Neseniai buvo aptikta APT grėsmių grupė, naudojanti sukčiavimo ietis kampanijas, siekdama išnaudoti koronaviruso pandemiją ir platinti savo kenkėjiškas programas.
Pasaulis šiuo metu išgyvena išskirtinę situaciją dėl dabartinės Covid-19 koronaviruso pandemijos. Siekdamos sustabdyti viruso plitimą, daugybė įmonių visame pasaulyje pradėjo taikyti naują nuotolinio (nuotolinio) darbo režimą. Tai žymiai išplėtė atakų paviršių, o tai įmonėms yra didelis iššūkis informacijos saugumo požiūriu, nes dabar reikia nustatyti griežtas taisykles ir imtis veiksmų.
Tačiau išplėstas atakų paviršius nėra vienintelė kibernetinė rizika, kuri išryškėjo per pastarąsias kelias dienas: daugelis kibernetinių nusikaltėlių aktyviai naudojasi šiuo pasauliniu netikrumu vykdydami sukčiavimo kampanijas, platindami kenkėjiškas programas ir keldami grėsmę daugelio įmonių informacijos saugumui.
APT išnaudoja pandemiją
Praėjusios savaitės pabaigoje buvo aptikta „Advanced Persistent Threat“ (APT) grupė, pavadinta „Vicious Panda“, kuri vykdė kampanijas prieš
Kampanija iki šiol buvo nukreipta į Mongolijos viešąjį sektorių, o kai kurių Vakarų ekspertų teigimu, tai yra naujausias išpuolis per vykstančią Kinijos operaciją prieš įvairias vyriausybes ir organizacijas visame pasaulyje. Šį kartą akcijos ypatumas – pasinaudojama nauja pasauline koronaviruso situacija aktyviau užkrėsti potencialias savo aukas.
Panašu, kad sukčiavimo el. laiškas yra iš Mongolijos užsienio reikalų ministerijos ir teigia, kad jame yra informacijos apie virusu užsikrėtusių žmonių skaičių. Norėdami ginkluoti šį failą, užpuolikai naudojo „RoyalRoad“ – populiarų Kinijos grėsmių kūrėjų įrankį, leidžiantį kurti pasirinktinius dokumentus su įterptais objektais, kurie gali išnaudoti „MS Word“ integruoto lygčių rengyklės pažeidžiamumą ir sukurti sudėtingas lygtis.
Išgyvenimo technikos
Kai auka atidaro kenkėjiškus RTF failus, „Microsoft Word“ išnaudoja pažeidžiamumą, kad įkeltų kenkėjišką failą (intel.wll) į „Word“ paleisties aplanką (%APPDATA%MicrosoftWordSTARTUP). Naudojant šį metodą, grėsmė ne tik tampa atspari, bet ir neleidžia sprogti visai infekcijos grandinei, kai ji veikia smėlio dėžėje, nes „Word“ reikia paleisti iš naujo, kad būtų visiškai paleista kenkėjiška programa.
Tada failas intel.wll įkelia DLL failą, kuris naudojamas kenkėjiškai programai atsisiųsti ir susisiekti su įsilaužėlio komandų ir valdymo serveriu. Komandų ir valdymo serveris kiekvieną dieną veikia griežtai ribotą laiką, todėl sunku analizuoti ir pasiekti sudėtingiausias infekcijos grandinės dalis.
Nepaisant to, tyrėjams pavyko nustatyti, kad pirmajame šios grandinės etape, iškart gavus atitinkamą komandą, yra įkeliamas ir iššifruojamas RAT bei įkeliamas DLL, kuris įkeliamas į atmintį. Į papildinius panaši architektūra rodo, kad be naudingos apkrovos, matomos šioje kampanijoje, yra ir kitų modulių.
Priemonės, apsaugančios nuo naujojo APT
Ši kenkėjiška kampanija naudoja daugybę gudrybių, kad įsiskverbtų į aukų sistemas ir pakenktų jų informacijos saugumui. Norint apsisaugoti nuo tokių kampanijų, svarbu imtis įvairių priemonių.
Pirmasis itin svarbus: darbuotojams svarbu būti dėmesingiems ir atsargiems gaudami el. El. paštas yra vienas pagrindinių atakų vektorių, tačiau beveik nė viena įmonė neapsieina be el. Jei gavote laišką iš nežinomo siuntėjo, geriau jo neatidaryti, o jei atidarote, tada neatidarykite jokių priedų ir nespauskite jokių nuorodų.
Siekdama pakenkti aukų informacijos saugumui, ši ataka išnaudoja Word pažeidžiamumą. Tiesą sakant, priežastis yra nepataisytos spragos
Siekiant pašalinti šias problemas, yra sprendimai, specialiai sukurti identifikavimui,
Sprendimas gali nedelsiant suaktyvinti reikalingų pataisų ir naujinimų diegimą arba jų diegimą galima suplanuoti iš žiniatinklio centrinės valdymo konsolės, jei reikia, atskiriant nepataisytus kompiuterius. Tokiu būdu administratorius gali valdyti pataisas ir naujinimus, kad įmonė veiktų sklandžiai.
Deja, minima kibernetinė ataka tikrai nebus paskutinė, kuri pasinaudos dabartine pasauline koronaviruso situacija, kad pakenktų įmonių informacijos saugumui.
Šaltinis: www.habr.com