Sakelompok ancaman APT nembe dipendakan nganggo kampanye phishing tumbak pikeun ngamangpaatkeun pandémik coronavirus pikeun nyebarkeun malware na.
Dunya ayeuna ngalaman kaayaan anu luar biasa kusabab pandémik koronavirus Covid-19 ayeuna. Pikeun nyoba ngeureunkeun panyebaran virus, sajumlah ageung perusahaan di sakumna dunya parantos ngaluncurkeun mode kerja jauh (jauh) énggal. Ieu sacara signifikan ngalegaan permukaan serangan, anu nyababkeun tangtangan anu ageung pikeun perusahaan dina hal kaamanan inpormasi, sabab ayeuna aranjeunna kedah netepkeun aturan anu ketat sareng nyandak tindakan. pikeun mastikeun kontinuitas operasi perusahaan sareng sistem IT na.
Sanajan kitu, beungeut serangan dimekarkeun teu hijina résiko cyber nu geus mecenghul dina sababaraha poé panungtungan: loba penjahat cyber aktip exploiting kateupastian global ieu pikeun ngalakonan kampanye phishing, ngadistribusikaeun malware sarta ngabalukarkeun ancaman pikeun kaamanan informasi loba pausahaan.
APT ngeksploitasi pandémik
Ahir minggu kamari, grup Advanced Persistent Threat (APT) anu disebut Vicious Panda kapanggih anu ngalaksanakeun kampanye ngalawan , ngagunakeun pandémik coronavirus pikeun nyebarkeun malware na. Surélék nyarioskeun ka panampi éta ngandung inpormasi ngeunaan coronavirus, tapi kanyataanna email éta ngandung dua file RTF (Format Teks Beunghar) anu jahat. Upami korban muka file ieu, hiji Remote Access Trojan (RAT) diluncurkeun, anu, antara anu sanésna, sanggup nyandak Potret layar, nyiptakeun daptar file sareng diréktori dina komputer korban, sareng ngaunduh file.
Kampanye ieu dugi ka ayeuna nargétkeun sektor publik Mongolia, sareng numutkeun sababaraha ahli Kulon, éta ngagambarkeun serangan panganyarna dina operasi Cina anu lumangsung ngalawan sababaraha pamaréntahan sareng organisasi di sakumna dunya. Waktos ieu, peculiarity kampanye nyaéta yén éta ngagunakeun kaayaan koronavirus global énggal pikeun langkung aktip nginféksi korban poténsial na.
Email phishing sigana ti Kementerian Luar Negeri Mongolia sareng nyatakeun ngandung inpormasi ngeunaan jumlah jalma anu katépaan ku virus. Pikeun ngamankeun file ieu, panyerang ngagunakeun RoyalRoad, alat anu populer di kalangan produsén ancaman Cina anu ngamungkinkeun aranjeunna nyiptakeun dokumén khusus sareng objék anu dipasang anu tiasa ngamangpaatkeun kerentanan dina Éditor Persamaan anu terpadu kana MS Word pikeun nyiptakeun persamaan kompleks.
Téhnik salamet
Saatos korban muka file RTF jahat, Microsoft Word ngamangpaatkeun kerentanan pikeun ngamuat file jahat (intel.wll) kana folder ngamimitian Word (%APPDATA%MicrosoftWordSTARTUP). Ngagunakeun métode ieu, teu ngan ancaman jadi tahan banting, tapi ogé nyegah sakabéh ranté inféksi tina detonating nalika ngajalankeun dina sandbox a, saprak Word kudu restarted pikeun pinuh ngajalankeun malware.
File intel.wll teras ngamuat file DLL anu dianggo pikeun ngaunduh malware sareng komunikasi sareng paréntah sareng server kontrol hacker. Server paréntah sareng kontrol beroperasi pikeun waktos anu kawates unggal dinten, janten sesah nganalisa sareng ngaksés bagian anu paling kompleks tina ranté inféksi.
Sanaos ieu, panalungtik tiasa nangtoskeun yén dina tahap mimiti ranté ieu, langsung saatos nampi paréntah anu pas, RAT dimuat sareng didekripsi, sareng DLL dimuat, anu dimuat kana mémori. Arsitéktur anu sapertos plugin nunjukkeun yén aya modul sanés salian ti payload anu ditingali dina kampanye ieu.
Ukuran pelindung ngalawan APT anyar
Kampanye jahat ieu ngagunakeun sababaraha trik pikeun nyusup sistem korbanna teras badé badami kaamanan inpormasina. Pikeun ngajaga diri tina kampanye sapertos kitu, penting pikeun nyandak sababaraha ukuran.
Anu kahiji penting pisan: penting pikeun karyawan janten attentive sareng ati-ati nalika nampi email. Email mangrupikeun salah sahiji vektor serangan utama, tapi ampir teu aya perusahaan anu tiasa ngalakukeun tanpa email. Upami anjeun nampi email ti pangirim anu teu dipikanyaho, langkung saé henteu dibuka, sareng upami anjeun muka éta, maka ulah muka kantétan atanapi klik tautan naon waé.
Pikeun kompromi kaamanan inpormasi korbanna, serangan ieu ngamangpaatkeun kerentanan dina Word. Kanyataanna, kerentanan unpatched anu alesan , sareng sareng masalah kaamanan anu sanés, aranjeunna tiasa nyababkeun pelanggaran data anu ageung. Ieu sababna penting pisan pikeun nerapkeun patch anu pas pikeun nutup kerentanan pas mungkin.
Pikeun ngaleungitkeun masalah ieu, aya solusi anu dirancang khusus pikeun idéntifikasi, . Modul ieu sacara otomatis milarian patches anu dipikabutuh pikeun mastikeun kaamanan komputer perusahaan, prioritas apdet anu paling mendesak sareng ngajadwalkeun pamasanganana. Inpormasi ngeunaan patch anu peryogi pamasangan dilaporkeun ka administrator sanaos eksploitasi sareng malware dideteksi.
Solusina tiasa langsung memicu pamasangan patch sareng apdet anu diperyogikeun, atanapi pamasanganna tiasa dijadwalkeun tina konsol manajemén pusat basis wéb, upami perlu ngasingkeun komputer anu henteu dipasang. Ku cara ieu, pangurus tiasa ngatur patch sareng apdet supados perusahaan tetep lancar.
Hanjakalna, serangan cyber anu ditaroskeun pasti moal janten anu terakhir pikeun ngamangpaatkeun kaayaan koronavirus global ayeuna pikeun kompromi kaamanan inpormasi bisnis.
sumber: www.habr.com