Бүгүнкү күндө коронавирус темасы бардык жаңылыктар ленталарын толтурду, ошондой эле COVID-19 темасын жана аны менен байланышкан бардык нерселерди пайдаланган чабуулчулардын ар кандай иш-аракеттеринин негизги лейтмотивине айланды. Бул жазууда мен мындай зыяндуу аракеттердин айрым мисалдарына көңүл бургум келет, бул, албетте, көптөгөн маалымат коопсуздугу адистери үчүн жашыруун эмес, бирок алардын кыскача баяндамасы бир эскертүүдө өзүңүздүн маалыматыңызды даярдоону жеңилдетет. - айрымдары алыстан иштеген кызматкерлер үчүн иш-чараларды жогорулатуу, ал эми башкалары маалымат коопсуздугунун ар кандай коркунучтарына мурункуга караганда көбүрөөк дуушар болушат.
НЛОдон бир мүнөт кам көрүү
Дүйнө расмий түрдө SARS-CoV-19 коронавирусунан (2-nCoV) келип чыккан курч респиратордук инфекция COVID-2019 пандемиясын жарыялады. Бул тема боюнча Habré жөнүндө көп маалымат бар - ар дайым ал ишенимдүү/пайдалуу жана тескерисинче болушу мүмкүн экенин унутпа.
Жарыяланган ар кандай маалыматка сын көз карашта болууга чакырабыз.
Расмий булактар
- Аймактардагы оперативдүү штабдардын сайттары жана расмий топтору
Эгер сиз Россияда жашабасаңыз, анда өз өлкөңүздөгү окшош сайттарга кайрылыңыз.
Колду жууп, жакындарыңызга кам көрүңүз, мүмкүн болсо үйдө калып, алыстан иштеңиз.жөнүндө басылмаларды окуу: |
Белгилей кетсек, бүгүнкү күндө коронавирус менен байланышкан таптакыр жаңы коркунучтар жок. Тескерисинче, биз салттуу болуп калган, жөн гана жаңы "соуста" колдонулган чабуул векторлору жөнүндө сөз болуп жатат. Ошентип, мен коркунучтардын негизги түрлөрүн атайт элем:
- фишинг сайттары жана коронавируска жана ага байланыштуу зыяндуу кодго байланыштуу жаңылыктар
- Коркунучтан же COVID-19 тууралуу толук эмес маалыматты пайдаланууга багытталган алдамчылык жана жалган маалымат
- коронавирусту изилдөө менен алектенген уюмдарга кол салуу
Жарандары салттуу түрдө бийликке ишенбеген жана алардан чындыкты жашырып жатат деп эсептеген Орусияда фишинг сайттарын жана почта тизмелерин, ошондой эле алдамчылык ресурстарды ийгиликтүү "жаркыратуу" ыктымалдыгы ачык өлкөлөргө караганда алда канча жогору. бийлик. Бүгүнкү күндө эч ким өзүн адамдын бардык классикалык алсыз жактарын - коркуу, боорукердик, ач көздүк ж.
Мисалы, медициналык беткаптарды саткан алдамчы сайтты алалы.
Окшош сайт, CoronavirusMedicalkit[.]com, АКШ бийликтери тарабынан жок болгон COVID-19 вакцинасын дары-дармекти жеткирүү үчүн "гана" почта акысы менен бекер таратканы үчүн жабылган. Бул учурда, мындай төмөн баа менен, Америка Кошмо Штаттарында паника шарттарында дары-дармекке болгон шашылыш суроо-талап үчүн эсептелген.
Бул классикалык киберкоркунуч эмес, анткени бул учурда чабуулчулардын милдети колдонуучуларга жуктуруп алуу же алардын жеке маалыматтарын же идентификациялык маалыматтарды уурдоо эмес, жөн гана коркуу толкунунда аларды чыгарып салууга жана жогорулатылган баада медициналык маскаларды сатып алууга мажбурлоо. анык езуне турган наркын 5—10—30 эсеге ашык. Бирок коронавирустун темасын пайдаланган жасалма веб-сайтты түзүү идеясын киберкылмышкерлер да колдонушат. Мисалы, бул жерде аты "covid19" ачкыч сөзүн камтыган сайт, бирок ал дагы фишинг сайты.
