Grupp ta’ theddid APT reċentement ġie skopert bl-użu ta’ kampanji ta’ spear phishing biex jisfruttaw il-pandemija tal-koronavirus biex iqassmu l-malware tagħhom.
Id-dinja bħalissa qed tesperjenza sitwazzjoni eċċezzjonali minħabba l-pandemija attwali tal-koronavirus Covid-19. Biex jippruvaw iwaqqfu t-tixrid tal-virus, numru kbir ta 'kumpaniji madwar id-dinja nedew mod ġdid ta' xogħol mill-bogħod (remot). Dan wessa 'b'mod sinifikanti l-wiċċ tal-attakk, li joħloq sfida kbira għall-kumpaniji f'termini ta' sigurtà tal-informazzjoni, peress li issa jeħtieġ li jistabbilixxu regoli stretti u jieħdu azzjoni. biex tiġi żgurata l-kontinwità tal-operat tal-intrapriża u s-sistemi tal-IT tagħha.
Madankollu, il-wiċċ tal-attakk estiż mhuwiex l-uniku riskju ċibernetiku li ħareġ fl-aħħar jiem: ħafna kriminali ċibernetiċi qed jisfruttaw b’mod attiv din l-inċertezza globali biex iwettqu kampanji ta’ phishing, iqassmu malware u joħolqu theddida għas-sigurtà tal-informazzjoni ta’ ħafna kumpaniji.
APT jisfrutta l-pandemija
Tard il-ġimgħa li għaddiet, ġie skopert grupp ta’ Theddida Persistenti Avvanzata (APT) imsejjaħ Vicious Panda li kien qed iwettaq kampanji kontra , jużaw il-pandemija tal-koronavirus biex ixerrdu l-malware tagħhom. L-email qalet lir-riċevitur li kien fiha informazzjoni dwar il-koronavirus, iżda fil-fatt l-email kien fiha żewġ fajls RTF (Rich Text Format) malizzjużi. Jekk il-vittma fetħet dawn il-fajls, ġie mniedi Remote Access Trojan (RAT) li, fost affarijiet oħra, kien kapaċi jieħu screenshots, joħloq listi ta 'fajls u direttorji fuq il-kompjuter tal-vittma, u tniżżel fajls.
Il-kampanja s’issa kellha fil-mira lis-settur pubbliku tal-Mongolja u, skont xi esperti tal-Punent, tirrappreżenta l-aħħar attakk fl-operazzjoni Ċiniża li għaddejja bħalissa kontra diversi gvernijiet u organizzazzjonijiet madwar id-dinja. Din id-darba, il-partikolarità tal-kampanja hija li qed tuża s-sitwazzjoni globali l-ġdida tal-koronavirus biex tinfetta b'mod aktar attiv lill-vittmi potenzjali tagħha.
L-email ta’ phishing tidher li hi mill-Ministeru tal-Affarijiet Barranin tal-Mongol u tgħid li fiha informazzjoni dwar in-numru ta’ nies infettati bil-virus. Biex jagħmlu dan il-fajl bħala arma, l-attakkanti użaw RoyalRoad, għodda popolari fost dawk li jfasslu t-theddid Ċiniżi li tippermettilhom joħolqu dokumenti personalizzati b'oġġetti inkorporati li jistgħu jisfruttaw vulnerabbiltajiet fl-Editur tal-Ekwazzjoni integrat f'MS Word biex joħolqu ekwazzjonijiet kumplessi.
Tekniki ta' Sopravivenza
Ladarba l-vittma tiftaħ il-fajls RTF malizzjużi, Microsoft Word jisfrutta l-vulnerabbiltà biex jgħabbi l-fajl malizzjuż (intel.wll) fil-folder tal-istartjar tal-Word (%APPDATA%MicrosoftWordSTARTUP). Bl-użu ta 'dan il-metodu, mhux biss it-theddida ssir reżiljenti, iżda wkoll tipprevjeni li l-katina kollha tal-infezzjoni tisplodi meta taħdem f'sandbox, peress li Word trid terġa' tinbeda biex tniedi kompletament il-malware.
