Недавно је откривена група АПТ претњи које користе пхисхинг кампање да би искористиле пандемију коронавируса за дистрибуцију свог малвера.
Свет тренутно доживљава изузетну ситуацију због тренутне пандемије коронавируса Цовид-19. Како би покушали да зауставе ширење вируса, велики број компанија широм света покренуо је нови начин рада на даљину. Ово је значајно проширило површину напада, што представља велики изазов за компаније у погледу безбедности информација, јер сада морају да успоставе строга правила и предузму мере. да обезбеди континуитет рада предузећа и његових ИТ система.
Међутим, проширена површина напада није једини сајбер ризик који се појавио у последњих неколико дана: многи сајбер криминалци активно искоришћавају ову глобалну неизвесност за спровођење пхисхинг кампања, дистрибуцију малвера и представљају претњу по безбедност информација многих компанија.
АПТ користи пандемију
Крајем прошле недеље откривена је група за напредну трајну претњу (АПТ) под називом Вициоус Панда која је водила кампање против , користећи пандемију коронавируса за ширење свог малвера. У е-поруци је примаоцу речено да садржи информације о коронавирусу, али је у ствари имејл садржао две злонамерне датотеке РТФ (Рицх Тект Формат). Ако је жртва отворила ове датотеке, покренут је тројанац за даљински приступ (РАТ), који је, између осталог, могао да прави снимке екрана, креира листе датотека и директоријума на рачунару жртве и преузима датотеке.
Кампања је до сада била усмерена на јавни сектор Монголије, а према неким западним стручњацима, она представља најновији напад у кинеској операцији која је у току против различитих влада и организација широм света. Овога пута, посебност кампање је да користи нову глобалну ситуацију са коронавирусом да активније зарази своје потенцијалне жртве.
Изгледа да је е-порука од монголског Министарства спољних послова и тврди да садржи информације о броју људи заражених вирусом. Да би оружили ову датотеку, нападачи су користили РоиалРоад, популаран алат међу кинеским креаторима претњи који им омогућава да креирају прилагођене документе са уграђеним објектима који могу да искористе рањивости у уређивачу једначина интегрисаном у МС Ворд за креирање сложених једначина.
Технике преживљавања
Када жртва отвори злонамерне РТФ датотеке, Мицрософт Ворд користи рањивост да учита злонамерну датотеку (интел.влл) у директоријум за покретање програма Ворд (%АППДАТА%МицрософтВордСТАРТУП). Коришћењем ове методе, претња не само да постаје отпорна, већ и спречава да детонира цео ланац инфекције када се ради у сандбок-у, пошто Ворд мора да се поново покрене да би се малвер у потпуности покренуо.
Датотека интел.влл затим учитава ДЛЛ датотеку која се користи за преузимање малвера и комуникацију са командним и контролним сервером хакера. Командни и контролни сервер ради у строго ограниченом временском периоду сваког дана, што отежава анализу и приступ најсложенијим деловима ланца инфекције.
Упркос томе, истраживачи су успели да утврде да се у првој фази овог ланца, одмах по пријему одговарајуће команде, учитава и дешифрује РАТ, а учитава се ДЛЛ, који се учитава у меморију. Архитектура слична додатку сугерише да постоје и други модули поред корисног оптерећења који се види у овој кампањи.
Мере заштите од нових АПТ
Ова злонамерна кампања користи више трикова да се инфилтрира у системе својих жртава и затим угрози њихову безбедност информација. Да бисте се заштитили од оваквих кампања, важно је предузети низ мера.
Први је изузетно важан: важно је да запослени буду пажљиви и пажљиви када примају мејлове. Е-пошта је један од главних вектора напада, али готово ниједна компанија не може без е-поште. Ако примите е-пошту од непознатог пошиљаоца, боље је да је не отварате, а ако је отворите, немојте отварати прилоге и не кликтати на било коју везу.
Да би угрозио безбедност информација својих жртава, овај напад искоришћава рањивост у Ворд-у. У ствари, разлог су незакрпљене рањивости , а заједно са другим безбедносним проблемима, могу довести до великих повреда података. Због тога је толико важно да примените одговарајућу закрпу да бисте што пре затворили рањивост.
Да би се елиминисали ови проблеми, постоје решења посебно дизајнирана за идентификацију, . Модул аутоматски тражи закрпе неопходне да би се обезбедила безбедност рачунара компаније, дајући приоритет најхитнијим ажурирањима и заказујући њихову инсталацију. Информације о закрпама које захтевају инсталацију пријављују се администратору чак и када се открију експлоатације и малвер.
Решење може одмах да покрене инсталацију потребних закрпа и ажурирања, или се њихова инсталација може заказати са централне управљачке конзоле засноване на вебу, ако је потребно изолујући рачунаре без закрпе. На овај начин, администратор може да управља закрпама и ажурирањима како би компанија несметано радила.
Нажалост, дотични сајбер напад сигурно неће бити последњи који ће искористити тренутну глобалну ситуацију са коронавирусом да угрози информациону безбедност предузећа.
Извор: ввв.хабр.цом