మాల్‌వేర్‌ను వ్యాప్తి చేయడానికి APT కరోనావైరస్‌ను ఉపయోగిస్తుంది

తమ మాల్‌వేర్‌ను పంపిణీ చేయడానికి కరోనావైరస్ మహమ్మారిని ఉపయోగించుకోవడానికి స్పియర్ ఫిషింగ్ ప్రచారాలను ఉపయోగించి APT బెదిరింపుల సమూహం ఇటీవల కనుగొనబడింది.

ప్రస్తుత కోవిడ్-19 కరోనావైరస్ మహమ్మారి కారణంగా ప్రపంచం ప్రస్తుతం అసాధారణమైన పరిస్థితిని ఎదుర్కొంటోంది. వైరస్ వ్యాప్తిని ఆపడానికి, ప్రపంచవ్యాప్తంగా పెద్ద సంఖ్యలో కంపెనీలు రిమోట్ (రిమోట్) పని యొక్క కొత్త మోడ్‌ను ప్రారంభించాయి. ఇది దాడి ఉపరితలాన్ని గణనీయంగా విస్తరించింది, ఇది సమాచార భద్రత పరంగా కంపెనీలకు పెద్ద సవాలుగా ఉంది, ఎందుకంటే వారు ఇప్పుడు కఠినమైన నియమాలను ఏర్పాటు చేసి చర్యలు తీసుకోవాలి. అనేక చర్యలు ఎంటర్‌ప్రైజ్ మరియు దాని IT సిస్టమ్స్ యొక్క ఆపరేషన్ కొనసాగింపును నిర్ధారించడానికి.

అయితే, విస్తరించిన దాడి ఉపరితలం మాత్రమే గత కొన్ని రోజులుగా ఉద్భవించిన సైబర్ ప్రమాదం కాదు: చాలా మంది సైబర్ నేరస్థులు ఫిషింగ్ ప్రచారాలను నిర్వహించడానికి, మాల్వేర్‌లను పంపిణీ చేయడానికి మరియు అనేక కంపెనీల సమాచార భద్రతకు ముప్పు కలిగించడానికి ఈ ప్రపంచ అనిశ్చితిని చురుకుగా ఉపయోగించుకుంటున్నారు.

APT మహమ్మారిని దోపిడీ చేస్తుంది

గత వారం చివర్లో, విసియస్ పాండా అనే అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్‌కు వ్యతిరేకంగా ప్రచారాలు నిర్వహిస్తున్నట్లు కనుగొనబడింది. స్పియర్ ఫిషింగ్, తమ మాల్‌వేర్‌ను వ్యాప్తి చేయడానికి కరోనావైరస్ మహమ్మారిని ఉపయోగించడం. ఈ ఇమెయిల్ గ్రహీతకు కరోనావైరస్ గురించిన సమాచారాన్ని కలిగి ఉందని చెప్పింది, అయితే వాస్తవానికి ఇమెయిల్‌లో రెండు హానికరమైన RTF (రిచ్ టెక్స్ట్ ఫార్మాట్) ఫైల్‌లు ఉన్నాయి. బాధితుడు ఈ ఫైల్‌లను తెరిస్తే, రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) ప్రారంభించబడింది, ఇది ఇతర విషయాలతోపాటు, స్క్రీన్‌షాట్‌లను తీయగలదు, బాధితుడి కంప్యూటర్‌లో ఫైల్‌లు మరియు డైరెక్టరీల జాబితాలను సృష్టించగలదు మరియు ఫైల్‌లను డౌన్‌లోడ్ చేయగలదు.

ఈ ప్రచారం ఇప్పటివరకు మంగోలియా ప్రభుత్వ రంగాన్ని లక్ష్యంగా చేసుకుంది మరియు కొంతమంది పాశ్చాత్య నిపుణుల అభిప్రాయం ప్రకారం, ప్రపంచవ్యాప్తంగా వివిధ ప్రభుత్వాలు మరియు సంస్థలకు వ్యతిరేకంగా జరుగుతున్న చైనా ఆపరేషన్‌లో తాజా దాడిని సూచిస్తుంది. ఈసారి, ప్రచారం యొక్క ప్రత్యేకత ఏమిటంటే, ఇది కొత్త ప్రపంచ కరోనావైరస్ పరిస్థితిని దాని సంభావ్య బాధితులను మరింత చురుకుగా సోకడానికి ఉపయోగిస్తోంది.

