Pred kratkim so odkrili skupino groženj APT, ki uporabljajo kampanje lažnega predstavljanja za izkoriščanje pandemije koronavirusa za distribucijo svoje zlonamerne programske opreme.
Svet trenutno doživlja izjemno situacijo zaradi trenutne pandemije koronavirusa Covid-19. Da bi poskušali zaustaviti širjenje virusa, je veliko podjetij po vsem svetu uvedlo nov način oddaljenega (oddaljenega) dela. S tem se je močno razširila površina napadov, kar je za podjetja velik izziv na področju informacijske varnosti, saj morajo zdaj vzpostaviti stroga pravila in ukrepati. zagotoviti kontinuiteto delovanja podjetja in njegovih informacijskih sistemov.
Vendar pa razširjena površina napadov ni edino kibernetsko tveganje, ki se je pojavilo v zadnjih nekaj dneh: številni kibernetski kriminalci aktivno izkoriščajo to globalno negotovost za izvajanje lažnih kampanj, distribucijo zlonamerne programske opreme in predstavljajo grožnjo informacijski varnosti številnih podjetij.
APT izkorišča pandemijo
Konec prejšnjega tedna je bila odkrita skupina Advanced Persistent Threat (APT), imenovana Vicious Panda, ki je izvajala kampanje proti , ki uporabljajo pandemijo koronavirusa za širjenje svoje zlonamerne programske opreme. E-poštno sporočilo je prejemniku povedalo, da vsebuje informacije o koronavirusu, v resnici pa je e-poštno sporočilo vsebovalo dve zlonamerni datoteki RTF (Rich Text Format). Če je žrtev odprla te datoteke, se je sprožil trojanec za oddaljeni dostop (RAT), ki je bil med drugim sposoben narediti posnetke zaslona, ustvariti sezname datotek in imenikov na žrtvinem računalniku ter prenašati datoteke.
Kampanja je bila doslej usmerjena v mongolski javni sektor in po mnenju nekaterih zahodnih strokovnjakov predstavlja zadnji napad v potekajoči kitajski operaciji proti različnim vladam in organizacijam po vsem svetu. Tokratna posebnost akcije je v tem, da novo globalno situacijo s koronavirusom izkorišča za aktivnejšo okužbo svojih potencialnih žrtev.
Zdi se, da je e-poštno sporočilo z lažnim predstavljanjem poslalo mongolsko ministrstvo za zunanje zadeve in trdi, da vsebuje podatke o številu ljudi, okuženih z virusom. Za oborožitev te datoteke so napadalci uporabili RoyalRoad, priljubljeno orodje med kitajskimi izdelovalci groženj, ki jim omogoča ustvarjanje dokumentov po meri z vdelanimi predmeti, ki lahko izkoristijo ranljivosti v urejevalniku enačb, integriranem v MS Word, za ustvarjanje kompleksnih enačb.
Tehnike preživetja
Ko žrtev odpre zlonamerne datoteke RTF, Microsoft Word izkoristi ranljivost za nalaganje zlonamerne datoteke (intel.wll) v Wordovo zagonsko mapo (%APPDATA%MicrosoftWordSTARTUP). S to metodo ne samo, da grožnja postane odporna, ampak tudi prepreči, da bi celotna veriga okužbe eksplodirala, ko se izvaja v peskovniku, saj je treba Word znova zagnati, da v celoti zažene zlonamerno programsko opremo.
Datoteka intel.wll nato naloži datoteko DLL, ki se uporablja za prenos zlonamerne programske opreme in komunikacijo s hekerjevim ukaznim in nadzornim strežnikom. Strežnik za ukaze in nadzor deluje vsak dan strogo omejeno časovno obdobje, zaradi česar je težko analizirati in dostopati do najbolj zapletenih delov verige okužb.
Kljub temu so raziskovalci lahko ugotovili, da se v prvi fazi te verige takoj po prejemu ustreznega ukaza naloži in dešifrira RAT ter naloži DLL, ki se naloži v pomnilnik. Arhitektura, podobna vtičniku, nakazuje, da poleg koristnega tovora, ki ga vidimo v tej kampanji, obstajajo tudi drugi moduli.
Ukrepi za zaščito pred novimi APT
Ta zlonamerna kampanja uporablja več trikov, da se infiltrira v sisteme svojih žrtev in nato ogrozi njihovo informacijsko varnost. Da bi se zaščitili pred tovrstnimi akcijami, je pomembno sprejeti vrsto ukrepov.
Prvi je izjemno pomemben: pomembno je, da so zaposleni pozorni in previdni pri prejemanju elektronske pošte. E-pošta je eden glavnih vektorjev napadov, vendar skoraj nobeno podjetje ne more brez e-pošte. Če prejmete e-pošto od neznanega pošiljatelja, je bolje, da je ne odprete, če pa jo že odprete, potem ne odpirajte priponk in ne klikajte nobenih povezav.
Da bi ogrozil informacijsko varnost svojih žrtev, ta napad izkorišča ranljivost v Wordu. Pravzaprav so razlog nepopravljene ranljivosti , skupaj z drugimi varnostnimi težavami pa lahko povzročijo večje kršitve podatkov. Zato je tako pomembno, da čim prej namestite ustrezen popravek, da odpravite ranljivost.
Za odpravo teh težav obstajajo rešitve, posebej zasnovane za identifikacijo, . Modul samodejno išče popravke, potrebne za zagotavljanje varnosti računalnikov v podjetju, pri čemer daje prednost najnujnejšim posodobitvam in načrtuje njihovo namestitev. Informacije o popravkih, ki zahtevajo namestitev, so sporočene skrbniku, tudi če so odkriti izkoriščanja in zlonamerna programska oprema.
Rešitev lahko takoj sproži namestitev zahtevanih popravkov in posodobitev ali pa je njihovo namestitev mogoče načrtovati s spletne osrednje konzole za upravljanje, po potrebi pa izolirati nepopravljene računalnike. Tako lahko skrbnik upravlja popravke in posodobitve za nemoteno delovanje podjetja.
Na žalost zadevni kibernetski napad zagotovo ne bo zadnji, ki bo izkoristil trenutno globalno situacijo s koronavirusom za ogrožanje informacijske varnosti podjetij.
Vir: www.habr.com