Skupina APT hrozieb bola nedávno objavená pomocou spear phishingových kampaní na zneužitie pandémie koronavírusov na distribúciu ich malvéru.
Svet momentálne prežíva výnimočnú situáciu v dôsledku súčasnej pandémie koronavírusu Covid-19. V snahe zastaviť šírenie vírusu spustilo veľké množstvo spoločností po celom svete nový režim práce na diaľku (na diaľku). Tým sa výrazne rozšírila plocha útoku, čo predstavuje veľkú výzvu pre spoločnosti z hľadiska informačnej bezpečnosti, pretože teraz musia zaviesť prísne pravidlá a konať. zabezpečiť kontinuitu prevádzky podniku a jeho IT systémov.
Rozšírená plocha útoku však nie je jediným kybernetickým rizikom, ktoré sa objavilo v posledných dňoch: mnohí kybernetickí zločinci túto globálnu neistotu aktívne využívajú na vedenie phishingových kampaní, distribúciu malvéru a predstavujú hrozbu pre informačnú bezpečnosť mnohých spoločností.
APT využíva pandémiu
Koncom minulého týždňa bola objavená skupina Advanced Persistent Threat (APT) s názvom Vicious Panda, ktorá viedla kampane proti , ktorí využívajú pandémiu koronavírusov na šírenie svojho škodlivého softvéru. E-mail povedal príjemcovi, že obsahuje informácie o koronavíruse, ale v skutočnosti obsahuje dva škodlivé súbory RTF (Rich Text Format). Ak obeť tieto súbory otvorila, spustil sa trójsky kôň so vzdialeným prístupom (RAT), ktorý okrem iného dokázal robiť snímky obrazovky, vytvárať zoznamy súborov a adresárov v počítači obete a sťahovať súbory.
Kampaň sa doteraz zameriavala na mongolský verejný sektor a podľa niektorých západných expertov predstavuje najnovší útok v prebiehajúcej čínskej operácii proti rôznym vládam a organizáciám po celom svete. Tentoraz je zvláštnosťou kampane, že využíva novú globálnu situáciu s koronavírusom na aktívnejšie infikovanie svojich potenciálnych obetí.
Zdá sa, že phishingový e-mail pochádza z mongolského ministerstva zahraničných vecí a tvrdí, že obsahuje informácie o počte ľudí infikovaných vírusom. Na zbraňovanie tohto súboru útočníci použili RoyalRoad, populárny nástroj medzi čínskymi tvorcami hrozieb, ktorý im umožňuje vytvárať vlastné dokumenty s vloženými objektmi, ktoré môžu využívať zraniteľné miesta v editore rovníc integrovanom do MS Word na vytváranie zložitých rovníc.
Techniky prežitia
Keď obeť otvorí škodlivé súbory RTF, Microsoft Word zneužije túto zraniteľnosť na načítanie škodlivého súboru (intel.wll) do spúšťacieho priečinka Wordu (%APPDATA%MicrosoftWordSTARTUP). Použitím tejto metódy sa hrozba nielen stane odolnou, ale tiež zabráni výbuchu celého infekčného reťazca pri spustení v karanténe, pretože na úplné spustenie malvéru je potrebné reštartovať Word.
Súbor intel.wll potom načíta súbor DLL, ktorý sa používa na stiahnutie škodlivého softvéru a komunikáciu s hackerovým príkazovým a riadiacim serverom. Príkazový a riadiaci server funguje každý deň počas prísne obmedzeného časového obdobia, čo sťažuje analýzu a prístup k najzložitejším častiam infekčného reťazca.
Napriek tomu vedci dokázali určiť, že v prvej fáze tohto reťazca sa ihneď po prijatí príslušného príkazu načíta a dešifruje RAT a načíta sa knižnica DLL, ktorá sa načíta do pamäte. Architektúra podobná doplnku naznačuje, že okrem užitočného zaťaženia v tejto kampani existujú aj ďalšie moduly.
Ochranné opatrenia proti novým APT
Táto škodoradostná kampaň využíva viacero trikov na infiltráciu systémov svojich obetí a následné ohrozenie ich informačnej bezpečnosti. Aby ste sa ochránili pred takýmito kampaňami, je dôležité prijať celý rad opatrení.
Prvý je mimoriadne dôležitý: je dôležité, aby zamestnanci boli pri prijímaní e-mailov pozorní a opatrní. E-mail je jedným z hlavných vektorov útokov, no takmer žiadna spoločnosť sa bez e-mailu nezaobíde. Ak dostanete e-mail od neznámeho odosielateľa, radšej ho neotvárajte a ak ho otvoríte, neotvárajte žiadne prílohy ani neklikajte na žiadne odkazy.
Na ohrozenie informačnej bezpečnosti svojich obetí tento útok využíva zraniteľnosť v programe Word. V skutočnosti sú dôvodom neopravené zraniteľnosti a spolu s ďalšími bezpečnostnými problémami môžu viesť k veľkým únikom údajov. To je dôvod, prečo je také dôležité použiť vhodnú záplatu, aby ste čo najskôr odstránili zraniteľnosť.
Na odstránenie týchto problémov existujú riešenia špeciálne navrhnuté na identifikáciu, . Modul automaticky vyhľadáva opravy potrebné na zaistenie bezpečnosti firemných počítačov, pričom uprednostňuje najnaliehavejšie aktualizácie a naplánuje ich inštaláciu. Informácie o opravách, ktoré si vyžadujú inštaláciu, sú hlásené správcovi, aj keď sú zistené exploity a malvér.
Riešenie môže okamžite spustiť inštaláciu požadovaných záplat a aktualizácií, alebo ich inštaláciu možno naplánovať z webovej konzoly centrálnej správy, v prípade potreby izolovať počítače bez záplat. Týmto spôsobom môže správca spravovať záplaty a aktualizácie, aby spoločnosť fungovala hladko.
Žiaľ, predmetný kybernetický útok určite nebude posledný, ktorý využil súčasnú globálnu situáciu s koronavírusom na ohrozenie informačnej bezpečnosti podnikov.
Zdroj: hab.com