APT-ийн аюул заналхийллийг вирусын тахал өвчнийг ашиглан өөрийн хортой программыг түгээх зорилгоор жад фишинг кампанит ажил ашиглан саяхан илрүүлсэн.
Одоогийн байдлаар Ковид-19 коронавирусын тахлын улмаас дэлхий нийт онцгой нөхцөл байдалтай тулгараад байна. Вирусын тархалтыг зогсоохыг оролдохын тулд дэлхий даяар олон тооны компаниуд алсын зайнаас (алсын) ажлын шинэ горимыг эхлүүлсэн. Энэ нь довтолгооны гадаргууг ихээхэн өргөжүүлсэн бөгөөд энэ нь компаниудад мэдээллийн аюулгүй байдлын хувьд томоохон сорилт болж байна, учир нь тэд одоо хатуу дүрэм журам тогтоож, арга хэмжээ авах шаардлагатай байна. аж ахуйн нэгж, түүний мэдээллийн технологийн системийн тасралтгүй ажиллагааг хангах.
Гэсэн хэдий ч халдлагад өртөх нь сүүлийн хэдэн өдөр гарч ирсэн цорын ганц кибер эрсдэл биш: олон кибер гэмт хэрэгтнүүд фишинг кампанит ажил явуулах, хортой програм түгээх, олон компанийн мэдээллийн аюулгүй байдалд заналхийлэх зорилгоор дэлхийн энэхүү тодорхойгүй байдлыг идэвхтэй ашиглаж байна.
APT тахал өвчнийг ашиглаж байна
Өнгөрсөн долоо хоногийн сүүлээр "Vicious Panda" нэртэй "Advanced Persistent Threat" (APT) бүлэглэлийн эсрэг кампанит ажил явуулж байсныг илрүүлжээ. , коронавирусын тахал өвчнийг ашиглан хортой програмаа түгээх. Имэйл нь хүлээн авагчид коронавирусын тухай мэдээлэл агуулсан гэж хэлсэн боловч үнэн хэрэгтээ энэ имэйл нь RTF (Rich Text Format) хоёр хортой файл агуулж байна. Хэрэв хохирогч эдгээр файлыг нээсэн бол дэлгэцийн агшинг авах, хохирогчийн компьютер дээрх файл, лавлах жагсаалт үүсгэх, файл татаж авах боломжтой Remote Access Trojan (RAT) програмыг ажиллуулсан.
Энэхүү кампанит ажил нь өнөөг хүртэл Монголын төрийн салбарыг онилсон бөгөөд барууны зарим шинжээчдийн үзэж байгаагаар энэ нь дэлхий даяар янз бүрийн засгийн газар, байгууллагуудын эсрэг явуулж буй Хятадын ажиллагааны хамгийн сүүлийн дайралт юм. Энэ удаагийн кампанит ажлын онцлог нь дэлхийн шинэ коронавирусын нөхцөл байдлыг ашиглаж болзошгүй хохирогчдод илүү идэвхтэй халдварлах явдал юм.
Энэхүү фишинг цахим шуудан нь Монгол Улсын Гадаад хэргийн яамнаас ирсэн бололтой бөгөөд вирусын халдвар авсан хүний тоотой холбоотой мэдээллийг агуулсан гэж мэдэгджээ. Энэ файлыг зэвсэг болгохын тулд халдагчид MS Word-д нэгтгэсэн Equation Editor-ийн эмзэг байдлыг ашиглан нарийн төвөгтэй тэгшитгэл үүсгэх боломжтой суулгагдсан объект бүхий захиалгат баримт бичгийг үүсгэх боломжийг олгодог RoyalRoad хэмээх Хятадын аюул үйлдвэрлэгчдийн дунд түгээмэл хэрэглүүрийг ашигласан.
Амьд үлдэх арга техник
Хохирогч хортой RTF файлуудыг нээмэгц Microsoft Word нь Word эхлүүлэх хавтсанд (%APPDATA%MicrosoftWordSTARTUP) хортой файлыг (intel.wll) ачаалахын тулд эмзэг байдлыг ашигладаг. Энэ аргыг ашигласнаар аюул нь тэсвэрлэх чадвартай төдийгүй хамгаалагдсан орчинд ажиллаж байх үед халдварын гинжин хэлхээг бүхэлд нь тэсрэхээс сэргийлдэг, учир нь хортой програмыг бүрэн эхлүүлэхийн тулд Word програмыг дахин эхлүүлэх шаардлагатай.
