Koox ka mid ah hanjabaadaha APT ayaa dhowaan la helay iyadoo la adeegsanayo ololeyaal phishing ah si looga faa'iidaysto cudurka faafa ee coronavirus si loo qaybiyo malware-kooda.
Dunidu waxay hadda la kulmeysaa xaalad aan caadi ahayn oo ay ugu wacan tahay cudurka faafa ee Covid-19 ee hadda jira. Si loo isku dayo in la joojiyo fiditaanka fayraska, tiro badan oo shirkado ah oo adduunka ah ayaa bilaabay hab cusub oo shaqo fog (fog). Tani waxay si weyn u ballaarisay dusha weerarka, taas oo caqabad weyn ku ah shirkadaha marka la eego amniga macluumaadka, maadaama ay hadda u baahan yihiin inay dejiyaan xeerar adag oo ay tallaabo qaadaan. si loo hubiyo sii wadida shaqada ganacsiga iyo nidaamyada IT-ga.
Si kastaba ha ahaatee, dusha sare ee weerarka ma aha khatarta internetka ee kaliya ee soo baxday maalmihii ugu dambeeyay: dambiilayaal badan oo internetka ah ayaa si firfircoon uga faa'iideysanaya hubanti la'aanta caalamiga ah si ay u sameeyaan ololeyaal phishing ah, qaybiyaan malware waxayna khatar ku yihiin amniga macluumaadka shirkado badan.
APT waxay ka faa'iidaysataa masiibada
Dabayaaqadii usbuucii hore, koox Advanced Persistent Threat (APT) oo lagu magacaabo Vicious Panda ayaa la ogaaday in ay waday olole ka dhan ah , iyaga oo isticmaalaya cudurka faafa ee coronavirus si ay u faafiyaan malware-kooda. Iimaylku wuxuu u sheegay qaataha inay ka kooban tahay macluumaad ku saabsan coronavirus, laakiin dhab ahaantii iimaylka wuxuu ka koobnaa laba faylal oo xaasid ah oo RTF (Qaabka qoraalka qani ah). Haddii dhibbanuhu uu furo faylashaas, waxaa la bilaabay Trojan Access Remote (RAT), kaas oo, iyo waxyaabo kale, uu awood u lahaa inuu qaado shaashadaha, abuurista liisaska faylalka iyo hagayaasha kombiyuutarka dhibbanaha, iyo soo dejinta faylasha.
Ololahan ayaa ilaa hadda lagu bartilmaameedsaday qaybaha dadweynaha ee Mongolia, sida ay qabaan qaar ka mid ah khubarada reer galbeedka, waxa uu ka dhigan yahay weerarkii ugu dambeeyay ee hawlgalka Shiinaha ee ka dhanka ah dawladaha iyo ururada kala duwan ee caalamka. Markan, waxyaabaha gaarka ah ee ololuhu waa in ay u adeegsanayso xaaladda cusub ee coronavirus-ka adduunka si ay si firfircoon ugu qaaddo dhibanayaasha suurtagalka ah.
Iimaylka phishing-ka ayaa u muuqda inuu ka yimid Wasaaradda Arrimaha Dibadda ee Mongoliya oo uu ku andacoonayo inuu ka kooban yahay macluumaadka ku saabsan tirada dadka uu ku dhacay fayraska. Si loo hubeeyo faylkan, weerarradu waxay adeegsadeen RoyalRoad, oo ah aalad caan ah oo ka mid ah khatar-bixiyeyaasha Shiinaha oo u oggolaanaya inay abuuraan dukumeenti khaas ah oo leh walxo ku dhex-jira oo ka faa'iidaysan kara dayacanka Tifaftiraha isla'egta ee lagu dhex daray MS Word si loo abuuro isla'egyo adag.
Farsamooyinka badbaadada
Marka dhibbanuhu furo faylalka RTF ee xaasidnimada leh, Microsoft Word waxay ka faa'iidaysanaysaa nuglaanta si ay ugu shubto faylka xaasidnimada ah (intel.wll) galka bilowga Word (%APPDATA%MicrosoftWordSTARTUP). Isticmaalka habkan, ma aha oo kaliya khatarta inay noqoto mid adkeysi leh, laakiin sidoo kale waxay ka hortagtaa dhammaan silsiladda caabuqa inay qarxiso marka ay ku dhex socoto sanduuqa ciid, maadaama Word waa in dib loo bilaabo si buuxda loo bilaabo malware-ka.
