Kikundi cha matishio cha APT kiligunduliwa hivi majuzi kwa kutumia kampeni za kuhadaa ili kutumia janga la coronavirus kusambaza programu hasidi.
Ulimwengu kwa sasa unakabiliwa na hali ya kipekee kutokana na janga la sasa la Covid-19. Ili kujaribu kuzuia kuenea kwa virusi, idadi kubwa ya makampuni duniani kote imezindua mode mpya ya kazi ya kijijini (ya mbali). Hii imepanua kwa kiasi kikubwa eneo la mashambulizi, ambayo inaleta changamoto kubwa kwa makampuni katika suala la usalama wa habari, kwa kuwa sasa wanahitaji kuweka sheria kali na kuchukua hatua.
Hata hivyo, eneo la mashambulizi lililopanuliwa sio hatari pekee ya mtandao ambayo imejitokeza katika siku chache zilizopita: wahalifu wengi wa mtandao wanatumia kikamilifu kutokuwa na uhakika huu wa kimataifa kufanya kampeni za kuhadaa, kusambaza programu hasidi na kuwa tishio kwa usalama wa habari wa kampuni nyingi.
APT hutumia janga hili
Mwishoni mwa wiki iliyopita, kikundi cha Advanced Persistent Threat (APT) kiitwacho Vicious Panda kiligunduliwa ambacho kilikuwa kikiendesha kampeni dhidi ya
Kampeni hiyo hadi sasa imelenga sekta ya umma ya Mongolia, na kwa mujibu wa baadhi ya wataalam wa Magharibi, inawakilisha mashambulizi ya hivi karibuni katika operesheni inayoendelea ya China dhidi ya serikali na mashirika mbalimbali duniani kote. Wakati huu, upekee wa kampeni hiyo ni kwamba inatumia hali mpya ya kimataifa ya virusi vya corona kuwaambukiza zaidi waathiriwa wake.
Barua pepe hiyo ya ulaghai inaonekana kutoka kwa Wizara ya Mambo ya Nje ya Mongolia na inadai kuwa na habari kuhusu idadi ya watu walioambukizwa virusi hivyo. Ili kuweka faili hii silaha, washambuliaji walitumia RoyalRoad, zana maarufu kati ya watoa vitisho wa China ambayo inawaruhusu kuunda hati maalum na vipengee vilivyopachikwa ambavyo vinaweza kutumia udhaifu katika Kihariri cha Mlinganyo kilichounganishwa katika MS Word ili kuunda milinganyo changamano.
Mbinu za Kuishi
Mara tu mwathirika anapofungua faili hasidi za RTF, Microsoft Word hutumia uwezekano wa kupakia faili hasidi (intel.wll) kwenye folda ya kuanza ya Neno (%APPDATA%MicrosoftWordSTARTUP). Kwa kutumia njia hii, sio tu kwamba tishio huwa sugu, lakini pia huzuia msururu mzima wa maambukizo kulipuka wakati unaendesha kwenye kisanduku cha mchanga, kwani Neno lazima liwashwe upya ili kuzindua programu hasidi kikamilifu.
Faili ya intel.wll kisha hupakia faili ya DLL ambayo hutumika kupakua programu hasidi na kuwasiliana na seva ya udhibiti na amri ya mdukuzi. Seva ya amri na udhibiti hufanya kazi kwa muda mfupi sana kila siku, na hivyo kufanya kuwa vigumu kuchanganua na kufikia sehemu ngumu zaidi za mlolongo wa maambukizi.
Licha ya hili, watafiti waliweza kuamua kwamba katika hatua ya kwanza ya mlolongo huu, mara baada ya kupokea amri inayofaa, RAT imefungwa na kufutwa, na DLL imefungwa, ambayo imefungwa kwenye kumbukumbu. Usanifu unaofanana na programu-jalizi unapendekeza kuwa kuna moduli zingine pamoja na mzigo unaoonekana kwenye kampeni hii.
Hatua za kinga dhidi ya APT mpya
Kampeni hii hasidi hutumia hila nyingi kupenyeza mifumo ya wahasiriwa wake na kisha kuhatarisha usalama wao wa habari. Ili kujikinga na kampeni kama hizo, ni muhimu kuchukua hatua kadhaa.
Ya kwanza ni muhimu sana: ni muhimu kwa wafanyikazi kuwa wasikivu na waangalifu wanapopokea barua pepe. Barua pepe ni mojawapo ya vivekta kuu vya mashambulizi, lakini karibu hakuna kampuni inayoweza kufanya bila barua pepe. Ikiwa unapokea barua pepe kutoka kwa mtumaji asiyejulikana, ni bora usiifungue, na ikiwa utaifungua, basi usifungue viambatisho vyovyote au bonyeza kwenye viungo vyovyote.
Ili kuhatarisha usalama wa taarifa wa wahasiriwa wake, shambulio hili linatumia udhaifu katika Word. Kwa kweli, udhaifu usio na viraka ndio sababu
Ili kuondoa shida hizi, kuna suluhisho iliyoundwa mahsusi kwa utambuzi,
Suluhisho linaweza kuanzisha mara moja usakinishaji wa viraka na visasisho vinavyohitajika, au usakinishaji wao unaweza kupangwa kutoka kwa koni ya usimamizi wa msingi wa wavuti, ikiwa ni lazima kutenganisha kompyuta ambazo hazijafungwa. Kwa njia hii, msimamizi anaweza kudhibiti viraka na masasisho ili kuweka kampuni iendeshe vizuri.
Kwa bahati mbaya, shambulio la mtandao linalozungumziwa hakika halitakuwa la mwisho kuchukua fursa ya hali ya sasa ya ulimwengu ya coronavirus kuhatarisha usalama wa habari wa biashara.
Chanzo: mapenzi.com