Niedawno odkryto grupę zagrożeń APT wykorzystujących kampanie phishingu typu spear w celu wykorzystania pandemii wirusa koronowego do dystrybucji szkodliwego oprogramowania.
Świat znajduje się obecnie w wyjątkowej sytuacji w związku z panującą pandemią wirusa Covid-19. Aby spróbować powstrzymać rozprzestrzenianie się wirusa, wiele firm na całym świecie uruchomiło nowy tryb pracy zdalnej (zdalnej). Znacząco rozszerzyło to powierzchnię ataku, co stanowi duże wyzwanie dla firm w zakresie bezpieczeństwa informacji, ponieważ muszą teraz ustalić rygorystyczne zasady i podjąć działania.
Jednak rozszerzona powierzchnia ataku to nie jedyne ryzyko cybernetyczne, które pojawiło się w ciągu ostatnich kilku dni: wielu cyberprzestępców aktywnie wykorzystuje tę globalną niepewność do prowadzenia kampanii phishingowych, dystrybucji złośliwego oprogramowania i stwarzania zagrożenia dla bezpieczeństwa informacji wielu firm.
APT wykorzystuje pandemię
Pod koniec ubiegłego tygodnia odkryto grupę Advanced Persistent Threat (APT) o nazwie Vicious Panda, która prowadziła kampanie przeciwko
Jak dotąd kampania była skierowana do sektora publicznego Mongolii i według niektórych zachodnich ekspertów stanowi najnowszy atak w ramach trwającej chińskiej operacji przeciwko różnym rządom i organizacjom na całym świecie. Tym razem specyfika kampanii polega na wykorzystaniu nowej globalnej sytuacji związanej z koronawirusem do aktywniejszego infekowania potencjalnych ofiar.
E-mail phishingowy prawdopodobnie pochodził od mongolskiego Ministerstwa Spraw Zagranicznych i miał zawierać informacje o liczbie osób zarażonych wirusem. Aby uzbroić ten plik, napastnicy wykorzystali RoyalRoad, popularne wśród chińskich twórców zagrożeń narzędzie, które umożliwia tworzenie niestandardowych dokumentów z osadzonymi obiektami, które mogą wykorzystywać luki w edytorze równań zintegrowanym z MS Word w celu tworzenia złożonych równań.
Techniki przetrwania
Gdy ofiara otworzy złośliwe pliki RTF, program Microsoft Word wykorzystuje lukę w celu załadowania szkodliwego pliku (intel.wll) do folderu startowego programu Word (%APPDATA%MicrosoftWordSTARTUP). Dzięki tej metodzie zagrożenie nie tylko staje się odporne, ale także zapobiega detonacji całego łańcucha infekcji podczas działania w piaskownicy, ponieważ w celu pełnego uruchomienia szkodliwego oprogramowania należy ponownie uruchomić program Word.
Następnie plik intel.wll ładuje plik DLL, który służy do pobierania złośliwego oprogramowania i komunikacji z serwerem dowodzenia i kontroli hakera. Serwer dowodzenia i kontroli działa każdego dnia przez ściśle ograniczony czas, co utrudnia analizę i dostęp do najbardziej złożonych części łańcucha infekcji.
Mimo to badaczom udało się ustalić, że w pierwszym etapie tego łańcucha, zaraz po otrzymaniu odpowiedniego polecenia, następuje załadowanie i odszyfrowanie pliku RAT oraz załadowanie biblioteki DLL, która zostaje załadowana do pamięci. Architektura przypominająca wtyczkę sugeruje, że oprócz ładunku widocznego w tej kampanii istnieją inne moduły.
Środki ochronne przed nowym APT
Ta złośliwa kampania wykorzystuje wiele sztuczek, aby przedostać się do systemów swoich ofiar, a następnie naruszyć ich bezpieczeństwo informacji. Aby uchronić się przed takimi kampaniami, ważne jest podjęcie szeregu działań.
To pierwsze jest niezwykle ważne: ważne jest, aby pracownicy byli uważni i ostrożni podczas odbierania wiadomości e-mail. Poczta elektroniczna jest jednym z głównych wektorów ataków, ale prawie żadna firma nie może obejść się bez poczty elektronicznej. Jeśli otrzymasz wiadomość e-mail od nieznanego nadawcy, lepiej jej nie otwierać, a jeśli już ją otworzysz, nie otwieraj żadnych załączników ani nie klikaj żadnych linków.
Aby zagrozić bezpieczeństwu informacji swoich ofiar, atak ten wykorzystuje lukę w programie Word. W rzeczywistości przyczyną są niezałatane luki w zabezpieczeniach
Aby wyeliminować te problemy, istnieją rozwiązania zaprojektowane specjalnie do identyfikacji,
Rozwiązanie może natychmiast uruchomić instalację wymaganych poprawek i aktualizacji lub zaplanować ich instalację z poziomu centralnej konsoli zarządzania opartej na sieci WWW, w razie potrzeby izolując niezałatane komputery. W ten sposób administrator może zarządzać poprawkami i aktualizacjami, aby firma działała sprawnie.
Niestety omawiany cyberatak z pewnością nie będzie ostatnim, który wykorzysta obecną światową sytuację związaną z koronawirusem do naruszenia bezpieczeństwa informacji przedsiębiorstw.
Źródło: www.habr.com