Жалпысынан биздин окуяны иликтөө кызматы күн сайын мониторинг жүргүзүп турат , аттары covid, covid19, coronavirus ж. Жана алардын көбү зыяндуу.
Компаниянын кээ бир кызматкерлери үйдөн иштөөгө которулган жана алар корпоративдик коопсуздук чаралары менен корголбогон чөйрөдө кызматкерлердин мобилдик жана рабочий түзмөктөрүнөн билип же билбестен кирген ресурстарды көзөмөлдөө мурдагыдан да маанилүү. билим. Эгер сиз кызматты колдонбосоңуз мындай домендерди аныктоо жана бөгөттөө үчүн (жана Cisco бул кызматка туташуу азыр бекер), андан кийин эң аз дегенде тиешелүү ачкыч сөздөр менен домендерди көзөмөлдөө үчүн Вебге кирүү мониторингиңизди конфигурациялаңыз. Ошол эле учурда, домендерди кара тизмеге киргизүүдөгү салттуу ыкма, ошондой эле репутациялык маалымат базаларын колдонуу ийгиликсиз болушу мүмкүн экенин эстен чыгарбоо керек, анткени зыяндуу домендер абдан тез түзүлөт жана бир нече сааттан ашык эмес 1-2 чабуулда гана колдонулат. чабуулчулар жаңы эфемердик домендерге өтүшөт. Маалыматтык коопсуздук компаниялары өздөрүнүн билим базаларын тез жаңыртып, аларды бардык кардарларына таратууга убактысы жок.
Чабуулчулар фишинг шилтемелерин жана тиркемелердеги зыяндуу программаларды жайылтуу үчүн электрондук почта каналын жигердүү пайдаланууну улантууда. Жана алардын эффективдүүлүгү абдан жогору, анткени колдонуучулар коронавирус жөнүндө толугу менен мыйзамдуу кабарларды алып жатып, алардын көлөмүндө кандайдыр бир зыяндуу нерселерди ар дайым тааный алышпайт. Ал эми жуккан адамдардын саны өсүп жатканы менен, мындай коркунучтардын чөйрөсү дагы өсө берет.
Мисалы, CDC атынан фишинг электрондук почтасынын мисалы мындай:
Шилтемеден кийин, албетте, CDC веб-сайтына эмес, жабырлануучунун логин менен сырсөзүн уурдаган жасалма баракчага алып барат:
Бул жерде Дүйнөлүк саламаттыкты сактоо уюмунун атынан фишингдик электрондук почтанын мисалы келтирилген:
Жана бул мисалда, чабуулчулар көптөгөн адамдар бийлик алардан инфекциянын чыныгы масштабын жашырып жатат деп эсептешет, ошондуктан колдонуучулар бактылуу жана дээрлик эч тартынбастан, зыяндуу шилтемелер же тиркемелери бар каттардын бул түрлөрүн басышат. бардык сырларын ачып берет имиш.