ఫిషింగ్ ఇమెయిల్ మంగోలియన్ విదేశీ వ్యవహారాల మంత్రిత్వ శాఖ నుండి వచ్చినట్లుగా కనిపిస్తోంది మరియు వైరస్ సోకిన వ్యక్తుల సంఖ్య గురించి సమాచారాన్ని కలిగి ఉందని పేర్కొంది. ఈ ఫైల్‌ను ఆయుధంగా మార్చడానికి, దాడి చేసేవారు RoyalRoadని ఉపయోగించారు, ఇది చైనీస్ థ్రెట్ మేకర్స్‌లో ఒక ప్రసిద్ధ సాధనం, ఇది ఎంబెడెడ్ వస్తువులతో అనుకూల పత్రాలను సృష్టించడానికి వీలు కల్పిస్తుంది, ఇది MS వర్డ్‌లో విలీనం చేయబడిన సమీకరణ ఎడిటర్‌లోని దుర్బలత్వాలను ఉపయోగించి సంక్లిష్ట సమీకరణాలను సృష్టించవచ్చు.

సర్వైవల్ టెక్నిక్స్

బాధితుడు హానికరమైన RTF ఫైల్‌లను తెరిచిన తర్వాత, Microsoft Word హానికరమైన ఫైల్‌ను (intel.wll) Word స్టార్టప్ ఫోల్డర్‌లోకి (%APPDATA%MicrosoftWordSTARTUP) లోడ్ చేయడానికి దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది. ఈ పద్ధతిని ఉపయోగించి, ముప్పు స్థితిస్థాపకంగా మారడమే కాకుండా, శాండ్‌బాక్స్‌లో నడుస్తున్నప్పుడు మొత్తం ఇన్‌ఫెక్షన్ చైన్ పేలకుండా నిరోధిస్తుంది, ఎందుకంటే మాల్వేర్‌ను పూర్తిగా ప్రారంభించడానికి వర్డ్‌ని పునఃప్రారంభించాలి.

intel.wll ఫైల్ మాల్వేర్‌ను డౌన్‌లోడ్ చేయడానికి మరియు హ్యాకర్ కమాండ్ మరియు కంట్రోల్ సర్వర్‌తో కమ్యూనికేట్ చేయడానికి ఉపయోగించే DLL ఫైల్‌ను లోడ్ చేస్తుంది. కమాండ్ మరియు కంట్రోల్ సర్వర్ ప్రతి రోజు ఖచ్చితంగా పరిమిత సమయం వరకు పనిచేస్తుంది, ఇన్ఫెక్షన్ చైన్‌లోని అత్యంత సంక్లిష్టమైన భాగాలను విశ్లేషించడం మరియు యాక్సెస్ చేయడం కష్టతరం చేస్తుంది.

అయినప్పటికీ, ఈ గొలుసు యొక్క మొదటి దశలో, తగిన ఆదేశాన్ని స్వీకరించిన వెంటనే, RAT లోడ్ చేయబడి, డీక్రిప్ట్ చేయబడిందని మరియు DLL లోడ్ చేయబడిందని, ఇది మెమరీలోకి లోడ్ చేయబడిందని పరిశోధకులు గుర్తించగలిగారు. ఈ ప్రచారంలో కనిపించే పేలోడ్‌తో పాటు ఇతర మాడ్యూల్‌లు కూడా ఉన్నాయని ప్లగ్ఇన్ లాంటి ఆర్కిటెక్చర్ సూచిస్తుంది.

