Жакында эле APT коркунучтарынын тобу коронавирустун пандемиясын пайдаланып, алардын зыяндуу программаларын жайылтуу үчүн найза фишинг кампаниялары аркылуу табылган.
Учурда дүйнө COVID-19 коронавирусунун пандемиясынан улам өзгөчө кырдаалды башынан кечирүүдө. Вирустун жайылышын токтотууга аракет кылуу үчүн дүйнө жүзү боюнча көптөгөн компаниялар аралыктан (алыстан) иштөөнүн жаңы режимин ишке киргизишти. Бул чабуулдун чөйрөсүн кыйла кеңейтти, бул компаниялар үчүн маалымат коопсуздугу жагынан чоң көйгөй жаратат, анткени алар азыр катуу эрежелерди түзүп, чара көрүшү керек.
Бирок, кеңейтилген чабуул бети акыркы бир нече күндө пайда болгон жалгыз кибер тобокелдик эмес: көптөгөн кибер кылмышкерлер фишинг кампанияларын жүргүзүү, зыяндуу программаларды жайылтуу жана көптөгөн компаниялардын маалыматтык коопсуздугуна коркунуч туудуруу үчүн бул глобалдык белгисиздиктен жигердүү пайдаланып жатышат.
APT пандемиядан пайдаланат
Өткөн жуманын аягында Vicious Panda деп аталган Advanced Persistent Threat (APT) тобу табылган.
Бул өнөктүк азырынча Монголиянын мамлекеттик секторун бутага алды жана кээ бир батыштык эксперттердин айтымында, Кытайдын дүйнөнүн ар кайсы өкмөттөрүнө жана уюмдарына каршы уланып жаткан операциясындагы акыркы чабуул болуп саналат. Бул жолу кампаниянын өзгөчөлүгү, ал жаңы глобалдык коронавирустук кырдаалды өзүнүн потенциалдуу курмандыктарына активдүүрөөк жугузуу үчүн колдонуп жатат.
Фишинг электрондук почтасы Монголиянын Тышкы иштер министрлигине таандык окшойт жана вирусту жуктурган адамдардын саны тууралуу маалыматты камтыйт деп ырастайт. Бул файлды куралдандыруу үчүн чабуулчулар RoyalRoad, кытайлык коркунуч жаратуучулар арасында популярдуу куралды колдонушкан, ал аларга MS Word программасына интеграцияланган Equation Editor'дун чабал жерлерин пайдаланып, татаал теңдемелерди түзүүгө мүмкүн болгон кыстарылган объекттери менен ыңгайлаштырылган документтерди түзүүгө мүмкүндүк берет.
Survival Techniques
Жабырлануучу зыяндуу RTF файлдарын ачкандан кийин, Microsoft Word зыяндуу файлды (intel.wll) Word баштоо папкасына (%APPDATA%MicrosoftWordSTARTUP) жүктөө үчүн алсыздыктан пайдаланат. Бул ыкманы колдонуу менен коркунуч туруктуу болуп калбастан, ошондой эле кумкоргондо иштеп жатканда инфекциянын бүт чынжырынын жарылуусуна жол бербейт, анткени кесепеттүү программаны толук ишке киргизүү үчүн Word кайра иштетилиши керек.
Андан кийин intel.wll файлы кесепеттүү программаны жүктөө жана хакердин командалык жана башкаруу сервери менен байланышуу үчүн колдонулган DLL файлын жүктөйт. Буйрук жана башкаруу сервери күн сайын чектелген убакыттын ичинде иштейт, бул инфекция чынжырынын эң татаал бөлүктөрүн талдоону жана кирүүнү кыйындатат.
Буга карабастан, изилдөөчүлөр бул чынжырдын биринчи этабында, тиешелүү буйрукту алгандан кийин дароо эле RAT жүктөлүп, шифри ачылып, ал эми эс тутумга жүктөлгөн DLL жүктөлүп жатканын аныктай алышты. Плагинге окшош архитектура бул кампанияда көрүнгөн пайдалуу жүктөн тышкары башка модулдар бар экенин көрсөтүп турат.
Жаңы APT каршы коргоо чаралары
Бул зыяндуу кампания курмандыктарынын системаларына кирип, андан кийин алардын маалымат коопсуздугун бузуу үчүн бир нече амалдарды колдонот. Мындай кампаниялардан коргонуу үчүн бир катар чараларды көрүү маанилүү.
Биринчиси өтө маанилүү: электрондук каттарды кабыл алууда кызматкерлердин кунт коюп жана этият болушу маанилүү. Электрондук почта чабуулдун негизги векторлорунун бири, бирок дээрлик эч бир компания электрондук почтасыз иштей албайт. Эгер сиз белгисиз жөнөтүүчүдөн электрондук кат алсаңыз, аны ачпай эле койгонуңуз оң, эгер ачсаңыз, анда эч кандай тиркемени ачпаңыз же шилтемелерди баспаңыз.
Анын курмандыктарынын маалыматтык коопсуздугун бузуу үчүн, бул чабуул Word программасынын алсыздыгын колдонот. Чынында, жаңыланбаган алсыздыктар себеп болуп саналат
Бул көйгөйлөрдү жоюу үчүн, аныктоо үчүн атайын иштелип чыккан чечимдер бар,
Чечим дароо талап кылынган патчтарды жана жаңыртууларды орнотууну ишке киргизиши мүмкүн, же аларды орнотуу веб-негизделген борбордук башкаруу консолунан пландаштырылышы мүмкүн, эгерде зарыл болсо, жаңыланбаган компьютерлерди изоляциялоо. Ошентип, администратор компаниянын үзгүлтүксүз иштеши үчүн патчтарды жана жаңыртууларды башкара алат.
Тилекке каршы, каралып жаткан кибер чабуул, албетте, учурдагы глобалдык коронавирустук кырдаалдан пайдаланып, бизнестин маалыматтык коопсуздугун бузуу үчүн акыркы болуп калбайт.
Source: www.habr.com