Sekumpulan ancaman APT baru-baru ini ditemui menggunakan kempen pancingan lembing untuk mengeksploitasi wabak coronavirus untuk mengedarkan perisian hasad mereka.
Dunia kini sedang mengalami situasi yang luar biasa akibat pandemik coronavirus Covid-19. Untuk cuba menghentikan penyebaran virus, sebilangan besar syarikat di seluruh dunia telah melancarkan mod kerja jauh (jauh) baharu. Ini telah meluaskan permukaan serangan dengan ketara, yang menimbulkan cabaran besar bagi syarikat dari segi keselamatan maklumat, kerana mereka kini perlu menetapkan peraturan yang ketat dan mengambil tindakan. untuk memastikan kesinambungan operasi perusahaan dan sistem ITnya.
Walau bagaimanapun, permukaan serangan yang diperluaskan bukanlah satu-satunya risiko siber yang telah muncul dalam beberapa hari kebelakangan ini: ramai penjenayah siber secara aktif mengeksploitasi ketidakpastian global ini untuk menjalankan kempen pancingan data, mengedar perisian hasad dan menimbulkan ancaman kepada keselamatan maklumat banyak syarikat.
APT mengeksploitasi wabak itu
Lewat minggu lepas, kumpulan Advanced Persistent Threat (APT) yang dipanggil Vicious Panda telah ditemui yang sedang menjalankan kempen menentang , menggunakan wabak coronavirus untuk menyebarkan perisian hasad mereka. E-mel itu memberitahu penerima ia mengandungi maklumat tentang coronavirus, tetapi sebenarnya e-mel itu mengandungi dua fail RTF (Format Teks Kaya) yang berniat jahat. Jika mangsa membuka fail ini, Trojan Akses Jauh (RAT) telah dilancarkan, yang, antara lain, mampu mengambil tangkapan skrin, mencipta senarai fail dan direktori pada komputer mangsa dan memuat turun fail.
Kempen itu setakat ini menyasarkan sektor awam Mongolia, dan menurut beberapa pakar Barat, ia mewakili serangan terbaru dalam operasi berterusan China terhadap pelbagai kerajaan dan organisasi di seluruh dunia. Kali ini, keistimewaan kempen itu ialah ia menggunakan situasi coronavirus global baharu untuk lebih aktif menjangkiti bakal mangsanya.
E-mel pancingan data itu nampaknya berasal dari Kementerian Luar Negeri Mongolia dan mendakwa mengandungi maklumat tentang bilangan orang yang dijangkiti virus itu. Untuk mempersenjatai fail ini, penyerang menggunakan RoyalRoad, alat popular di kalangan pembuat ancaman China yang membolehkan mereka mencipta dokumen tersuai dengan objek terbenam yang boleh mengeksploitasi kelemahan dalam Editor Persamaan yang disepadukan ke dalam MS Word untuk mencipta persamaan yang kompleks.
Teknik Survival
Sebaik sahaja mangsa membuka fail RTF berniat jahat, Microsoft Word mengeksploitasi kelemahan untuk memuatkan fail berniat jahat (intel.wll) ke dalam folder permulaan Word (%APPDATA%MicrosoftWordSTARTUP). Menggunakan kaedah ini, bukan sahaja ancaman menjadi berdaya tahan, tetapi ia juga menghalang keseluruhan rantaian jangkitan daripada meletup apabila berjalan dalam kotak pasir, kerana Word mesti dimulakan semula untuk melancarkan sepenuhnya perisian hasad.
Fail intel.wll kemudiannya memuatkan fail DLL yang digunakan untuk memuat turun perisian hasad dan berkomunikasi dengan pelayan arahan dan kawalan penggodam. Pelayan arahan dan kawalan beroperasi untuk tempoh masa yang sangat terhad setiap hari, menjadikannya sukar untuk menganalisis dan mengakses bahagian paling kompleks rantaian jangkitan.
Walaupun begitu, para penyelidik dapat menentukan bahawa pada peringkat pertama rantaian ini, sejurus selepas menerima arahan yang sesuai, RAT dimuatkan dan dinyahsulit, dan DLL dimuatkan, yang dimuatkan ke dalam ingatan. Seni bina seperti pemalam menunjukkan bahawa terdapat modul lain sebagai tambahan kepada muatan yang dilihat dalam kempen ini.
Langkah-langkah untuk melindungi daripada APT baharu
Kempen berniat jahat ini menggunakan pelbagai helah untuk menyusup ke sistem mangsanya dan kemudian menjejaskan keselamatan maklumat mereka. Untuk melindungi diri anda daripada kempen sedemikian, adalah penting untuk mengambil pelbagai langkah.
Yang pertama adalah sangat penting: adalah penting bagi pekerja untuk berhati-hati dan berhati-hati apabila menerima e-mel. E-mel adalah salah satu vektor serangan utama, tetapi hampir tiada syarikat boleh melakukannya tanpa e-mel. Jika anda menerima e-mel daripada pengirim yang tidak dikenali, lebih baik jangan membukanya, dan jika anda membukanya, maka jangan buka sebarang lampiran atau klik pada sebarang pautan.
Untuk menjejaskan keselamatan maklumat mangsanya, serangan ini mengeksploitasi kelemahan dalam Word. Malah, kelemahan yang tidak ditambal adalah sebabnya , dan bersama-sama dengan isu keselamatan lain, ia boleh membawa kepada pelanggaran data yang besar. Inilah sebabnya mengapa sangat penting untuk menggunakan tampalan yang sesuai untuk menutup kelemahan secepat mungkin.
Untuk menghapuskan masalah ini, terdapat penyelesaian yang direka khusus untuk pengenalpastian, . Modul secara automatik mencari patch yang diperlukan untuk memastikan keselamatan komputer syarikat, mengutamakan kemas kini yang paling mendesak dan menjadualkan pemasangannya. Maklumat tentang patch yang memerlukan pemasangan dilaporkan kepada pentadbir walaupun eksploitasi dan perisian hasad dikesan.
Penyelesaian itu boleh mencetuskan pemasangan tampalan dan kemas kini yang diperlukan serta-merta, atau pemasangannya boleh dijadualkan daripada konsol pengurusan pusat berasaskan web, jika perlu mengasingkan komputer yang tidak ditambal. Dengan cara ini, pentadbir boleh mengurus tampung dan kemas kini untuk memastikan syarikat berjalan lancar.
Malangnya, serangan siber yang dimaksudkan pastinya bukan yang terakhir yang mengambil kesempatan daripada situasi coronavirus global semasa untuk menjejaskan keselamatan maklumat perniagaan.
Sumber: www.habr.com