د APT ګواښونو یوه ډله پدې وروستیو کې وموندل شوه چې د سپیر فشینګ کمپاینونو په کارولو سره د دوی مالویر توزیع کولو لپاره د کورونویرس وبا څخه ګټه پورته کوي.
نړۍ اوس مهال د اوسني کوویډ - 19 کورونویرس پانډیمیک له امله د استثنایی وضعیت سره مخ ده. د دې لپاره چې د ویروس د خپریدو مخه ونیول شي، په ټوله نړۍ کې یو شمیر شرکتونو د ریموټ (ریموټ) کار یو نوی حالت پیل کړی. دې د برید سطحه د پام وړ پراخه کړې ، کوم چې د معلوماتو امنیت شرایطو کې شرکتونو لپاره لوی ننګونه رامینځته کوي ، ځکه چې دوی اوس اړتیا لري سخت مقررات رامینځته کړي او اقدام وکړي. د تصدۍ او د هغې د معلوماتي ټیکنالوژۍ سیسټمونو د عملیاتو دوام ډاډمن کول.
په هرصورت، د پراخ شوي برید سطح یوازینی سایبر خطر ندی چې په تیرو څو ورځو کې راڅرګند شوی دی: ډیری سایبر مجرمین په فعاله توګه د فشینګ کمپاینونو ترسره کولو، مالویر توزیع کولو او د ډیری شرکتونو معلوماتو امنیت ته ګواښ رامینځته کولو لپاره د دې نړیوالې ناڅرګندتیا څخه په فعاله توګه ګټه پورته کوي.
APT د وبا څخه ګټه پورته کوي
د تیرې اونۍ په وروستیو کې، د وایس پانډا په نوم د پرمختللي دوامداره ګواښ (APT) ډله وموندل شوه چې د دوی پروړاندې کمپاینونه ترسره کوي. ، د دوی مالویر خپریدو لپاره د کورونویرس وبا په کارولو سره. بریښنالیک ترلاسه کونکي ته وویل چې پدې کې د کورونویرس په اړه معلومات شتون لري ، مګر په حقیقت کې بریښنالیک دوه ناوړه RTF (بچه متن فارمیټ) فایلونه درلودل. که چیرې قرباني دا فایلونه خلاص کړي ، د ریموټ لاسرسي ټروجن (RAT) په لاره اچول شوی و ، کوم چې د نورو شیانو په مینځ کې د سکرین شاټونو اخیستو ، د قرباني کمپیوټر کې د فایلونو او لارښودونو لیست رامینځته کولو او فایلونو ډاونلوډ کولو وړ و.
دې کمپاین تر دې دمه د منګولیا عامه سکتور په نښه کړی ، او د ځینو لویدیځو کارپوهانو په وینا ، دا د نړۍ د مختلفو حکومتونو او سازمانونو پروړاندې د چین په روانو عملیاتو کې وروستی برید څرګندوي. دا ځل، د کمپاین ځانګړتیا دا ده چې دا د نوي نړیوال کورونویرس وضعیت کاروي ترڅو خپل احتمالي قربانیان په فعاله توګه اخته کړي.
داسې ښکاري چې د فشینګ بریښنالیک د منګولیا د بهرنیو چارو وزارت څخه دی او ادعا کوي چې په ویروس د اخته خلکو شمیر په اړه معلومات لري. د دې فایل د وسلې کولو لپاره، برید کونکو RoyalRoad کارولی، د چینایي ګواښ جوړونکو ترمنځ یوه مشهوره وسیله ده چې دوی ته اجازه ورکوي چې د ایمبیډ شوي شیانو سره دودیز اسناد رامینځته کړي چې کولی شي د پیچلو مساواتو رامینځته کولو لپاره د MS Word کې مدغم شوي مساوات مدیر کې زیانمنونکي ګټه پورته کړي.
د بقا تخنیکونه
یوځل چې قرباني ناوړه RTF فایلونه خلاص کړي ، مایکروسافټ ورډ د ورډ سټارټ اپ فولډر (%APPDATA%MicrosoftWordSTARTUP) کې د ناوړه فایل (intel.wll) د بارولو لپاره له زیان څخه ګټه پورته کوي. د دې میتود په کارولو سره ، نه یوازې دا ګواښ انعطاف منونکی کیږي ، بلکه دا د انفیکشن ټول سلسله د چاودیدو مخه نیسي کله چې په سینڈ باکس کې چلیږي ، ځکه چې ورډ باید په بشپړ ډول د مالویر په لاره اچولو لپاره بیا پیل شي.
