Un grup de amenințări APT a fost descoperit recent folosind campanii de spear phishing pentru a exploata pandemia de coronavirus pentru a-și distribui programele malware.
Lumea se confruntă în prezent cu o situație excepțională din cauza actualei pandemii de coronavirus Covid-19. Pentru a încerca să oprească răspândirea virusului, un număr mare de companii din întreaga lume au lansat un nou mod de lucru la distanță (la distanță). Acest lucru a extins semnificativ suprafața de atac, ceea ce reprezintă o mare provocare pentru companii în ceea ce privește securitatea informațiilor, deoarece acestea trebuie acum să stabilească reguli stricte și să ia măsuri. pentru a asigura continuitatea funcționării întreprinderii și a sistemelor sale informatice.
Cu toate acestea, suprafața extinsă de atac nu este singurul risc cibernetic care a apărut în ultimele zile: mulți criminali cibernetici exploatează în mod activ această incertitudine globală pentru a desfășura campanii de phishing, a distribui malware și a reprezenta o amenințare la adresa securității informaționale a multor companii.
APT exploatează pandemia
La sfârșitul săptămânii trecute, a fost descoperit un grup Advanced Persistent Threat (APT) numit Vicious Panda, care desfășura campanii împotriva , folosind pandemia de coronavirus pentru a-și răspândi programele malware. E-mailul i-a spus destinatarului că conține informații despre coronavirus, dar, de fapt, e-mailul conținea două fișiere RTF (Rich Text Format) rău intenționate. Dacă victima deschidea aceste fișiere, era lansat un troian de acces la distanță (RAT) care, printre altele, era capabil să facă capturi de ecran, să creeze liste de fișiere și directoare pe computerul victimei și să descarce fișiere.
Campania a vizat până acum sectorul public al Mongoliei și, potrivit unor experți occidentali, reprezintă cel mai recent atac din operațiunea chineză în curs împotriva diferitelor guverne și organizații din întreaga lume. De data aceasta, particularitatea campaniei este că folosește noua situație globală de coronavirus pentru a-și infecta mai activ potențialele victime.
E-mailul de phishing pare să fie de la Ministerul Afacerilor Externe mongol și pretinde că conține informații despre numărul de persoane infectate cu virusul. Pentru a arma acest fișier, atacatorii au folosit RoyalRoad, un instrument popular printre creatorii de amenințări chinezi care le permite să creeze documente personalizate cu obiecte încorporate care pot exploata vulnerabilitățile din Editorul de ecuații integrat în MS Word pentru a crea ecuații complexe.
Tehnici de supraviețuire
Odată ce victima deschide fișierele RTF rău intenționate, Microsoft Word exploatează vulnerabilitatea pentru a încărca fișierul rău intenționat (intel.wll) în folderul de pornire Word (%APPDATA%MicrosoftWordSTARTUP). Folosind această metodă, nu numai că amenințarea devine rezistentă, dar și împiedică detonarea întregului lanț de infecție atunci când rulează într-un sandbox, deoarece Word trebuie repornit pentru a lansa complet malware-ul.
Fișierul intel.wll încarcă apoi un fișier DLL care este utilizat pentru a descărca malware-ul și a comunica cu serverul de comandă și control al hackerului. Serverul de comandă și control funcționează pentru o perioadă strict limitată de timp în fiecare zi, ceea ce face dificilă analiza și accesarea celor mai complexe părți ale lanțului de infecție.
În ciuda acestui fapt, cercetătorii au reușit să stabilească că în prima etapă a acestui lanț, imediat după primirea comenzii corespunzătoare, RAT-ul este încărcat și decriptat, iar DLL-ul este încărcat, care este încărcat în memorie. Arhitectura asemănătoare pluginului sugerează că există și alte module pe lângă sarcina utilă văzută în această campanie.
Măsuri de protecție împotriva noilor APT
Această campanie rău intenționată folosește mai multe trucuri pentru a se infiltra în sistemele victimelor și apoi a compromite securitatea informațiilor acestora. Pentru a vă proteja de astfel de campanii, este important să luați o serie de măsuri.
Prima este extrem de importantă: este important ca angajații să fie atenți și atenți atunci când primesc email-uri. E-mailul este unul dintre principalii vectori de atac, dar aproape nicio companie nu se poate descurca fără e-mail. Dacă primiți un e-mail de la un expeditor necunoscut, este mai bine să nu îl deschideți, iar dacă îl deschideți, atunci nu deschideți niciun atașament și nu faceți clic pe niciun link.
Pentru a compromite securitatea informațiilor victimelor sale, acest atac exploatează o vulnerabilitate din Word. De fapt, vulnerabilitățile nepattchizate sunt motivul și, împreună cu alte probleme de securitate, pot duce la încălcări majore de date. Acesta este motivul pentru care este atât de important să aplicați patch-ul corespunzător pentru a închide vulnerabilitatea cât mai curând posibil.
Pentru a elimina aceste probleme, există soluții special concepute pentru identificare, . Modulul caută automat patch-urile necesare pentru a asigura securitatea calculatoarelor companiei, acordând prioritate actualizărilor cele mai urgente și programând instalarea acestora. Informațiile despre corecțiile care necesită instalare sunt raportate administratorului chiar și atunci când sunt detectate exploit-uri și programe malware.
Soluția poate declanșa imediat instalarea patch-urilor și actualizărilor necesare, sau instalarea acestora poate fi programată dintr-o consolă de management centrală bazată pe web, izolând, dacă este necesar, computerele nepatchate. În acest fel, administratorul poate gestiona patch-uri și actualizări pentru a menține compania să funcționeze fără probleme.
Din păcate, atacul cibernetic în cauză nu va fi cu siguranță ultimul care va profita de actuala situație globală de coronavirus pentru a compromite securitatea informațională a afacerilor.
Sursa: www.habr.com