Onlangs werd een groep APT-bedreigingen ontdekt met behulp van spearphishing-campagnes om de pandemie van het coronavirus te misbruiken om hun malware te verspreiden.
De wereld ervaart momenteel een uitzonderlijke situatie als gevolg van de huidige Covid-19-coronaviruspandemie. Om de verspreiding van het virus een halt toe te roepen, heeft een groot aantal bedrijven over de hele wereld een nieuwe manier van werken op afstand gelanceerd. Dit heeft het aanvalsoppervlak aanzienlijk vergroot, wat een grote uitdaging vormt voor bedrijven op het gebied van informatiebeveiliging, omdat ze nu strikte regels moeten opstellen en actie moeten ondernemen. om de continuïteit van de bedrijfsvoering van de onderneming en haar IT-systemen te garanderen.
Het uitgebreide aanvalsoppervlak is echter niet het enige cyberrisico dat de afgelopen dagen is ontstaan: veel cybercriminelen maken actief misbruik van deze mondiale onzekerheid om phishingcampagnes uit te voeren, malware te verspreiden en een bedreiging te vormen voor de informatiebeveiliging van veel bedrijven.
APT exploiteert de pandemie
Eind vorige week werd een Advanced Persistent Threat (APT)-groep genaamd Vicious Panda ontdekt die campagnes voerde tegen , waarbij ze de coronaviruspandemie gebruiken om hun malware te verspreiden. In de e-mail werd aan de ontvanger verteld dat deze informatie bevatte over het coronavirus, maar in werkelijkheid bevatte de e-mail twee kwaadaardige RTF-bestanden (Rich Text Format). Als het slachtoffer deze bestanden opende, werd een Remote Access Trojan (RAT) gelanceerd, die onder meer schermafbeeldingen kon maken, lijsten met bestanden en mappen op de computer van het slachtoffer kon maken en bestanden kon downloaden.
De campagne was tot nu toe gericht op de publieke sector van Mongolië en vertegenwoordigt volgens sommige westerse experts de nieuwste aanval in de lopende Chinese operatie tegen verschillende regeringen en organisaties over de hele wereld. Het bijzondere van de campagne is deze keer dat deze de nieuwe mondiale situatie van het coronavirus gebruikt om potentiële slachtoffers actiever te infecteren.
De phishing-e-mail lijkt afkomstig te zijn van het Mongoolse ministerie van Buitenlandse Zaken en beweert informatie te bevatten over het aantal mensen dat besmet is met het virus. Om dit bestand te bewapenen, gebruikten de aanvallers RoyalRoad, een populair hulpmiddel onder Chinese bedreigingsmakers waarmee ze aangepaste documenten kunnen maken met ingebedde objecten die kwetsbaarheden in de Vergelijkingseditor die in MS Word is geïntegreerd, kunnen misbruiken om complexe vergelijkingen te creëren.
Overlevingstechnieken
Zodra het slachtoffer de kwaadaardige RTF-bestanden opent, misbruikt Microsoft Word de kwetsbaarheid om het kwaadaardige bestand (intel.wll) in de opstartmap van Word (%APPDATA%MicrosoftWordSTARTUP) te laden. Met behulp van deze methode wordt de dreiging niet alleen veerkrachtig, maar wordt ook voorkomen dat de hele infectieketen ontploft wanneer deze in een sandbox wordt uitgevoerd, omdat Word opnieuw moet worden opgestart om de malware volledig te lanceren.
Het intel.wll-bestand laadt vervolgens een DLL-bestand dat wordt gebruikt om de malware te downloaden en te communiceren met de command-and-control-server van de hacker. De commando- en controleserver werkt elke dag gedurende een strikt beperkte periode, waardoor het moeilijk wordt om de meest complexe delen van de infectieketen te analyseren en er toegang toe te krijgen.
Desondanks konden de onderzoekers vaststellen dat in de eerste fase van deze keten, onmiddellijk na ontvangst van het juiste commando, de RAT wordt geladen en gedecodeerd, en de DLL wordt geladen, die in het geheugen wordt geladen. De plug-inachtige architectuur suggereert dat er naast de payload die in deze campagne te zien is, nog andere modules zijn.
Maatregelen ter bescherming tegen nieuwe APT
Deze kwaadaardige campagne maakt gebruik van meerdere trucs om de systemen van de slachtoffers te infiltreren en vervolgens hun informatiebeveiliging in gevaar te brengen. Om jezelf tegen dergelijke campagnes te beschermen, is het belangrijk om een aantal maatregelen te nemen.
De eerste is uiterst belangrijk: het is belangrijk dat medewerkers oplettend en voorzichtig zijn bij het ontvangen van e-mails. E-mail is een van de belangrijkste aanvalsvectoren, maar bijna geen enkel bedrijf kan zonder e-mail. Als u een e-mail ontvangt van een onbekende afzender, kunt u deze beter niet openen. Als u deze toch opent, open dan geen bijlagen en klik niet op links.
Om de informatiebeveiliging van de slachtoffers in gevaar te brengen, maakt deze aanval gebruik van een kwetsbaarheid in Word. In feite zijn niet-gepatchte kwetsbaarheden de reden , en samen met andere beveiligingsproblemen kunnen ze leiden tot grote datalekken. Daarom is het zo belangrijk om de juiste patch toe te passen om de kwetsbaarheid zo snel mogelijk te dichten.
Om deze problemen te elimineren, zijn er oplossingen die specifiek zijn ontworpen voor identificatie, . De module zoekt automatisch naar patches die nodig zijn om de veiligheid van bedrijfscomputers te garanderen, geeft prioriteit aan de meest urgente updates en plant de installatie ervan. Informatie over patches die installatie vereisen, wordt aan de beheerder gerapporteerd, zelfs wanneer exploits en malware worden gedetecteerd.
De oplossing kan onmiddellijk de installatie van de vereiste patches en updates activeren, of de installatie ervan kan worden gepland vanaf een webgebaseerde centrale beheerconsole, waarbij indien nodig niet-gepatchte computers worden geïsoleerd. Op deze manier kan de beheerder patches en updates beheren om het bedrijf soepel te laten draaien.
Helaas zal de cyberaanval in kwestie zeker niet de laatste zijn die misbruik maakt van de huidige wereldwijde coronavirussituatie om de informatiebeveiliging van bedrijven in gevaar te brengen.
Bron: www.habr.com