Il-fajl intel.wll imbagħad jgħabbi fajl DLL li jintuża biex tniżżel il-malware u jikkomunika mas-server tal-kmand u l-kontroll tal-hacker. Is-server tal-kmand u l-kontroll jopera għal perjodu ta 'żmien strettament limitat kull jum, li jagħmilha diffiċli biex jiġu analizzati u aċċessati l-aktar partijiet kumplessi tal-katina tal-infezzjoni.
Minkejja dan, ir-riċerkaturi setgħu jiddeterminaw li fl-ewwel stadju ta 'din il-katina, immedjatament wara li rċieva l-kmand xieraq, ir-RAT jiġi mgħobbi u decrypted, u d-DLL titgħabba, li titgħabba fil-memorja. L-arkitettura simili għall-plugin tissuġġerixxi li hemm moduli oħra minbarra t-tagħbija li tidher f'din il-kampanja.
Miżuri protettivi kontra APT ġodda
Din il-kampanja malizzjuża tuża diversi tricks biex tinfiltra s-sistemi tal-vittmi tagħha u mbagħad tikkomprometti s-sigurtà tal-informazzjoni tagħhom. Biex tipproteġi lilek innifsek minn kampanji bħal dawn, huwa importanti li tieħu firxa ta 'miżuri.
L-ewwel waħda hija estremament importanti: huwa importanti li l-impjegati jkunu attenti u attenti meta jirċievu emails. L-email huwa wieħed mill-vettori ewlenin tal-attakk, iżda kważi l-ebda kumpanija ma tista 'tgħaddi mingħajr l-email. Jekk tirċievi email minn mittent mhux magħruf, huwa aħjar li ma tiftaħhiex, u jekk tiftaħha, allura ma tiftaħx annessi jew tikklikkja fuq xi links.
Biex tikkomprometti s-sigurtà tal-informazzjoni tal-vittmi tagħha, dan l-attakk jisfrutta vulnerabbiltà fil-Word. Fil-fatt, vulnerabbiltajiet mhux patched huma r-raġuni , u flimkien ma 'kwistjonijiet oħra ta' sigurtà, jistgħu jwasslu għal ksur kbir tad-dejta. Huwa għalhekk li huwa daqshekk importanti li tapplika l-garża xierqa biex tagħlaq il-vulnerabbiltà kemm jista 'jkun malajr.
Biex jiġu eliminati dawn il-problemi, hemm soluzzjonijiet iddisinjati speċifikament għall-identifikazzjoni, . Il-modulu awtomatikament ifittex irqajja' meħtieġa biex jiżgura s-sigurtà tal-kompjuters tal-kumpanija, billi jagħti prijorità lill-aktar aġġornamenti urġenti u jippjana l-installazzjoni tagħhom. Informazzjoni dwar irqajja li jeħtieġu l-installazzjoni tiġi rrappurtata lill-amministratur anke meta jiġu skoperti exploits u malware.
Is-soluzzjoni tista 'tqajjem immedjatament l-installazzjoni ta' garżi u aġġornamenti meħtieġa, jew l-installazzjoni tagħhom tista 'tiġi skedata minn console ta' ġestjoni ċentrali bbażata fuq il-web, jekk ikun meħtieġ iżolat kompjuters mhux imqabbda. Dan il-mod, l-amministratur jista 'jamministra l-irqajja' u l-aġġornamenti biex iżomm il-kumpanija taħdem bla xkiel.
Sfortunatament, l-attakk ċibernetiku inkwistjoni żgur mhux se jkun l-aħħar li jieħu vantaġġ mis-sitwazzjoni attwali tal-koronavirus globali biex jikkomprometti s-sigurtà tal-informazzjoni tan-negozji.
Sors: www.habr.com