Um grupo de ameaças APT foi descoberto recentemente usando campanhas de spear phishing para explorar a pandemia de coronavírus e distribuir seu malware.
O mundo vive atualmente uma situação excepcional devido à atual pandemia de coronavírus Covid-19. Para tentar impedir a propagação do vírus, um grande número de empresas em todo o mundo lançaram uma nova modalidade de trabalho remoto (remoto). Isto ampliou significativamente a superfície de ataque, o que representa um grande desafio para as empresas em termos de segurança da informação, uma vez que agora precisam estabelecer regras rígidas e agir. para garantir a continuidade da operação da empresa e de seus sistemas de TI.
No entanto, a superfície de ataque expandida não é o único risco cibernético que surgiu nos últimos dias: muitos criminosos cibernéticos estão a explorar ativamente esta incerteza global para realizar campanhas de phishing, distribuir malware e representar uma ameaça à segurança da informação de muitas empresas.
APT explora a pandemia
No final da semana passada, foi descoberto um grupo de ameaças persistentes avançadas (APT) chamado Vicious Panda que estava conduzindo campanhas contra , usando a pandemia de coronavírus para espalhar seu malware. O e-mail informava ao destinatário que continha informações sobre o coronavírus, mas na verdade o e-mail continha dois arquivos RTF (Rich Text Format) maliciosos. Se a vítima abrisse esses arquivos, era lançado um Trojan de acesso remoto (RAT), que, entre outras coisas, era capaz de fazer capturas de tela, criar listas de arquivos e diretórios no computador da vítima e baixar arquivos.
Até agora, a campanha tem como alvo o sector público da Mongólia e, segundo alguns especialistas ocidentais, representa o mais recente ataque na operação chinesa em curso contra vários governos e organizações em todo o mundo. Desta vez, a peculiaridade da campanha é que ela está a utilizar a nova situação global do coronavírus para infectar mais activamente as suas potenciais vítimas.
O e-mail de phishing parece ser do Ministério das Relações Exteriores da Mongólia e afirma conter informações sobre o número de pessoas infectadas com o vírus. Para transformar esse arquivo em arma, os invasores usaram o RoyalRoad, uma ferramenta popular entre os criadores de ameaças chineses que permite criar documentos personalizados com objetos incorporados que podem explorar vulnerabilidades no Editor de Equações integrado ao MS Word para criar equações complexas.
Técnicas de Sobrevivência
Depois que a vítima abre os arquivos RTF maliciosos, o Microsoft Word explora a vulnerabilidade para carregar o arquivo malicioso (intel.wll) na pasta de inicialização do Word (%APPDATA%MicrosoftWordSTARTUP). Usando esse método, a ameaça não apenas se torna resiliente, mas também evita que toda a cadeia de infecção seja detonada ao ser executada em uma sandbox, já que o Word deve ser reiniciado para iniciar totalmente o malware.
O arquivo intel.wll então carrega um arquivo DLL que é usado para baixar o malware e se comunicar com o servidor de comando e controle do hacker. O servidor de comando e controle opera diariamente por um período estritamente limitado, dificultando a análise e o acesso às partes mais complexas da cadeia de infecção.
Apesar disso, os pesquisadores conseguiram determinar que na primeira etapa dessa cadeia, imediatamente após receber o comando apropriado, o RAT é carregado e descriptografado, e a DLL é carregada, que é carregada na memória. A arquitetura semelhante a um plugin sugere que existem outros módulos além da carga vista nesta campanha.
Medidas para proteção contra novos APT
Esta campanha maliciosa usa vários truques para se infiltrar nos sistemas das vítimas e, em seguida, comprometer a segurança das informações. Para se proteger dessas campanhas, é importante tomar uma série de medidas.
A primeira delas é extremamente importante: é importante que os colaboradores estejam atentos e cuidadosos ao receber e-mails. O e-mail é um dos principais vetores de ataque, mas quase nenhuma empresa consegue viver sem o e-mail. Se você receber um e-mail de um remetente desconhecido, é melhor não abri-lo e, se o fizer, não abra nenhum anexo nem clique em nenhum link.
Para comprometer a segurança da informação das suas vítimas, este ataque explora uma vulnerabilidade no Word. Na verdade, vulnerabilidades não corrigidas são a razão e, juntamente com outros problemas de segurança, podem levar a grandes violações de dados. É por isso que é tão importante aplicar o patch apropriado para eliminar a vulnerabilidade o mais rápido possível.
Para eliminar estes problemas, existem soluções especificamente concebidas para identificação, . O módulo busca automaticamente os patches necessários para garantir a segurança dos computadores da empresa, priorizando as atualizações mais urgentes e agendando sua instalação. As informações sobre patches que requerem instalação são relatadas ao administrador mesmo quando explorações e malware são detectados.
A solução pode acionar imediatamente a instalação dos patches e atualizações necessários, ou sua instalação pode ser agendada a partir de um console de gerenciamento central baseado na Web, isolando, se necessário, os computadores sem patches. Dessa forma, o administrador pode gerenciar patches e atualizações para manter o bom funcionamento da empresa.
Infelizmente, o ataque cibernético em questão não será certamente o último a aproveitar a atual situação global do coronavírus para comprometer a segurança da informação das empresas.
Fonte: habr.com