En gruppe APT-trusler ble nylig oppdaget ved å bruke spyd-phishing-kampanjer for å utnytte koronaviruspandemien til å distribuere skadelig programvare.
Verden opplever for tiden en eksepsjonell situasjon på grunn av den nåværende Covid-19 koronaviruspandemien. For å prøve å stoppe spredningen av viruset har et stort antall selskaper over hele verden lansert en ny modus for eksternt (eksternt) arbeid. Dette har utvidet angrepsflaten betydelig, noe som utgjør en stor utfordring for bedrifter når det gjelder informasjonssikkerhet, siden de nå må etablere strenge regler og ta grep. å sikre kontinuitet i driften av virksomheten og dens IT-systemer.
Den utvidede angrepsoverflaten er imidlertid ikke den eneste cyberrisikoen som har dukket opp de siste dagene: mange cyberkriminelle utnytter aktivt denne globale usikkerheten til å gjennomføre phishing-kampanjer, distribuere skadevare og utgjøre en trussel mot informasjonssikkerheten til mange selskaper.
APT utnytter pandemien
Sent i forrige uke ble en Advanced Persistent Threat (APT)-gruppe kalt Vicious Panda oppdaget som gjennomførte kampanjer mot bruker koronaviruspandemien for å spre skadelig programvare. E-posten fortalte mottakeren at den inneholdt informasjon om koronaviruset, men faktisk inneholdt e-posten to ondsinnede RTF-filer (Rich Text Format). Hvis offeret åpnet disse filene, ble en Remote Access Trojan (RAT) lansert, som blant annet var i stand til å ta skjermbilder, lage lister over filer og kataloger på offerets datamaskin og laste ned filer.
Kampanjen har så langt rettet seg mot Mongolias offentlige sektor, og ifølge noen vestlige eksperter representerer den det siste angrepet i den pågående kinesiske operasjonen mot ulike regjeringer og organisasjoner rundt om i verden. Denne gangen er det særegne ved kampanjen at den bruker den nye globale koronavirussituasjonen til å infisere potensielle ofre mer aktivt.
Phishing-e-posten ser ut til å være fra det mongolske utenriksdepartementet og hevder å inneholde informasjon om antall personer som er smittet med viruset. For å bevæpne denne filen brukte angriperne RoyalRoad, et populært verktøy blant kinesiske trusselskapere som lar dem lage tilpassede dokumenter med innebygde objekter som kan utnytte sårbarheter i Equation Editor integrert i MS Word for å lage komplekse ligninger.
Overlevelsesteknikker
Når offeret åpner de ondsinnede RTF-filene, utnytter Microsoft Word sårbarheten til å laste den ondsinnede filen (intel.wll) inn i Word-oppstartsmappen (%APPDATA%MicrosoftWordSTARTUP). Ved å bruke denne metoden blir trusselen ikke bare motstandsdyktig, men den forhindrer også at hele infeksjonskjeden detonerer når den kjøres i en sandkasse, siden Word må startes på nytt for å starte skadevaren fullt ut.
Intel.wll-filen laster deretter en DLL-fil som brukes til å laste ned skadelig programvare og kommunisere med hackerens kommando- og kontrollserver. Kommando- og kontrollserveren opererer i en strengt begrenset periode hver dag, noe som gjør det vanskelig å analysere og få tilgang til de mest komplekse delene av infeksjonskjeden.
Til tross for dette var forskerne i stand til å fastslå at i den første fasen av denne kjeden, umiddelbart etter å ha mottatt den riktige kommandoen, blir RAT lastet og dekryptert, og DLL blir lastet, som lastes inn i minnet. Den plugin-lignende arkitekturen antyder at det er andre moduler i tillegg til nyttelasten som er sett i denne kampanjen.
Beskyttelsestiltak mot ny APT
Denne ondsinnede kampanjen bruker flere triks for å infiltrere ofrenes systemer og deretter kompromittere informasjonssikkerheten deres. For å beskytte deg mot slike kampanjer er det viktig å iverksette en rekke tiltak.
Den første er ekstremt viktig: det er viktig for ansatte å være oppmerksomme og forsiktige når de mottar e-post. E-post er en av de viktigste angrepsvektorene, men nesten ingen bedrifter kan klare seg uten e-post. Hvis du mottar en e-post fra en ukjent avsender, er det bedre å ikke åpne den, og hvis du åpner den, ikke åpne noen vedlegg eller klikk på noen lenker.
For å kompromittere informasjonssikkerheten til ofrene, utnytter dette angrepet en sårbarhet i Word. Faktisk er uopprettede sårbarheter årsaken , og sammen med andre sikkerhetsproblemer kan de føre til store datainnbrudd. Dette er grunnen til at det er så viktig å bruke den riktige oppdateringen for å lukke sårbarheten så snart som mulig.
For å eliminere disse problemene finnes det løsninger spesielt utviklet for identifikasjon, . Modulen søker automatisk etter patcher som er nødvendige for å sikre sikkerheten til bedriftens datamaskiner, prioriterer de mest presserende oppdateringene og planlegger installasjonen av dem. Informasjon om patcher som krever installasjon rapporteres til administratoren selv når utnyttelser og skadelig programvare oppdages.
Løsningen kan umiddelbart utløse installasjonen av nødvendige patcher og oppdateringer, eller installasjonen av dem kan planlegges fra en nettbasert sentral administrasjonskonsoll, om nødvendig isolere upatchede datamaskiner. På denne måten kan administratoren administrere patcher og oppdateringer for å holde selskapet i gang problemfritt.
Dessverre vil det aktuelle cyberangrepet absolutt ikke være det siste som drar fordel av den nåværende globale koronavirussituasjonen for å kompromittere informasjonssikkerheten til virksomheter.
Kilde: www.habr.com