Një grup kërcënimesh APT u zbulua kohët e fundit duke përdorur fushata phishing me shtizë për të shfrytëzuar pandeminë e koronavirusit për të shpërndarë malware-in e tyre.
Bota aktualisht po përjeton një situatë të jashtëzakonshme për shkak të pandemisë aktuale të koronavirusit Covid-19. Në përpjekje për të ndaluar përhapjen e virusit, një numër i madh kompanish në mbarë botën kanë nisur një mënyrë të re të punës në distancë (në distancë). Kjo ka zgjeruar ndjeshëm sipërfaqen e sulmit, e cila përbën një sfidë të madhe për kompanitë në aspektin e sigurisë së informacionit, pasi ato tani duhet të vendosin rregulla strikte dhe të ndërmarrin veprime. për të siguruar vazhdimësinë e funksionimit të ndërmarrjes dhe sistemeve të saj IT.
Megjithatë, sipërfaqja e zgjeruar e sulmit nuk është rreziku i vetëm kibernetik që është shfaqur ditët e fundit: shumë kriminelë kibernetikë po e shfrytëzojnë në mënyrë aktive këtë pasiguri globale për të kryer fushata phishing, për të shpërndarë malware dhe për të paraqitur një kërcënim për sigurinë e informacionit të shumë kompanive.
APT shfrytëzon pandeminë
Në fund të javës së kaluar, u zbulua një grup i Kërcënimeve të Përparuara (APT) të quajtur Vicious Panda që po kryente fushata kundër , duke përdorur pandeminë e koronavirusit për të përhapur malware-in e tyre. Emaili i tha marrësit se përmbante informacione për koronavirusin, por në fakt emaili përmbante dy skedarë me qëllim të keq RTF (Formati i tekstit të pasur). Nëse viktima hapte këto skedarë, do të lansohej një Trojan i Qasjes në Remote (RAT), i cili, ndër të tjera, ishte në gjendje të merrte pamje nga ekrani, të krijonte lista skedarësh dhe drejtorish në kompjuterin e viktimës dhe të shkarkonte skedarë.
Fushata deri më tani ka synuar sektorin publik të Mongolisë dhe, sipas disa ekspertëve perëndimorë, përfaqëson sulmin më të fundit në operacionin e vazhdueshëm kinez kundër qeverive dhe organizatave të ndryshme në mbarë botën. Këtë herë, e veçanta e fushatës është se po përdor situatën e re globale të koronavirusit për të infektuar më aktivisht viktimat e saj të mundshme.
Emaili i phishing duket se është nga Ministria e Punëve të Jashtme Mongole dhe pretendon se përmban informacione për numrin e njerëzve të infektuar me virus. Për të armatosur këtë skedar, sulmuesit përdorën RoyalRoad, një mjet popullor në mesin e prodhuesve kinezë të kërcënimeve që u lejon atyre të krijojnë dokumente të personalizuara me objekte të ngulitura që mund të shfrytëzojnë dobësitë në Redaktorin e Ekuacionit të integruar në MS Word për të krijuar ekuacione komplekse.
Teknikat e mbijetesës
Pasi viktima hap skedarët me qëllim të keq RTF, Microsoft Word shfrytëzon dobësinë për të ngarkuar skedarin me qëllim të keq (intel.wll) në dosjen e fillimit të Word (%APPDATA%MicrosoftWordSTARTUP). Duke përdorur këtë metodë, jo vetëm që kërcënimi bëhet elastik, por gjithashtu parandalon që i gjithë zinxhiri i infeksionit të shpërthejë kur funksionon në një sandbox, pasi Word duhet të riniset për të nisur plotësisht malware.
Skedari intel.wll ngarkon më pas një skedar DLL që përdoret për të shkarkuar malware dhe për të komunikuar me serverin e komandës dhe kontrollit të hakerit. Serveri i komandës dhe kontrollit funksionon për një periudhë rreptësisht të kufizuar kohore çdo ditë, duke e bërë të vështirë analizimin dhe aksesin në pjesët më komplekse të zinxhirit të infeksionit.
Pavarësisht kësaj, studiuesit arritën të përcaktonin se në fazën e parë të këtij zinxhiri, menjëherë pas marrjes së komandës së duhur, ngarkohet dhe deshifrohet RAT dhe ngarkohet DLL, i cili ngarkohet në memorie. Arkitektura e ngjashme me shtojcën sugjeron që ka module të tjera përveç ngarkesës që shihet në këtë fushatë.
Masat për të mbrojtur kundër APT të reja
Kjo fushatë keqdashëse përdor truke të shumta për të depërtuar në sistemet e viktimave të saj dhe më pas për të komprometuar sigurinë e tyre të informacionit. Për t'u mbrojtur nga fushata të tilla, është e rëndësishme të merrni një sërë masash.
E para është jashtëzakonisht e rëndësishme: është e rëndësishme që punonjësit të jenë të vëmendshëm dhe të kujdesshëm kur marrin email. Email-i është një nga vektorët kryesorë të sulmit, por pothuajse asnjë kompani nuk mund të bëjë pa email. Nëse merrni një email nga një dërgues i panjohur, është më mirë të mos e hapni, dhe nëse e hapni, atëherë mos hapni asnjë bashkëngjitje ose klikoni në asnjë lidhje.
Për të rrezikuar sigurinë e informacionit të viktimave të tij, ky sulm shfrytëzon një dobësi në Word. Në fakt, dobësitë e pazgjidhura janë arsyeja , dhe së bashku me çështje të tjera të sigurisë, ato mund të çojnë në shkelje të mëdha të të dhënave. Kjo është arsyeja pse është kaq e rëndësishme të aplikoni patch-in e duhur për të mbyllur cenueshmërinë sa më shpejt të jetë e mundur.
Për të eliminuar këto probleme, ekzistojnë zgjidhje të krijuara posaçërisht për identifikimin, . Moduli kërkon automatikisht për arna të nevojshme për të garantuar sigurinë e kompjuterëve të kompanisë, duke i dhënë përparësi përditësimeve më urgjente dhe duke planifikuar instalimin e tyre. Informacioni rreth arnimeve që kërkojnë instalim i raportohet administratorit edhe kur zbulohen shfrytëzime dhe malware.
Zgjidhja mund të shkaktojë menjëherë instalimin e arnimeve dhe përditësimeve të kërkuara, ose instalimi i tyre mund të planifikohet nga një tastierë qendrore e menaxhimit të bazuar në ueb, nëse është e nevojshme duke izoluar kompjuterët e papatchuar. Në këtë mënyrë, administratori mund të menaxhojë arnimet dhe përditësimet për ta mbajtur kompaninë të funksionojë pa probleme.
Fatkeqësisht, sulmi kibernetik në fjalë nuk do të jetë sigurisht i fundit që do të përfitojë nga situata aktuale globale e koronavirusit për të rrezikuar sigurinë e informacionit të bizneseve.
Burimi: www.habr.com