын саны тууралуу маалыматты камтыйт деп ырастайт. Бул файлды куралдандыруу үчүн чабуулчулар RoyalRoad, кытайлык коркунуч жаратуучулар арасында популярдуу куралды колдонушкан, ал аларга MS Word программасына интеграцияланган Equation Editor'дун чабал жерлерин пайдаланып, татаал теңдемелерди түзүүгө мүмкүн болгон кыстарылган объекттери менен ыңгайлаштырылган документтерди түзүүгө мүмкүндүк берет.
Survival Techniques
Жабырлануучу зыяндуу RTF файлдарын ачкандан кийин, Microsoft Word зыяндуу файлды (intel.wll) Word баштоо папкасына (%APPDATA%MicrosoftWordSTARTUP) жүктөө үчүн алсыздыктан пайдаланат. Бул ыкманы колдонуу менен коркунуч туруктуу болуп калбастан, ошондой эле кумкоргондо иштеп жатканда инфекциянын бүт чынжырынын жарылуусуна жол бербейт, анткени кесепеттүү программаны толук ишке киргизүү үчүн Word кайра иштетилиши керек.
Андан кийин intel.wll файлы кесепеттүү программаны жүктөө жана хакердин командалык жана башкаруу сервери менен байланышуу үчүн колдонулган DLL файлын жүктөйт. Буйрук жана башкаруу сервери күн сайын чектелген убакыттын ичинде иштейт, бул инфекция чынжырынын эң татаал бөлүктөрүн талдоону жана кирүүнү кыйындатат.
Буга карабастан, изилдөөчүлөр бул чынжырдын биринчи этабында, тиешелүү буйрукту алгандан кийин дароо эле RAT жүктөлүп, шифри ачылып, ал эми эс тутумга жүктөлгөн DLL жүктөлүп жатканын аныктай алышты. Плагинге окшош архитектура бул кампанияда көрүнгөн пайдалуу жүктөн тышкары башка модулдар бар экенин көрсөтүп турат.
Жаңы APT каршы коргоо чаралары
Бул зыяндуу кампания курмандыктарынын системаларына кирип, андан кийин алардын маалымат коопсуздугун бузуу үчүн бир нече амалдарды колдонот. Мындай кампаниялардан коргонуу үчүн бир катар чараларды көрүү маанилүү.
Биринчиси өтө маанилүү: электрондук каттарды кабыл алууда кызматкерлердин кунт коюп жана этият болушу маанилүү. Электрондук почта чабуулдун негизги векторлорунун бири, бирок дээрлик эч бир компания электрондук почтасыз иштей албайт. Эгер сиз белгисиз жөнөтүүчүдөн электрондук кат алсаңыз, аны ачпай эле койгонуңуз оң, эгер ачсаңыз, анда эч кандай тиркемени ачпаңыз же шилтемелерди баспаңыз.
Анын курмандыктарынын маалыматтык коопсуздугун бузуу үчүн, бул чабуул Word программасынын алсыздыгын колдонот. Чынында, жаңыланбаган алсыздыктар себеп болуп саналат , жана башка коопсуздук маселелери менен бирге, алар негизги маалыматтарды бузууга алып келиши мүмкүн. Ошондуктан алсыздыкты мүмкүн болушунча тезирээк жабуу үчүн тиешелүү патчты колдонуу абдан маанилүү.
Бул көйгөйлөрдү жоюу үчүн, аныктоо үчүн атайын иштелип чыккан чечимдер бар, . Модуль компаниянын компьютерлеринин коопсуздугун камсыз кылуу үчүн керектүү патчтарды автоматтык түрдө издейт, эң шашылыш жаңыртууларга артыкчылык берет жана аларды орнотууну пландаштырат. Орнотууну талап кылган патчтар жөнүндө маалымат администраторго эксплуатациялар жана кесепеттүү программалар аныкталганда да кабарланат.
Чечим дароо талап кылынган патчтарды жана жаңыртууларды орнотууну ишке киргизиши мүмкүн, же аларды орнотуу веб-негизделген борбордук башкаруу консолунан пландаштырылышы мүмкүн, эгерде зарыл болсо, жаңыланбаган компьютерлерди изоляциялоо. Ошентип, администратор компаниянын үзгүлтүксүз иштеши үчүн патчтарды жана жаңыртууларды башкара алат.
Тилекке каршы, каралып жаткан кибер чабуул, албетте, учурдагы глобалдык коронавирустук кырдаалдан пайдаланып, бизнестин маалыматтык коопсуздугун бузуу үчүн акыркы болуп калбайт.
Source: www.habr.com