Nesen tika atklāta APT draudu grupa, izmantojot pikšķerēšanas kampaņas, lai izmantotu koronavīrusa pandēmiju, lai izplatītu savu ļaunprātīgo programmatūru.
Pasaule šobrīd piedzīvo ārkārtēju situāciju pašreizējās Covid-19 koronavīrusa pandēmijas dēļ. Lai mēģinātu apturēt vīrusa izplatību, liela daļa uzņēmumu visā pasaulē ir ieviesuši jaunu attālinātā (attālā) darba režīmu. Tas ir ievērojami paplašinājis uzbrukuma virsmu, kas uzņēmumiem rada lielu izaicinājumu informācijas drošības ziņā, jo tagad tiem ir jāievieš stingri noteikumi un jārīkojas. nodrošināt uzņēmuma un tā IT sistēmu darbības nepārtrauktību.
Tomēr paplašinātā uzbrukuma virsma nav vienīgais kiberrisks, kas parādījies pēdējo dienu laikā: daudzi kibernoziedznieki aktīvi izmanto šo globālo nenoteiktību, lai rīkotu pikšķerēšanas kampaņas, izplatītu ļaunprātīgu programmatūru un apdraudētu daudzu uzņēmumu informācijas drošību.
APT izmanto pandēmiju
Pagājušās nedēļas beigās tika atklāta Advanced Persistent Threat (APT) grupa ar nosaukumu Vicious Panda, kas veica kampaņas pret , izmantojot koronavīrusa pandēmiju, lai izplatītu savu ļaunprātīgo programmatūru. E-pastā adresātam tika teikts, ka tajā ir informācija par koronavīrusu, taču patiesībā e-pastā bija divi ļaunprātīgi RTF (Rich Text Format) faili. Ja upuris atvēra šos failus, tika palaists attālās piekļuves Trojas zirgs (RAT), kas, cita starpā, varēja uzņemt ekrānuzņēmumus, izveidot failu un direktoriju sarakstus upura datorā un lejupielādēt failus.
Kampaņa līdz šim bijusi vērsta pret Mongolijas publisko sektoru, un, pēc dažu Rietumu ekspertu domām, tā ir jaunākais uzbrukums notiekošajā Ķīnas operācijā pret dažādām valdībām un organizācijām visā pasaulē. Šoreiz kampaņas īpatnība ir tā, ka tā izmanto jauno globālo koronavīrusa situāciju, lai aktīvāk inficētu savus potenciālos upurus.
Šķiet, ka pikšķerēšanas e-pasts ir no Mongolijas Ārlietu ministrijas, un tajā tiek apgalvots, ka tajā ir informācija par ar vīrusu inficēto cilvēku skaitu. Lai bruņotu šo failu, uzbrucēji izmantoja RoyalRoad, populāru rīku Ķīnas draudu veidotāju vidū, kas ļauj viņiem izveidot pielāgotus dokumentus ar iegultiem objektiem, kas var izmantot MS Word integrētā vienādojumu redaktora ievainojamības, lai izveidotu sarežģītus vienādojumus.
Izdzīvošanas metodes
Kad upuris atver ļaunprātīgos RTF failus, Microsoft Word izmanto ievainojamību, lai ielādētu ļaunprātīgo failu (intel.wll) Word startēšanas mapē (%APPDATA%MicrosoftWordSTARTUP). Izmantojot šo metodi, draudi ne tikai kļūst izturīgi, bet arī novērš visas infekcijas ķēdes uzspridzināšanu, darbojoties smilškastē, jo Word ir jārestartē, lai pilnībā palaistu ļaunprātīgu programmatūru.
Pēc tam failā intel.wll tiek ielādēts DLL fails, kas tiek izmantots, lai lejupielādētu ļaunprātīgu programmatūru un sazinātos ar hakeru komandu un vadības serveri. Komandu un kontroles serveris katru dienu darbojas stingri ierobežotu laika periodu, apgrūtinot analīzi un piekļuvi vissarežģītākajām infekcijas ķēdes daļām.
Neskatoties uz to, pētnieki varēja noteikt, ka šīs ķēdes pirmajā posmā uzreiz pēc atbilstošas komandas saņemšanas tiek ielādēts un atšifrēts RAT, un tiek ielādēts DLL, kas tiek ielādēts atmiņā. Spraudņiem līdzīgā arhitektūra liek domāt, ka papildus šajā kampaņā redzamajai slodzei ir arī citi moduļi.
Pasākumi aizsardzībai pret jaunu APT
Šī ļaunprātīgā kampaņa izmanto vairākus trikus, lai iefiltrētos upuru sistēmās un pēc tam apdraudētu viņu informācijas drošību. Lai pasargātu sevi no šādām kampaņām, ir svarīgi veikt virkni pasākumu.
Pirmais ir ārkārtīgi svarīgs: darbiniekiem ir svarīgi būt uzmanīgiem un uzmanīgiem, saņemot e-pastus. E-pasts ir viens no galvenajiem uzbrukuma vektoriem, taču gandrīz neviens uzņēmums nevar iztikt bez e-pasta. Ja saņemat e-pastu no nezināma sūtītāja, labāk to neatvērt, un, ja atverat, tad neatveriet nevienu pielikumu un neklikšķiniet uz kādām saitēm.
Lai apdraudētu upuru informācijas drošību, šis uzbrukums izmanto Word ievainojamību. Faktiski iemesls ir neaizlāgotas ievainojamības , un kopā ar citām drošības problēmām tie var izraisīt lielus datu pārkāpumus. Tāpēc ir tik svarīgi lietot atbilstošu ielāpu, lai pēc iespējas ātrāk aizvērtu ievainojamību.
Lai novērstu šīs problēmas, ir risinājumi, kas īpaši paredzēti identificēšanai, . Modulis automātiski meklē ielāpus, kas nepieciešami, lai nodrošinātu uzņēmuma datoru drošību, piešķirot prioritāti steidzamākajiem atjauninājumiem un plānojot to uzstādīšanu. Informācija par ielāpiem, kuriem nepieciešama instalēšana, tiek ziņots administratoram pat tad, ja tiek atklāti ļaunprātīgas darbības un ļaunprātīga programmatūra.
Risinājums var nekavējoties aktivizēt nepieciešamo ielāpu un atjauninājumu instalēšanu, vai arī to instalēšanu var ieplānot no tīmekļa centrālās pārvaldības konsoles, vajadzības gadījumā izolējot neielāpītus datorus. Tādā veidā administrators var pārvaldīt ielāpus un atjauninājumus, lai nodrošinātu uzņēmuma nevainojamu darbību.
Diemžēl attiecīgais kiberuzbrukums noteikti nebūs pēdējais, kas izmantos pašreizējo globālo koronavīrusa situāciju, lai apdraudētu uzņēmumu informācijas drošību.
Avots: www.habr.com