د intel.wll فایل بیا د DLL فایل پورته کوي چې د مالویر ډاونلوډ کولو لپاره کارول کیږي او د هیکر قوماندې او کنټرول سرور سره اړیکه نیسي. د قوماندې او کنټرول سرور هره ورځ د سخت محدود وخت لپاره کار کوي، د انفیکشن سلسلې خورا پیچلي برخو تحلیل او لاسرسي ستونزمن کوي.
سره له دې، څیړونکي وتوانیدل چې د دې سلسلې په لومړۍ مرحله کې، د مناسب کمانډ ترلاسه کولو وروسته سمدلاسه، RAT بار شوی او ډیکریټ شوی، او DLL بار شوی، کوم چې په حافظه کې بار شوی. د پلگ ان په څیر جوړښت وړاندیز کوي چې پدې کمپاین کې لیدل شوي تادیاتو سربیره نور ماډلونه هم شتون لري.
د نوي APT په وړاندې محافظتي اقدامات
دا ناوړه کمپاین د قربانیانو سیسټمونو ته د نفوذ کولو لپاره ډیری چلونه کاروي او بیا د دوی د معلوماتو امنیت سره موافقت کوي. د داسې کمپاینونو څخه د ځان ساتلو لپاره، اړینه ده چې یو لړ تدابیر ونیول شي.
لومړی خورا مهم دی: د کارمندانو لپاره دا مهمه ده چې د بریښنالیکونو ترلاسه کولو پرمهال پاملرنه او محتاط وي. بریښنالیک یو له اصلي برید ویکتورونو څخه دی ، مګر نږدې هیڅ شرکت نشي کولی پرته له بریښنالیک څخه کار وکړي. که تاسو د نامعلوم لیږونکي څخه بریښنالیک ترلاسه کړئ، نو دا به غوره نه وي چې هغه خلاص نه کړئ، او که تاسو یې خلاص کړئ، نو هیڅ ضمیمه مه خلاصوئ یا په کوم لینک کلیک وکړئ.
د دې لپاره چې د خپلو قربانیانو د معلوماتو امنیت سره موافقت وکړي، دا برید په Word کې زیانمنونکي ګټه پورته کوي. په حقیقت کې، ناپیل شوي زیانمننې لاملونه دي ، او د نورو امنیتي مسلو سره ، دوی کولی شي د ډیټا لوی سرغړونو لامل شي. له همدې امله دا خورا مهمه ده چې ژر تر ژره د زیان مننې بندولو لپاره مناسب پیچ پلي کړئ.
د دې ستونزو د له منځه وړلو لپاره، په ځانګړې توګه د پیژندنې لپاره ډیزاین شوي حلونه شتون لري، . ماډل په اوتومات ډول د شرکت کمپیوټرونو امنیت ډاډمن کولو لپاره اړین پیچونه لټوي ، خورا عاجل تازه معلوماتو ته لومړیتوب ورکوي او د دوی نصبولو مهالویش کوي. د پیچونو په اړه معلومات چې نصب ته اړتیا لري مدیر ته راپور ورکول کیږي حتی کله چې استحصال او مالویر کشف شي.
حل کولی شي سمدلاسه د اړین پیچونو او تازه معلوماتو نصب کول رامینځته کړي ، یا د دوی نصب کول د ویب میشته مرکزي مدیریت کنسول څخه مهالویش کیدی شي ، که اړتیا وي د ناپیچ شوي کمپیوټرونو جلا کول. پدې توګه ، مدیر کولی شي پیچونه او تازه معلومات اداره کړي ترڅو شرکت په سمه توګه پرمخ بوځي.
بدبختانه ، د پوښتنې لاندې سایبر برید به یقینا وروستی نه وي چې د اوسني نړیوال کورونویرس وضعیت څخه ګټه پورته کړي ترڅو د سوداګرۍ معلوماتو امنیت سره جوړجاړی وکړي.
سرچینه: www.habr.com