Faylka intel.wll wuxuu markaa soo shubayaa faylka DLL kaas oo loo isticmaalo in lagu soo dejiyo malware-ka oo lala xiriiro amarka iyo xakamaynta server-ka. Adeegga taliska iyo kantaroolku waxa uu shaqeeyaa wakhti xaddidan maalin kasta, taas oo adkeynaysa in la falanqeeyo oo la galo qaybaha ugu adag ee silsiladda caabuqa.
Iyadoo ay taasi jirto, cilmi-baarayaashu waxay awoodeen inay go'aamiyaan in marxaladda koowaad ee silsiladdan, isla markiiba ka dib markii la helo amarka ku habboon, RAT waa la rakibay oo la furfuray, DLLna waa la rakibay, kaas oo lagu shubay xusuusta. Qaab dhismeedka plugin-u eg wuxuu soo jeedinayaa inay jiraan qaybo kale oo ay dheer tahay culeyska lagu arkay ololahan.
Tallaabooyinka lagaga hortagayo APT cusub
Ololahan xaasidnimada leh ayaa adeegsada farsamooyin badan si uu u dhex galo nidaamka dhibbanayaasha ka dibna uu wax u dhimo ammaankooda macluumaadka. Si aad naftaada uga ilaaliso ololeyaashan oo kale, waa muhiim inaad qaado tillaabooyin kala duwan.
Midka koowaad aad buu muhiim u yahay: waxaa muhiim u ah shaqaaluhu inay u fiirsadaan oo ay taxaddaraan marka la helayo emails. Iimaylku waa mid ka mid ah weerarrada ugu weyn, laakiin ku dhawaad shirkadna ma samayn karto iimayl la'aan. Haddii aad ka hesho iimaylka qof aan la garanayn, waxa fiican inaadan furin, haddii aad furto, markaa ha furin wax lifaaq ah hana gujin wax xiriir ah.
Si loo waxyeeleeyo amniga macluumaadka dhibbanayaashiisa, weerarkani wuxuu ka faa'iidaystaa nuglaanshaha Word. Dhab ahaantii, baylahnimada aan la daboolin ayaa sabab u ah , iyo arrimaha kale ee amniga, waxay u horseedi karaan jebinta xogta weyn. Tani waa sababta ay muhiim u tahay in la isticmaalo balastar ku habboon si loo xiro baylahda sida ugu dhakhsaha badan.
Si loo baabi'iyo dhibaatooyinkan, waxaa jira xalal si gaar ah loogu talagalay aqoonsiga, . Module-ku wuxuu si toos ah u raadiyaa balastarrada lagama maarmaanka u ah si loo xaqiijiyo ammaanka kombiyuutarada shirkadda, iyadoo mudnaanta siinaysa cusboonaysiinta ugu degdegga badan iyo jadwalka rakibiddooda. Macluumaadka ku saabsan xirmooyinka u baahan rakibid ayaa loo wargeliyaa maamulaha xitaa marka la ogaado ka faa'iidaysiga iyo malware-ka.
Xalku wuxuu isla markaaba kicin karaa rakibidda balastarrada iyo cusboonaysiinta loo baahan yahay, ama rakibiddooda waxaa laga qorshayn karaa konsolada maamulka dhexe ee ku salaysan mareegaha, haddii loo baahdo go'doominta kombuyuutarrada aan xidhnayn. Sidan, maamuluhu wuxuu maamuli karaa dhejisyada iyo cusbooneysiinta si ay shirkadu si habsami leh ugu socoto.
Nasiib darrose, weerarka internetka ee su'aashu waxay tahay hubaal ma noqon doono kii ugu dambeeyay ee ka faa'iidaysta xaaladda hadda jirta ee coronavirus si loo waxyeeleeyo amniga macluumaadka ganacsiyada.
Source: www.habr.com