Айтмакчы, мындай сайт бар , бул ар кандай көрсөткүчтөрдү байкоого мүмкүндүк берет, мисалы, өлүмгө, тамеки чеккендердин санына, ар кайсы мамлекеттердеги калктын санына ж.б. Вебсайтта коронавируска арналган баракча да бар. Ошентип, мен 16-мартта ага барганда, мен бир саамга бийликтин бизге чындыкты айтып жатканынан күмөн санаган баракчаны көрдүм (бул сандардын себеби эмнеде экенин билбейм, балким жөн эле ката):
Кол салгандар ушул сыяктуу электрондук каттарды жөнөтүү үчүн колдонгон популярдуу инфраструктуралардын бири - акыркы мезгилдеги эң коркунучтуу жана популярдуу коркунучтардын бири - Emotet. Электрондук почта билдирүүлөрүнө тиркелген Word документтеринде Emotet жүктөөчүлөрү бар, алар жабырлануучунун компьютерине жаңы зыяндуу модулдарды жүктөйт. Эмотет башында Япониянын тургундарына багытталган медициналык беткаптарды саткан алдамчылык веб-сайттарга шилтемелерди жайылтуу үчүн колдонулган. Төмөндө сиз кумбоксинг аркылуу зыяндуу файлды талдоо натыйжасын көрөсүз , ал файлдарды зыяндуулугун талдайт.
Бирок чабуулчулар MS Word программасында гана эмес, башка Microsoft тиркемелеринде, мисалы, MS Excelде (APT36 хакерлер тобу ушундай иш-аракет кылган), Индиянын өкмөтүнөн Crimson камтылган коронавирус менен күрөшүү боюнча сунуштарды жөнөтүү мүмкүнчүлүгүн колдонушат. RAT:
Коронавирус темасын пайдаланган дагы бир зыяндуу кампания Nanocore RAT болуп саналат, ал сизге алыстан кирүү, клавиатура соккуларын кармоо, экрандагы сүрөттөрдү тартуу, файлдарга жетүү ж.б. үчүн жабырлануучу компьютерлерге программаларды орнотууга мүмкүндүк берет.
Ал эми Nanocore RAT адатта электрондук почта аркылуу жеткирилет. Мисалы, төмөндө сиз аткарылуучу PIF файлын камтыган тиркелген ZIP архиви бар үлгү почта билдирүүсүн көрөсүз. Аткарылуучу файлды чыкылдатуу менен, жабырлануучу компьютерине алыстан кирүү программасын (Remote Access Tool, RAT) орнотот.
Бул жерде COVID-19 темасындагы өнөктүк митесинин дагы бир мисалы. Колдонуучуга .pdf.ace кеңейтүүсү менен тиркелген эсеп-фактурасы менен коронавирустун айынан болжолдуу жеткирүү кечигүү жөнүндө кат келет. Кысылган архивдин ичинде кошумча буйруктарды алуу жана башка чабуулчу максаттарын аткаруу үчүн командалык жана башкаруу серверине туташууну орнотуучу аткарылуучу мазмун бар.
Parallax RAT да ушундай функцияга ээ, ал "жаңы жуккан CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" деп аталган файлды таркатат жана DNS протоколу аркылуу анын командалык сервери менен иштешкен зыяндуу программаны орнотот. EDR классындагы коргоо куралдары, анын мисалы же NGFW команда серверлери менен байланышты көзөмөлдөөгө жардам берет (мисалы, ) же DNS мониторинг куралдары (мисалы, ).
Төмөндөгү мисалда, белгисиз себептерден улам, компьютерде орнотулган кадимки антивирус программасы чыныгы COVID-19дан коргой аларын жарнамалоо үчүн сатып алган жабырлануучунун компьютерине алыстан кирүү зыяндуу программасы орнотулган. Анан да, кимдир бирөө мындай көрүнгөн тамашага түшүп калды.
Бирок зыяндуу программалардын арасында чындап эле кызыктай нерселер да бар. Мисалы, ransomware ишин туураган тамаша файлдары. Бир учурда, биздин Cisco Talos бөлүмү CoronaVirus.exe деп аталган файл, ал аткаруу учурунда экранды жаап, таймерди жана "бул компьютердеги бардык файлдарды жана папкаларды жок кылуу - коронавирус" билдирүүсүн баштаган.
Артка санак аяктагандан кийин, ылдыйдагы баскыч активдүү болуп, басылганда, мунун баары тамаша экенин жана программаны бүтүрүү үчүн Alt+F12 баскычтарын басуу керектигин айткан төмөнкү билдирүү пайда болду.
