Vondrona fandrahonana APT no hita vao haingana tamin'ny fampiasana fampielezan-kevitra phishing lefona mba hanararaotra ny areti-mifindra amin'ny coronavirus mba hizarana ny malware.
Misedra toe-javatra miavaka izao tontolo izao noho ny valan'aretina Covid-19 amin'izao fotoana izao. Mba hanandramana hampitsahatra ny fihanaky ny viriosy, orinasa marobe eran'izao tontolo izao no nanangana fomba fiasa vaovao amin'ny asa lavitra (lavitra). Izany dia nanitatra be ny fanafihan'ny fanafihana, izay mametraka fanamby lehibe ho an'ny orinasa eo amin'ny lafiny fiarovana ny fampahalalam-baovao, satria mila mametraka fitsipika henjana sy mandray fepetra izy ireo ankehitriny. mba hiantohana ny fitohizan'ny fiasan'ny orinasa sy ny rafitra IT.
Na izany aza, tsy ny fisian'ny fanafihana miitatra ihany no loza mitatao amin'ny cyber niseho tato anatin'ny andro vitsivitsy: mpanao heloka bevava an-tserasera maro no mazoto manararaotra ity fisalasalana manerantany ity mba hanaovana fampielezan-kevitra phishing, fizarana malware ary manohintohina ny fiarovana ny vaovaon'ny orinasa maro.
APT dia manararaotra ny areti-mifindra
Tamin'ny faran'ny herinandro lasa teo, vondrona Advanced Persistent Threat (APT) antsoina hoe Vicious Panda no hita fa nanao fanentanana hanoherana. , mampiasa ny areti-mifindra coronavirus hanaparitahana ny malware. Ny mailaka dia nilaza tamin'ny mpandray fa misy fampahalalana momba ny coronavirus, fa raha ny marina dia misy rakitra RTF (Rich Text Format) roa ratsy ilay mailaka. Raha nanokatra ireo rakitra ireo ilay niharam-boina, dia natomboka ny Remote Access Trojan (RAT), izay, ankoatra ny zavatra hafa, dia afaka naka pikantsary, namorona lisitr'ireo rakitra sy lahatahiry tao amin'ny solosain'ilay niharam-boina, ary misintona rakitra.
Ny fampielezan-kevitra hatreto dia mikendry ny sehatra ho an'ny daholobe ao Mongolia ary, araka ny filazan'ny manampahaizana tandrefana sasany, dia maneho ny fanafihana farany amin'ny hetsika ataon'ny Shinoa amin'ny governemanta sy fikambanana samihafa manerana izao tontolo izao. Tamin'ity indray mitoraka ity, ny mampiavaka ny fampielezan-kevitra dia ny fampiasana ny toe-javatra vaovao coronavirus maneran-tany mba hamelezana ireo mety ho tra-boina.
Toa avy amin'ny Minisiteran'ny Raharaham-bahiny Mongoliana ny mailaka phishing ary milaza fa misy fampahalalana momba ny isan'ny olona voan'ny virus. Mba hanamafisana ity rakitra ity dia nampiasa ny RoyalRoad ireo mpanafika, fitaovana malaza eo amin'ireo mpanamboatra fandrahonana Shinoa izay ahafahan'izy ireo mamorona antontan-taratasy manokana miaraka amin'ny zavatra mipetaka izay afaka manararaotra ny vulnerabilities ao amin'ny Equation Editor nampidirina ao amin'ny MS Word mba hamoronana fampitoviana sarotra.
Teknika fahavelomana
Raha vantany vao manokatra ny rakitra RTF maloto ilay niharam-boina, dia manararaotra ny vulnerability ny Microsoft Word hampiditra ilay rakitra ratsy (intel.wll) ao amin'ny lahatahiry fanombohana Word (%APPDATA%MicrosoftWordSTARTUP). Amin'ny fampiasana an'io fomba io, tsy vitan'ny hoe mihamalemy ny fandrahonana, fa manakana ny rojon'ny otrikaretina manontolo tsy hipoaka rehefa mihazakazaka ao anaty boaty fasika, satria tsy maintsy atomboka ny Word vao manomboka tanteraka ny malware.
