Eng Grupp vun APT Bedrohungen gouf viru kuerzem entdeckt mat Spear Phishing Kampagnen fir d'Coronavirus Pandemie auszenotzen fir hir Malware ze verdeelen.
D'Welt erliewt de Moment eng aussergewéinlech Situatioun wéinst der aktueller Covid-19 Coronavirus Pandemie. Fir ze probéieren d'Verbreedung vum Virus ze stoppen, hunn eng grouss Zuel vu Firmen weltwäit en neie Modus vu Fern- (Fern)aarbecht lancéiert. Dëst huet d'Attackfläch wesentlech erweidert, wat fir d'Entreprisen eng grouss Erausfuerderung fir d'Informatiounssécherheet stellt, well se elo strikt Reegele musse festleeën an handelen.
Wéi och ëmmer, déi erweidert Attackefläch ass net deen eenzegen Cyber-Risiko, deen an de leschten Deeg entstanen ass: Vill Cyber-Krimineller exploitéieren aktiv dës global Onsécherheet fir Phishing-Campagnen ze maachen, Malware ze verdeelen an eng Gefor fir d'Informatiounssécherheet vu ville Firmen ze stellen.
APT exploitéiert d'Pandemie
Spéit d'lescht Woch gouf eng Advanced Persistent Threat (APT) Grupp genannt Vicious Panda entdeckt déi Kampagnen géint
D'Campagne huet bis elo den ëffentleche Secteur vu Mongolei gezielt, a laut e puer westlechen Experten representéiert se déi lescht Attack an der lafender chinesescher Operatioun géint verschidde Regierungen an Organisatiounen ronderëm d'Welt. Dës Kéier ass d'Besonderheet vun der Kampagne datt et déi nei global Coronavirus Situatioun benotzt fir méi aktiv seng potenziell Affer ze infizéieren.
D'Phishing-E-Mail schéngt vum mongoleschen Ausseministère ze kommen a behaapt Informatiounen iwwer d'Zuel vu Leit, déi mam Virus infizéiert sinn, ze enthalen. Fir dës Datei ze bewaffnen, hunn d'Attacker RoyalRoad benotzt, e populär Tool ënner chinesesche Bedrohungshersteller, deen hinnen erlaabt personaliséiert Dokumenter mat embedded Objeten ze kreéieren déi Schwachstelle kënnen am Equation Editor integréiert an MS Word ausnotzen fir komplex Equatiounen ze kreéieren.
Iwwerliewe Techniken
Wann d'Affer déi béiswëlleg RTF-Dateien opmaacht, exploitéiert Microsoft Word d'Schwachheet fir déi béiswëlleg Datei (intel.wll) an de Word Startup-Ordner (%APPDATA%MicrosoftWordSTARTUP) ze lueden. Mat dëser Methode gëtt net nëmmen d'Drohung elastesch, awer et verhënnert och datt d'ganz Infektiounskette detonéiert wann se an enger Sandkëscht lafen, well Word muss nei gestart ginn fir d'Malware komplett ze starten.
D'intel.wll-Datei lued dann eng DLL-Datei déi benotzt gëtt fir d'Malware erofzelueden a mat dem Kommando- a Kontrollserver vum Hacker ze kommunizéieren. De Kommando- a Kontrollserver funktionnéiert all Dag fir eng strikt limitéiert Zäit, sou datt et schwéier ass ze analyséieren an op déi komplexsten Deeler vun der Infektiounskette ze kommen.
Trotzdem konnten d'Fuerscher feststellen datt an der éischter Etapp vun dëser Kette, direkt nodeems de passende Kommando kritt ass, de RAT gelueden an dekryptéiert gëtt, an d'DLL gelueden, déi an d'Erënnerung gelueden ass. D'Plugin-ähnlech Architektur suggeréiert datt et aner Moduler zousätzlech zu der Notzlaascht an dëser Kampagne gesi ginn.
Schutzmoossname géint nei APT
Dës béiswëlleg Kampagne benotzt verschidde Tricken fir seng Affer Systemer ze infiltréieren an dann hir Informatiounssécherheet kompromittéieren. Fir Iech virun esou Campagnen ze schützen, ass et wichteg eng Rei vu Moossnamen ze huelen.
Déi éischt ass extrem wichteg: et ass wichteg fir Mataarbechter opmierksam a virsiichteg ze sinn wann se E-Mail kréien. E-Mail ass ee vun den Haaptattackvektoren, awer bal keng Firma kann ouni E-Mail maachen. Wann Dir eng E-Mail vun engem onbekannte Sender kritt, ass et besser net opzemaachen, a wann Dir se opmaacht, da maach keng Uschlëss op oder klickt op Linken.
Fir d'Informatiounssécherheet vu sengen Affer ze kompromittéieren, exploitéiert dësen Attack eng Schwachstelle am Word. Tatsächlech sinn onpatched Schwachstelle de Grond
Fir dës Probleemer ze eliminéieren, ginn et Léisunge speziell fir Identifikatioun entwéckelt,
D'Léisung kann direkt d'Installatioun vun erfuerderleche Patches an Updates ausléisen, oder hir Installatioun kann aus enger webbaséierter zentraler Gestiounskonsole geplangt ginn, wann néideg, onpatched Computeren isoléieren. Op dës Manéier kann den Administrateur Patches an Updates verwalten fir d'Firma glat ze halen.
Leider wäert d'Cyberattack a Fro sécher net dee leschte sinn fir vun der aktueller globaler Coronavirus Situatioun ze profitéieren fir d'Informatiounssécherheet vun de Geschäfter ze kompromittéieren.
Source: will.com