కొత్త APTకి వ్యతిరేకంగా రక్షణ చర్యలు

ఈ హానికరమైన ప్రచారం దాని బాధితుల సిస్టమ్‌లలోకి చొరబడటానికి మరియు వారి సమాచార భద్రతను రాజీ చేయడానికి బహుళ ఉపాయాలను ఉపయోగిస్తుంది. అటువంటి ప్రచారాల నుండి మిమ్మల్ని మీరు రక్షించుకోవడానికి, అనేక రకాల చర్యలు తీసుకోవడం చాలా ముఖ్యం.

మొదటిది చాలా ముఖ్యమైనది: ఉద్యోగులు ఇమెయిల్‌లను స్వీకరించేటప్పుడు శ్రద్ధగా మరియు జాగ్రత్తగా ఉండటం ముఖ్యం. ఇమెయిల్ ప్రధాన దాడి వెక్టర్‌లలో ఒకటి, కానీ దాదాపు ఏ కంపెనీ కూడా ఇమెయిల్ లేకుండా చేయదు. మీకు తెలియని పంపినవారి నుండి మీకు ఇమెయిల్ వస్తే, దాన్ని తెరవకపోవడమే మంచిది మరియు మీరు దానిని తెరిచినట్లయితే, ఎటువంటి జోడింపులను తెరవవద్దు లేదా ఏదైనా లింక్‌లపై క్లిక్ చేయవద్దు.

దాని బాధితుల సమాచార భద్రతతో రాజీ పడేందుకు, ఈ దాడి Word లో ఒక దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది. నిజానికి, అన్‌ప్యాచ్ చేయని దుర్బలత్వాలు కారణం అనేక సైబర్ దాడుల విజయం, మరియు ఇతర భద్రతా సమస్యలతో పాటు, అవి పెద్ద డేటా ఉల్లంఘనలకు దారితీయవచ్చు. అందువల్ల వీలైనంత త్వరగా దుర్బలత్వాన్ని మూసివేయడానికి తగిన ప్యాచ్‌ను వర్తింపజేయడం చాలా ముఖ్యం.

ఈ సమస్యలను తొలగించడానికి, గుర్తింపు కోసం ప్రత్యేకంగా రూపొందించిన పరిష్కారాలు ఉన్నాయి, ప్యాచ్‌ల నిర్వహణ మరియు సంస్థాపన. కంపెనీ కంప్యూటర్‌ల భద్రతను నిర్ధారించడానికి అవసరమైన ప్యాచ్‌ల కోసం మాడ్యూల్ స్వయంచాలకంగా శోధిస్తుంది, అత్యంత అత్యవసర నవీకరణలకు ప్రాధాన్యతనిస్తుంది మరియు వాటి ఇన్‌స్టాలేషన్‌ను షెడ్యూల్ చేస్తుంది. దోపిడీలు మరియు మాల్వేర్ గుర్తించబడినప్పుడు కూడా ఇన్‌స్టాలేషన్ అవసరమయ్యే ప్యాచ్‌ల గురించిన సమాచారం నిర్వాహకులకు నివేదించబడుతుంది.

పరిష్కారం తక్షణమే అవసరమైన ప్యాచ్‌లు మరియు అప్‌డేట్‌ల ఇన్‌స్టాలేషన్‌ను ట్రిగ్గర్ చేయవచ్చు లేదా అవసరమైతే అన్‌ప్యాచ్ చేయని కంప్యూటర్‌లను వేరుచేస్తూ వెబ్ ఆధారిత సెంట్రల్ మేనేజ్‌మెంట్ కన్సోల్ నుండి వాటి ఇన్‌స్టాలేషన్ షెడ్యూల్ చేయబడుతుంది. ఈ విధంగా, అడ్మినిస్ట్రేటర్ కంపెనీని సజావుగా అమలు చేయడానికి ప్యాచ్‌లు మరియు అప్‌డేట్‌లను నిర్వహించవచ్చు.

దురదృష్టవశాత్తూ, వ్యాపారాల సమాచార భద్రతను రాజీ చేసేందుకు ప్రస్తుత ప్రపంచ కరోనావైరస్ పరిస్థితిని సద్వినియోగం చేసుకునేందుకు సందేహాస్పదమైన సైబర్ దాడి ఖచ్చితంగా చివరిది కాదు.

మూలం: www.habr.com