Kikundi cha matishio cha APT kiligunduliwa hivi majuzi kwa kutumia kampeni za kuhadaa ili kutumia janga la coronavirus kusambaza programu hasidi.
Ulimwengu kwa sasa unakabiliwa na hali ya kipekee kutokana na janga la sasa la Covid-19. Ili kujaribu kuzuia kuenea kwa virusi, idadi kubwa ya makampuni duniani kote imezindua mode mpya ya kazi ya kijijini (ya mbali). Hii imepanua kwa kiasi kikubwa eneo la mashambulizi, ambayo inaleta changamoto kubwa kwa makampuni katika suala la usalama wa habari, kwa kuwa sasa wanahitaji kuweka sheria kali na kuchukua hatua. ili kuhakikisha mwendelezo wa uendeshaji wa biashara na mifumo yake ya IT.
Hata hivyo, eneo la mashambulizi lililopanuliwa sio hatari pekee ya mtandao ambayo imejitokeza katika siku chache zilizopita: wahalifu wengi wa mtandao wanatumia kikamilifu kutokuwa na uhakika huu wa kimataifa kufanya kampeni za kuhadaa, kusambaza programu hasidi na kuwa tishio kwa usalama wa habari wa kampuni nyingi.
APT hutumia janga hili
Mwishoni mwa wiki iliyopita, kikundi cha Advanced Persistent Threat (APT) kiitwacho Vicious Panda kiligunduliwa ambacho kilikuwa kikiendesha kampeni dhidi ya , kwa kutumia janga la coronavirus kueneza programu hasidi. Barua pepe hiyo ilimwambia mpokeaji kuwa ilikuwa na habari kuhusu virusi vya corona, lakini barua pepe hiyo ilikuwa na faili mbili mbaya za RTF (Rich Text Format). Ikiwa mhasiriwa alifungua faili hizi, Trojan ya Upatikanaji wa Remote (RAT) ilizinduliwa, ambayo, kati ya mambo mengine, ilikuwa na uwezo wa kuchukua skrini, kuunda orodha za faili na saraka kwenye kompyuta ya mwathirika, na kupakua faili.
Kampeni hiyo hadi sasa imelenga sekta ya umma ya Mongolia, na kwa mujibu wa baadhi ya wataalam wa Magharibi, inawakilisha mashambulizi ya hivi karibuni katika operesheni inayoendelea ya China dhidi ya serikali na mashirika mbalimbali duniani kote. Wakati huu, upekee wa kampeni hiyo ni kwamba inatumia hali mpya ya kimataifa ya virusi vya corona kuwaambukiza zaidi waathiriwa wake.
Barua pepe hiyo ya ulaghai inaonekana kutoka kwa Wizara ya Mambo ya Nje ya Mongolia na inadai kuwa na habari kuhusu idadi ya watu walioambukizwa virusi hivyo. Ili kuweka faili hii silaha, washambuliaji walitumia RoyalRoad, zana maarufu kati ya watoa vitisho wa China ambayo inawaruhusu kuunda hati maalum na vipengee vilivyopachikwa ambavyo vinaweza kutumia udhaifu katika Kihariri cha Mlinganyo kilichounganishwa katika MS Word ili kuunda milinganyo changamano.
Mbinu za Kuishi
Mara tu mwathirika anapofungua faili hasidi za RTF, Microsoft Word hutumia uwezekano wa kupakia faili hasidi (intel.wll) kwenye folda ya kuanza ya Neno (%APPDATA%MicrosoftWordSTARTUP). Kwa kutumia njia hii, sio tu kwamba tishio huwa sugu, lakini pia huzuia msururu mzima wa maambukizo kulipuka wakati unaendesha kwenye kisanduku cha mchanga, kwani Neno lazima liwashwe upya ili kuzindua programu hasidi kikamilifu.
Faili ya intel.wll kisha hupakia faili ya DLL ambayo hutumika kupakua programu hasidi na kuwasiliana na seva ya udhibiti na amri ya mdukuzi. Seva ya amri na udhibiti hufanya kazi kwa muda mfupi sana kila siku, na hivyo kufanya kuwa vigumu kuchanganua na kufikia sehemu ngumu zaidi za mlolongo wa maambukizi.
Licha ya hili, watafiti waliweza kuamua kwamba katika hatua ya kwanza ya mlolongo huu, mara baada ya kupokea amri inayofaa, RAT imefungwa na kufutwa, na DLL imefungwa, ambayo imefungwa kwenye kumbukumbu. Usanifu unaofanana na programu-jalizi unapendekeza kuwa kuna moduli zingine pamoja na mzigo unaoonekana kwenye kampeni hii.
Hatua za kinga dhidi ya APT mpya
Kampeni hii hasidi hutumia hila nyingi kupenyeza mifumo ya wahasiriwa wake na kisha kuhatarisha usalama wao wa habari. Ili kujikinga na kampeni kama hizo, ni muhimu kuchukua hatua kadhaa.
Ya kwanza ni muhimu sana: ni muhimu kwa wafanyikazi kuwa wasikivu na waangalifu wanapopokea barua pepe. Barua pepe ni mojawapo ya vivekta kuu vya mashambulizi, lakini karibu hakuna kampuni inayoweza kufanya bila barua pepe. Ikiwa unapokea barua pepe kutoka kwa mtumaji asiyejulikana, ni bora usiifungue, na ikiwa utaifungua, basi usifungue viambatisho vyovyote au bonyeza kwenye viungo vyovyote.
Ili kuhatarisha usalama wa taarifa wa wahasiriwa wake, shambulio hili linatumia udhaifu katika Word. Kwa kweli, udhaifu usio na viraka ndio sababu , na pamoja na masuala mengine ya usalama, yanaweza kusababisha ukiukaji mkubwa wa data. Hii ndiyo sababu ni muhimu sana kutumia kiraka kinachofaa ili kufunga athari haraka iwezekanavyo.
Ili kuondoa shida hizi, kuna suluhisho iliyoundwa mahsusi kwa utambuzi, . Moduli hutafuta kiotomatiki viraka vinavyohitajika ili kuhakikisha usalama wa kompyuta za kampuni, ikiweka kipaumbele masasisho ya haraka zaidi na kuratibu usakinishaji wao. Taarifa kuhusu viraka vinavyohitaji usakinishaji huripotiwa kwa msimamizi hata wakati matumizi mabaya na programu hasidi yanapogunduliwa.
Suluhisho linaweza kuanzisha mara moja usakinishaji wa viraka na visasisho vinavyohitajika, au usakinishaji wao unaweza kupangwa kutoka kwa koni ya usimamizi wa msingi wa wavuti, ikiwa ni lazima kutenganisha kompyuta ambazo hazijafungwa. Kwa njia hii, msimamizi anaweza kudhibiti viraka na masasisho ili kuweka kampuni iendeshe vizuri.
Kwa bahati mbaya, shambulio la mtandao linalozungumziwa hakika halitakuwa la mwisho kuchukua fursa ya hali ya sasa ya ulimwengu ya coronavirus kuhatarisha usalama wa habari wa biashara.
Chanzo: mapenzi.com