зыяндуу почта менен күрөшүү, мисалы, колдонуу менен автоматташтырылышы мүмкүн , бул тиркемелердеги зыяндуу мазмунду гана эмес, фишингдик шилтемелерди жана аларга чыкылдатууларды да аныктоого мүмкүндүк берет. Бирок мындай учурда да, колдонуучуларды окутуу жана фишингдик симуляцияларды жана кибер машыгууларды үзгүлтүксүз жүргүзүүнү унутпаш керек, бул колдонуучуларды сиздин колдонуучуларга каршы багытталган чабуулчулардын ар кандай амалдарына даярдайт. Айрыкча, алар алыстан жана жеке электрондук почта аркылуу иштешсе, зыяндуу код корпоративдик же ведомстволук тармакка кирип кетиши мүмкүн. Бул жерде мен жаңы чечимди сунуш кыла алмакмын , бул маалыматтык коопсуздук маселелери боюнча персоналды микро жана нано окутууну гана өткөрбөстөн, алар үчүн фишингдик симуляцияларды уюштурууга да мүмкүндүк берет.
Бирок, кандайдыр бир себептерден улам, сиз мындай чечимдерди колдонууга даяр эмес болсоңуз, анда фишинг коркунучу, анын мисалдары жана коопсуз жүрүм-турум эрежелеринин тизмеси менен кызматкерлериңизге үзгүлтүксүз жөнөтүүлөрдү уюштуруп туруңуз (негизгиси кол салгандар өздөрүн жамынышпайт). Айтмакчы, азыркы учурда мүмкүн болуучу тобокелдиктердин бири - бул сиздин жетекчиликтин каттары сыяктуу маскараланган фишингдик жөнөтүүлөр, алар аралыктан иштөөнүн жаңы эрежелери жана процедуралары, алыскы компьютерлерге орнотулушу керек болгон милдеттүү программалык камсыздоо ж.б.у.с. Киберкылмышкерлер электрондук почтадан тышкары мессенджерлерди жана социалдык тармактарды да колдоно аларын унутпаңыз.
Почта же маалымдуулукту жогорулатуу программасына сиз ошондой эле жасалма коронавирустук инфекция картасынын классикалык мисалын кошо аласыз, ал картага окшош болгон. Джонс Хопкинс университети. Айырма фишинг сайтына кирүүдө колдонуучунун компьютерине зыяндуу программа орнотулуп, колдонуучунун аккаунтунун маалыматын уурдап, киберкылмышкерлерге жөнөткөн. Мындай программанын бир версиясы жабырлануучунун компьютерине алыстан кирүү үчүн RDP байланыштарын түздү.
Баса, РДП жөнүндө. Бул дагы бир чабуул вектору, аны чабуулчулар коронавирустук пандемия учурунда активдүү колдоно башташат. Көптөгөн компаниялар алыстан иштөөгө өтүүдө, RDP сыяктуу кызматтарды колдонушат, алар шашылыштан улам туура эмес конфигурацияланса, чабуулчулар алыскы колдонуучунун компьютерлерине да, корпоративдик инфраструктурага да кирип кетиши мүмкүн. Андан тышкары, туура конфигурацияда да, ар кандай RDP ишке ашырууларда чабуулчулар пайдалана турган алсыздыктар болушу мүмкүн. Мисалы, Cisco Talos FreeRDP бир нече алсыздыктары, ал эми өткөн жылдын май айында Microsoft Remote Desktop кызматында CVE-2019-0708 олуттуу кемчилиги табылган, ал жабырлануучунун компьютеринде ээнбаш кодду ишке ашырууга, зыяндуу программаны киргизүүгө ж.б.у.с. Ал тууралуу маалымат бюллетень да таркатылды , жана, мисалы, Cisco Talos андан коргоо боюнча сунуштар.
