Skupina APT hrozieb bola nedávno objavená pomocou spear phishingových kampaní na zneužitie pandémie koronavírusov na distribúciu ich malvéru.
Svet momentálne prežíva výnimočnú situáciu v dôsledku súčasnej pandémie koronavírusu Covid-19. V snahe zastaviť šírenie vírusu spustilo veľké množstvo spoločností po celom svete nový režim práce na diaľku (na diaľku). Tým sa výrazne rozšírila plocha útoku, čo predstavuje veľkú výzvu pre spoločnosti z hľadiska informačnej bezpečnosti, pretože teraz musia zaviesť prísne pravidlá a konať.
Rozšírená plocha útoku však nie je jediným kybernetickým rizikom, ktoré sa objavilo v posledných dňoch: mnohí kybernetickí zločinci túto globálnu neistotu aktívne využívajú na vedenie phishingových kampaní, distribúciu malvéru a predstavujú hrozbu pre informačnú bezpečnosť mnohých spoločností.
APT využíva pandémiu
Koncom minulého týždňa bola objavená skupina Advanced Persistent Threat (APT) s názvom Vicious Panda, ktorá viedla kampane proti
Kampaň sa doteraz zameriavala na mongolský verejný sektor a podľa niektorých západných expertov predstavuje najnovší útok v prebiehajúcej čínskej operácii proti rôznym vládam a organizáciám po celom svete. Tentoraz je zvláštnosťou kampane, že využíva novú globálnu situáciu s koronavírusom na aktívnejšie infikovanie svojich potenciálnych obetí.
Zdá sa, že phishingový e-mail pochádza z mongolského ministerstva zahraničných vecí a tvrdí, že obsahuje informácie o počte ľudí infikovaných vírusom. Na zbraňovanie tohto súboru útočníci použili RoyalRoad, populárny nástroj medzi čínskymi tvorcami hrozieb, ktorý im umožňuje vytvárať vlastné dokumenty s vloženými objektmi, ktoré môžu využívať zraniteľné miesta v editore rovníc integrovanom do MS Word na vytváranie zložitých rovníc.
Techniky prežitia
Keď obeť otvorí škodlivé súbory RTF, Microsoft Word zneužije túto zraniteľnosť na načítanie škodlivého súboru (intel.wll) do spúšťacieho priečinka Wordu (%APPDATA%MicrosoftWordSTARTUP). Použitím tejto metódy sa hrozba nielen stane odolnou, ale tiež zabráni výbuchu celého infekčného reťazca pri spustení v karanténe, pretože na úplné spustenie malvéru je potrebné reštartovať Word.
Súbor intel.wll potom načíta súbor DLL, ktorý sa používa na stiahnutie škodlivého softvéru a komunikáciu s hackerovým príkazovým a riadiacim serverom. Príkazový a riadiaci server funguje každý deň počas prísne obmedzeného časového obdobia, čo sťažuje analýzu a prístup k najzložitejším častiam infekčného reťazca.
Napriek tomu vedci dokázali určiť, že v prvej fáze tohto reťazca sa ihneď po prijatí príslušného príkazu načíta a dešifruje RAT a načíta sa knižnica DLL, ktorá sa načíta do pamäte. Architektúra podobná doplnku naznačuje, že okrem užitočného zaťaženia v tejto kampani existujú aj ďalšie moduly.
Ochranné opatrenia proti novým APT
Táto škodoradostná kampaň využíva viacero trikov na infiltráciu systémov svojich obetí a následné ohrozenie ich informačnej bezpečnosti. Aby ste sa ochránili pred takýmito kampaňami, je dôležité prijať celý rad opatrení.
Prvý je mimoriadne dôležitý: je dôležité, aby zamestnanci boli pri prijímaní e-mailov pozorní a opatrní. E-mail je jedným z hlavných vektorov útokov, no takmer žiadna spoločnosť sa bez e-mailu nezaobíde. Ak dostanete e-mail od neznámeho odosielateľa, radšej ho neotvárajte a ak ho otvoríte, neotvárajte žiadne prílohy ani neklikajte na žiadne odkazy.
Na ohrozenie informačnej bezpečnosti svojich obetí tento útok využíva zraniteľnosť v programe Word. V skutočnosti sú dôvodom neopravené zraniteľnosti
Na odstránenie týchto problémov existujú riešenia špeciálne navrhnuté na identifikáciu,
Riešenie môže okamžite spustiť inštaláciu požadovaných záplat a aktualizácií, alebo ich inštaláciu možno naplánovať z webovej konzoly centrálnej správy, v prípade potreby izolovať počítače bez záplat. Týmto spôsobom môže správca spravovať záplaty a aktualizácie, aby spoločnosť fungovala hladko.
Žiaľ, predmetný kybernetický útok určite nebude posledný, ktorý využil súčasnú globálnu situáciu s koronavírusom na ohrozenie informačnej bezpečnosti podnikov.
Zdroj: hab.com