En grupp APT-hot upptäcktes nyligen med spjutnätfiskekampanjer för att utnyttja coronavirus-pandemin för att distribuera sin skadliga programvara.
Världen upplever för närvarande en exceptionell situation på grund av den nuvarande Covid-19 coronavirus-pandemin. För att försöka stoppa spridningen av viruset har ett stort antal företag runt om i världen lanserat ett nytt sätt att arbeta på distans. Detta har avsevärt utökat attackytan, vilket innebär en stor utmaning för företagen vad gäller informationssäkerhet, eftersom de nu behöver upprätta strikta regler och vidta åtgärder. för att säkerställa kontinuitet i driften av företaget och dess IT-system.
Den utökade attackytan är dock inte den enda cyberrisken som har dykt upp de senaste dagarna: många cyberbrottslingar utnyttjar aktivt denna globala osäkerhet för att genomföra nätfiskekampanjer, distribuera skadlig programvara och utgöra ett hot mot informationssäkerheten för många företag.
APT utnyttjar pandemin
I slutet av förra veckan upptäcktes en Advanced Persistent Threat (APT)-grupp vid namn Vicious Panda som genomförde kampanjer mot använder coronavirus-pandemin för att sprida sin skadliga programvara. E-postmeddelandet berättade för mottagaren att det innehöll information om coronaviruset, men i själva verket innehöll e-postmeddelandet två skadliga RTF-filer (Rich Text Format). Om offret öppnade dessa filer, lanserades en Remote Access Trojan (RAT), som bland annat kunde ta skärmdumpar, skapa listor med filer och kataloger på offrets dator och ladda ner filer.
Kampanjen har hittills riktat sig mot Mongoliets offentliga sektor och representerar, enligt vissa västerländska experter, den senaste attacken i den pågående kinesiska operationen mot olika regeringar och organisationer runt om i världen. Den här gången är det speciella med kampanjen att den använder den nya globala coronavirussituationen för att mer aktivt infektera sina potentiella offer.
Nätfiskemeddelandet verkar vara från det mongoliska utrikesministeriet och påstår sig innehålla information om antalet personer som smittats av viruset. För att beväpna den här filen använde angriparna RoyalRoad, ett populärt verktyg bland kinesiska hotskapare som låter dem skapa anpassade dokument med inbäddade objekt som kan utnyttja sårbarheter i ekvationsredigeraren integrerad i MS Word för att skapa komplexa ekvationer.
Överlevnadstekniker
När offret öppnar de skadliga RTF-filerna, utnyttjar Microsoft Word sårbarheten för att ladda den skadliga filen (intel.wll) till Word-startmappen (%APPDATA%MicrosoftWordSTARTUP). Med den här metoden blir hotet inte bara motståndskraftigt, utan det förhindrar också att hela infektionskedjan detonerar när den körs i en sandlåda, eftersom Word måste startas om för att skadlig programvara ska kunna startas fullt ut.
Filen intel.wll laddar sedan en DLL-fil som används för att ladda ner skadlig programvara och kommunicera med hackarens kommando- och kontrollserver. Kommando- och kontrollservern fungerar under en strikt begränsad tid varje dag, vilket gör det svårt att analysera och komma åt de mest komplexa delarna av infektionskedjan.
Trots detta kunde forskarna fastställa att i det första steget av denna kedja, omedelbart efter att ha mottagit lämpligt kommando, laddas RAT och dekrypteras, och DLL:n laddas, som laddas in i minnet. Den pluginliknande arkitekturen antyder att det finns andra moduler utöver nyttolasten som syns i den här kampanjen.
Skyddsåtgärder mot nya APT
Denna skadliga kampanj använder flera knep för att infiltrera sina offers system och sedan äventyra deras informationssäkerhet. För att skydda dig mot sådana kampanjer är det viktigt att vidta en rad åtgärder.
Den första är extremt viktig: det är viktigt för anställda att vara uppmärksamma och försiktiga när de tar emot e-post. E-post är en av de främsta attackvektorerna, men nästan inget företag klarar sig utan e-post. Om du får ett e-postmeddelande från en okänd avsändare är det bättre att inte öppna det, och om du öppnar det, öppna inte några bilagor eller klicka på några länkar.
För att äventyra informationssäkerheten för sina offer utnyttjar denna attack en sårbarhet i Word. Faktum är att olappade sårbarheter är orsaken , och tillsammans med andra säkerhetsproblem kan de leda till stora dataintrång. Det är därför det är så viktigt att använda lämplig patch för att stänga sårbarheten så snart som möjligt.
För att eliminera dessa problem finns det lösningar som är speciellt utformade för identifiering, . Modulen söker automatiskt efter patchar som är nödvändiga för att säkerställa säkerheten för företagets datorer, prioriterar de mest brådskande uppdateringarna och schemalägger installationen av dem. Information om patchar som kräver installation rapporteras till administratören även när missbruk och skadlig programvara upptäcks.
Lösningen kan omedelbart utlösa installationen av nödvändiga patchar och uppdateringar, eller så kan installationen schemaläggas från en webbaserad central hanteringskonsol, vid behov isolera oparpade datorer. På så sätt kan administratören hantera patchar och uppdateringar för att hålla företaget igång smidigt.
Tyvärr kommer cyberattacken i fråga definitivt inte att vara den sista som drar fördel av den nuvarande globala coronavirussituationen för att äventyra företagens informationssäkerhet.
Källa: will.com