Ny rakitra intel.wll avy eo dia mametaka rakitra DLL izay ampiasaina amin'ny fampidinana ny malware sy hifandraisana amin'ny baikon'ny mpijirika sy mpifehy. Ny mpizara baiko sy fanaraha-maso dia miasa mandritra ny fe-potoana voafetra isan'andro, ka sarotra ny mamakafaka sy miditra amin'ireo faritra sarotra indrindra amin'ny rojo otrikaretina.
Na dia teo aza izany, ny mpikaroka dia afaka nanapa-kevitra fa amin'ny dingana voalohany amin'ity rojo ity, avy hatrany rehefa nahazo ny baiko mifanaraka amin'izany, ny RAT dia entina sy decrypted, ary ny DLL dia entina, izay ampidirina ao amin'ny fitadidiana. Ny maritrano mitovy amin'ny plugin dia manoro hevitra fa misy maody hafa ankoatra ny enta-mavesatra hita amin'ity fanentanana ity.
Fepetra hiarovana amin'ny APT vaovao
Mampiasa tetika maro ity fampielezan-kevitra ratsy ity mba hidirana amin'ny rafitr'ireo niharam-boina ary avy eo hanimba ny fiarovana ny mombamomba azy ireo. Mba hiarovana ny tenanao amin'ny fanentanana toy izany dia zava-dehibe ny fandraisana fepetra isan-karazany.
Ny voalohany dia tena zava-dehibe: zava-dehibe ho an'ny mpiasa ny mitandrina sy mitandrina rehefa mandray mailaka. Ny mailaka dia iray amin'ireo vectors fanafihana lehibe indrindra, saingy saika tsy misy orinasa afaka manao raha tsy misy mailaka. Raha mahazo mailaka avy amin'ny mpandefa tsy fantatra ianao dia tsara kokoa ny tsy manokatra azy, ary raha manokatra azy ianao dia aza manokatra attachment na tsindrio ny rohy.
Mba hampandeferana ny fiarovana ny fampahalalam-baovaon'ireo niharam-boina, ity fanafihana ity dia manararaotra ny vulnerable ao amin'ny Word. Raha ny marina, ny vulnerability tsy voafehy no antony , ary miaraka amin'ny olana hafa momba ny fiarovana, mety hitarika amin'ny fanitsakitsahana ny angon-drakitra lehibe izy ireo. Izany no antony maha-zava-dehibe ny fampiharana ny patch mety hanakatona ny vulnerable faran'izay haingana.
Mba hanafoanana ireo olana ireo dia misy vahaolana natao manokana ho famantarana, . Ny maody dia mikaroka ho azy ireo paty ilaina mba hiantohana ny fiarovana ny solosainan'ny orinasa, manao laharam-pahamehana ny fanavaozana maika indrindra sy ny fandaharam-potoana ny fametrahana azy. Ny fampahafantarana momba ny paty mila fametrahana dia taterina amin'ny mpitantana na dia hita aza ny fanararaotana sy ny malware.
Ny vahaolana dia afaka manetsika avy hatrany ny fametrahana ny patch sy ny fanavaozana ilaina, na ny fametrahana azy ireo dia azo alaina avy amin'ny console fitantanana foibe mifototra amin'ny tranonkala, raha ilaina ny manasaraka ireo solosaina tsy voafehy. Amin'izany fomba izany, ny mpitantana dia afaka mitantana ny patch sy ny fanavaozana mba hitazonana ny orinasa handeha tsara.
Mampalahelo fa ny fanafihana an-tserasera resahina dia azo antoka fa tsy ny farany hanararaotra ny toe-draharaha coronavirus manerantany amin'izao fotoana izao mba hampandeferana ny fiarovana ny vaovaon'ny orinasa.
Source: www.habr.com