Дараа нь intel.wll файл нь хортой програмыг татаж авах, хакерын команд болон удирдлагын сервертэй холбогдоход хэрэглэгддэг DLL файлыг ачаална. Тушаал болон хяналтын сервер нь өдөр бүр тодорхой хязгаарлагдмал хугацаанд ажилладаг тул халдварын гинжин хэлхээний хамгийн төвөгтэй хэсгүүдэд дүн шинжилгээ хийх, хандахад хэцүү болгодог.
Гэсэн хэдий ч судлаачид энэ гинжин хэлхээний эхний үе шатанд тохирох командыг хүлээн авсны дараа шууд RAT ачаалагдаж, шифрлэгдэж, санах ойд ачаалагдсан DLL-г ачаалдаг болохыг тогтоожээ. Plugin шиг архитектур нь энэ кампанит ажилд харагдах ачааллаас гадна өөр модулиуд байгааг харуулж байна.
Шинэ APT-аас хамгаалах арга хэмжээ
Энэхүү хорлонтой кампанит ажил нь хохирогчдын системд нэвтэрч, улмаар мэдээллийн аюулгүй байдлыг нь алдагдуулахын тулд олон заль мэх ашигладаг. Ийм кампанит ажлаас өөрийгөө хамгаалахын тулд олон төрлийн арга хэмжээ авах нь чухал юм.
Эхнийх нь маш чухал: ажилтнууд имэйл хүлээн авахдаа анхааралтай, болгоомжтой байх нь чухал юм. Имэйл бол халдлагын гол векторуудын нэг боловч цахим шуудангүйгээр бараг ямар ч компани чадахгүй. Хэрэв танд үл мэдэгдэх илгээгчээс имэйл ирсэн бол нээхгүй байх нь дээр бөгөөд хэрэв та үүнийг нээвэл хавсралтыг бүү нээ, ямар ч холбоос дээр дар.
Энэхүү халдлага нь хохирогчдын мэдээллийн аюулгүй байдлыг алдагдуулахын тулд Word програмын эмзэг байдлыг ашигладаг. Үнэн хэрэгтээ, засвар хийгдээгүй сул талууд нь шалтгаан болдог , мөн бусад аюулгүй байдлын асуудлуудын хамт тэдгээр нь мэдээллийн томоохон зөрчилд хүргэж болзошгүй. Ийм учраас эмзэг байдлыг аль болох хурдан арилгахын тулд зохих нөхөөсийг хэрэглэх нь маш чухал юм.
Эдгээр асуудлыг арилгахын тулд тодорхойлоход тусгайлан зориулсан шийдлүүд байдаг. . Модуль нь компанийн компьютерийн аюулгүй байдлыг хангахад шаардлагатай засваруудыг автоматаар хайж, хамгийн яаралтай шинэчлэлтүүдийг эрэмбэлж, суулгах хуваарийг гаргадаг. Суулгах шаардлагатай засваруудын талаарх мэдээллийг мөлжлөг болон хортой програм илрүүлсэн ч админд мэдээлдэг.
Энэхүү шийдэл нь шаардлагатай засварууд болон шинэчлэлтүүдийг суулгах ажлыг нэн даруй эхлүүлэх эсвэл шаардлагатай бол засварлаагүй компьютеруудыг тусгаарлах замаар вэбд суурилсан удирдлагын төв консолоос суулгаж болно. Ингэснээр администратор компанийг хэвийн ажиллуулахын тулд засварууд болон шинэчлэлтүүдийг удирдах боломжтой.
Харамсалтай нь кибер халдлага нь дэлхийн өнөөгийн коронавирусын нөхцөл байдлыг ашиглан бизнесийн мэдээллийн аюулгүй байдлыг алдагдуулах сүүлчийн халдлага биш байх нь дамжиггүй.
Эх сурвалж: www.habr.com