Коронавирустук теманы эксплуатациялоонун дагы бир мисалы бар - эгерде алар биткойндор менен кунду төлөөдөн баш тартса, жабырлануучунун үй-бүлөсүнө инфекция жугуу коркунучу. Эффектти күчөтүү, каттын маанисин берүү жана опузалоочунун кудуреттүүлүгүн түзүү үчүн каттын текстине жабырлануучунун логиндердин жана паролдордун жалпы маалымат базасынан алынган анын аккаунттарынын биринен сырсөз киргизилген.
Жогорудагы мисалдардын биринде мен Дүйнөлүк Саламаттыкты сактоо Уюмунун фишинг билдирүүсүн көрсөттүм. Бул жерде дагы бир мисал, анда колдонуучулардан COVID-19 менен күрөшүү үчүн каржылык жардам суралган (каттын баш жагында “КАЙРЫМДУУЛУК” деген сөз дароо байкалат). cryptocurrency көзөмөлдөө.
Бүгүнкү күндө колдонуучулардын боорукердигин пайдаланган көптөгөн мисалдар бар:
Биткойндор башка жол менен COVID-19 менен байланышкан. Мисалы, үйдө отурган жана акча таба албаган көптөгөн британиялык жарандардын каттары ушундай көрүнөт (Россияда бул дагы актуалдуу болуп калат).
Белгилүү гезиттер жана жаңылыктар сайттары катары маскараланган бул жөнөтүүлөр атайын сайттарда криптовалюталарды казып алуу менен жеңил акчаны сунуштайт. Чынында, бир канча убакыт өткөндөн кийин, сиз тапкан сумманы атайын эсепке алууга болот, бирок ага чейин бир аз салыкты которуу керек деген билдирүү келет. Бул акчаны алгандан кийин шылуундар анын ордуна эч нерсе которбой, ишенчээк колдонуучу которулган акчасын жоготуп койгону анык.
Дүйнөлүк саламаттыкты сактоо уюму менен байланышкан дагы бир коркунуч бар. Хакерлер D-Link жана Linksys роутерлеринин DNS жөндөөлөрүн бузуп, аларды ДСУнун тиркемесин орнотуу зарылчылыгы тууралуу эскертүүсү бар жасалма веб-сайтка багыттоо үчүн, аларды көбүнчө үй колдонуучулары жана чакан бизнестер колдонушкан. коронавирус жөнүндө акыркы жаңылыктар менен таанышыңыз. Андан тышкары, тиркемеде маалыматты уурдаган Oski зыяндуу программасы болгон.
COVID-19 инфекциясынын учурдагы абалын камтыган тиркеме менен окшош идеяны Android трояндык CovidLock колдонот, ал АКШнын Билим берүү департаменти, ДСУ жана Эпидемияны көзөмөлдөө борбору тарабынан "сертификатталган" тиркеме аркылуу таратылат ( CDC).
Бүгүнкү күндө көптөгөн колдонуучулар өзүнчө изоляцияда жана тамак-аш жасоону каалабаса же кыла албаса, тамак-ашка, азык-түлүккө же даарат кагазы сыяктуу башка товарларга жеткирүү кызматтарын активдүү колдонушат. Чабуулчулар да бул векторду өз максаттары үчүн өздөштүрүп алышкан. Мисалы, бул Canada Post компаниясына таандык мыйзамдуу ресурска окшош зыяндуу веб-сайттын көрүнүшү. Жабырлануучу алган СМСтин шилтемеси веб-сайтка алып барат, анда буйрутма берилген продуктту жеткирүү мүмкүн эмес, анткени 3 гана доллар жок, ал кошумча төлөнүшү керек. Бул учурда, колдонуучу өзүнүн кредиттик картасынын реквизиттерин көрсөтүүсү керек болгон баракчага багытталат... бардык натыйжалары менен.
