Pred kratkim so odkrili skupino groženj APT, ki uporabljajo kampanje lažnega predstavljanja za izkoriščanje pandemije koronavirusa za distribucijo svoje zlonamerne programske opreme.
Svet trenutno doživlja izjemno situacijo zaradi trenutne pandemije koronavirusa Covid-19. Da bi poskušali zaustaviti širjenje virusa, je veliko podjetij po vsem svetu uvedlo nov način oddaljenega (oddaljenega) dela. S tem se je močno razširila površina napadov, kar je za podjetja velik izziv na področju informacijske varnosti, saj morajo zdaj vzpostaviti stroga pravila in ukrepati.
Vendar pa razširjena površina napadov ni edino kibernetsko tveganje, ki se je pojavilo v zadnjih nekaj dneh: številni kibernetski kriminalci aktivno izkoriščajo to globalno negotovost za izvajanje lažnih kampanj, distribucijo zlonamerne programske opreme in predstavljajo grožnjo informacijski varnosti številnih podjetij.
APT izkorišča pandemijo
Konec prejšnjega tedna je bila odkrita skupina Advanced Persistent Threat (APT), imenovana Vicious Panda, ki je izvajala kampanje proti
Kampanja je bila doslej usmerjena v mongolski javni sektor in po mnenju nekaterih zahodnih strokovnjakov predstavlja zadnji napad v potekajoči kitajski operaciji proti različnim vladam in organizacijam po vsem svetu. Tokratna posebnost akcije je v tem, da novo globalno situacijo s koronavirusom izkorišča za aktivnejšo okužbo svojih potencialnih žrtev.
Zdi se, da je e-poštno sporočilo z lažnim predstavljanjem poslalo mongolsko ministrstvo za zunanje zadeve in trdi, da vsebuje podatke o številu ljudi, okuženih z virusom. Za oborožitev te datoteke so napadalci uporabili RoyalRoad, priljubljeno orodje med kitajskimi izdelovalci groženj, ki jim omogoča ustvarjanje dokumentov po meri z vdelanimi predmeti, ki lahko izkoristijo ranljivosti v urejevalniku enačb, integriranem v MS Word, za ustvarjanje kompleksnih enačb.
Tehnike preživetja
Ko žrtev odpre zlonamerne datoteke RTF, Microsoft Word izkoristi ranljivost za nalaganje zlonamerne datoteke (intel.wll) v Wordovo zagonsko mapo (%APPDATA%MicrosoftWordSTARTUP). S to metodo ne samo, da grožnja postane odporna, ampak tudi prepreči, da bi celotna veriga okužbe eksplodirala, ko se izvaja v peskovniku, saj je treba Word znova zagnati, da v celoti zažene zlonamerno programsko opremo.
Datoteka intel.wll nato naloži datoteko DLL, ki se uporablja za prenos zlonamerne programske opreme in komunikacijo s hekerjevim ukaznim in nadzornim strežnikom. Strežnik za ukaze in nadzor deluje vsak dan strogo omejeno časovno obdobje, zaradi česar je težko analizirati in dostopati do najbolj zapletenih delov verige okužb.
Kljub temu so raziskovalci lahko ugotovili, da se v prvi fazi te verige takoj po prejemu ustreznega ukaza naloži in dešifrira RAT ter naloži DLL, ki se naloži v pomnilnik. Arhitektura, podobna vtičniku, nakazuje, da poleg koristnega tovora, ki ga vidimo v tej kampanji, obstajajo tudi drugi moduli.
Ukrepi za zaščito pred novimi APT
Ta zlonamerna kampanja uporablja več trikov, da se infiltrira v sisteme svojih žrtev in nato ogrozi njihovo informacijsko varnost. Da bi se zaščitili pred tovrstnimi akcijami, je pomembno sprejeti vrsto ukrepov.
Prvi je izjemno pomemben: pomembno je, da so zaposleni pozorni in previdni pri prejemanju elektronske pošte. E-pošta je eden glavnih vektorjev napadov, vendar skoraj nobeno podjetje ne more brez e-pošte. Če prejmete e-pošto od neznanega pošiljatelja, je bolje, da je ne odprete, če pa jo že odprete, potem ne odpirajte priponk in ne klikajte nobenih povezav.
Da bi ogrozil informacijsko varnost svojih žrtev, ta napad izkorišča ranljivost v Wordu. Pravzaprav so razlog nepopravljene ranljivosti
Za odpravo teh težav obstajajo rešitve, posebej zasnovane za identifikacijo,
Rešitev lahko takoj sproži namestitev zahtevanih popravkov in posodobitev ali pa je njihovo namestitev mogoče načrtovati s spletne osrednje konzole za upravljanje, po potrebi pa izolirati nepopravljene računalnike. Tako lahko skrbnik upravlja popravke in posodobitve za nemoteno delovanje podjetja.
Na žalost zadevni kibernetski napad zagotovo ne bo zadnji, ki bo izkoristil trenutno globalno situacijo s koronavirusom za ogrožanje informacijske varnosti podjetij.
Vir: www.habr.com