Жыйынтыктап айтканда, мен COVID-19 менен байланышкан кибер коркунучтарга дагы эки мисал келтиргим келет. Мисалы, "COVID-19 Coronavirus - Live Map WordPress Plugin", "Коронавирустун жайылышын болжолдоо графиктери" же "Covid-19" плагиндери популярдуу WordPress кыймылдаткычын колдонуу менен сайттарга орнотулган жана ошондой эле вирустун жайылуу картасын көрсөтүү менен бирге. коронавирус, ошондой эле WP-VCD зыяндуу программасын камтыйт. Ал эми Zoom компаниясы, онлайн окуялардын санынын өсүшүнөн кийин, абдан популярдуу болуп, эксперттер "Zoombombing" деп атаган нерсеге туш болгон. Чабуулчулар, бирок чындыгында кадимки порно троллдор онлайн чаттарга жана онлайн жолугушууларга кошулуп, ар кандай уятсыз видеолорду көрсөтүшкөн. Айтмакчы, ушул сыяктуу коркунучка бүгүн орусиялык компаниялар да туш болуп жатат.
Менимче, көбүбүз пандемиянын учурдагы абалы жөнүндө расмий жана расмий эмес ар кандай ресурстарды дайыма текшерип турабыз. Чабуулчулар бул темадан пайдаланып, бизге коронавирус тууралуу "акыркы" маалыматты, анын ичинде "бийлик сизден жашырып жатат" деген маалыматты сунушташат. Бирок катардагы жөнөкөй колдонуучулар да жакында эле чабуулчуларга “тааныштардан” жана “достордон” текшерилген фактылардын коддорун жөнөтүп жардам берип келишет. Психологдордун айтымында, алардын көз карашына келген нерселердин баарын (айрыкча, мындай коркунучтардан коргоо механизмдери жок социалдык тармактарда жана мессенджерлерде) жөнөткөн «ойготкуч» колдонуучулардын мындай активдүүлүгү аларга каршы күрөштө катышуучу сезүүгө мүмкүндүк берет. глобалдык коркунуч жана атүгүл дүйнөнү коронавирустан сактап калган баатырлардай сезилет. Бирок, тилекке каршы, атайын билимдин жоктугу бул жакшы ниеттердин "баарын тозокко алып баруусуна" алып келет, киберкоопсуздуктун жаңы коркунучтарын жаратып, курмандыктардын санын көбөйтөт.
Чынында, мен коронавируска байланыштуу кибер коркунучтардын мисалдары менен уланта алмакмын; Анын үстүнө, киберкылмышкерлер бир орунда турбай, адамдын кумарларын пайдалануу үчүн барган сайын жаңы жолдорду ойлоп табышат. Бирок биз ушуну менен токтосок болот деп ойлойм. Сүрөт буга чейин эле ачык жана жакынкы келечекте кырдаал мындан да начарлай турганын айтып турат. Кечээ Москва бийлиги он миллион калкы бар шаарды өзүнчө изоляцияга алды. Москва облусунун жана Орусиянын башка көптөгөн аймактарынын бийликтери, ошондой эле мурдагы постсоветтик мейкиндиктеги эң жакын коңшуларыбыз да ушундай кылышкан. Бул киберкылмышкерлер тарабынан бутага алынган потенциалдуу курмандыктардын саны бир нече эсеге көбөйөт дегенди билдирет. Ошондуктан, жакында эле корпоративдик же ведомстволук тармакты коргоого багытталган коопсуздук стратегияңызды кайра карап чыгуу жана сизде кандай коргоо куралдары жетишсиздигин баалоо менен чектелбестен, персоналды маалымдоо программасында келтирилген мисалдарды да эске алуу зарыл. алыскы жумушчулар үчүн маалыматтык коопсуздук системасынын маанилүү бөлүгү болуп калууда. А бул менен сага жардам берүүгө даяр!
PS. Бул материалды даярдоодо Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security жана RiskIQ компанияларынын, АКШнын Юстиция министрлигинин, Bleeping Computer ресурстарынын, SecurityAffairs ж.б. материалдар колдонулган.
Source: www.habr.com