తమ మాల్వేర్ను పంపిణీ చేయడానికి కరోనావైరస్ మహమ్మారిని ఉపయోగించుకోవడానికి స్పియర్ ఫిషింగ్ ప్రచారాలను ఉపయోగించి APT బెదిరింపుల సమూహం ఇటీవల కనుగొనబడింది.
ప్రస్తుత కోవిడ్-19 కరోనావైరస్ మహమ్మారి కారణంగా ప్రపంచం ప్రస్తుతం అసాధారణమైన పరిస్థితిని ఎదుర్కొంటోంది. వైరస్ వ్యాప్తిని ఆపడానికి, ప్రపంచవ్యాప్తంగా పెద్ద సంఖ్యలో కంపెనీలు రిమోట్ (రిమోట్) పని యొక్క కొత్త మోడ్ను ప్రారంభించాయి. ఇది దాడి ఉపరితలాన్ని గణనీయంగా విస్తరించింది, ఇది సమాచార భద్రత పరంగా కంపెనీలకు పెద్ద సవాలుగా ఉంది, ఎందుకంటే వారు ఇప్పుడు కఠినమైన నియమాలను ఏర్పాటు చేసి చర్యలు తీసుకోవాలి.
అయితే, విస్తరించిన దాడి ఉపరితలం మాత్రమే గత కొన్ని రోజులుగా ఉద్భవించిన సైబర్ ప్రమాదం కాదు: చాలా మంది సైబర్ నేరస్థులు ఫిషింగ్ ప్రచారాలను నిర్వహించడానికి, మాల్వేర్లను పంపిణీ చేయడానికి మరియు అనేక కంపెనీల సమాచార భద్రతకు ముప్పు కలిగించడానికి ఈ ప్రపంచ అనిశ్చితిని చురుకుగా ఉపయోగించుకుంటున్నారు.
APT మహమ్మారిని దోపిడీ చేస్తుంది
గత వారం చివర్లో, విసియస్ పాండా అనే అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్కు వ్యతిరేకంగా ప్రచారాలు నిర్వహిస్తున్నట్లు కనుగొనబడింది.
ఈ ప్రచారం ఇప్పటివరకు మంగోలియా ప్రభుత్వ రంగాన్ని లక్ష్యంగా చేసుకుంది మరియు కొంతమంది పాశ్చాత్య నిపుణుల అభిప్రాయం ప్రకారం, ప్రపంచవ్యాప్తంగా వివిధ ప్రభుత్వాలు మరియు సంస్థలకు వ్యతిరేకంగా జరుగుతున్న చైనా ఆపరేషన్లో తాజా దాడిని సూచిస్తుంది. ఈసారి, ప్రచారం యొక్క ప్రత్యేకత ఏమిటంటే, ఇది కొత్త ప్రపంచ కరోనావైరస్ పరిస్థితిని దాని సంభావ్య బాధితులను మరింత చురుకుగా సోకడానికి ఉపయోగిస్తోంది.
ఫిషింగ్ ఇమెయిల్ మంగోలియన్ విదేశీ వ్యవహారాల మంత్రిత్వ శాఖ నుండి వచ్చినట్లుగా కనిపిస్తోంది మరియు వైరస్ సోకిన వ్యక్తుల సంఖ్య గురించి సమాచారాన్ని కలిగి ఉందని పేర్కొంది. ఈ ఫైల్ను ఆయుధంగా మార్చడానికి, దాడి చేసేవారు RoyalRoadని ఉపయోగించారు, ఇది చైనీస్ థ్రెట్ మేకర్స్లో ఒక ప్రసిద్ధ సాధనం, ఇది ఎంబెడెడ్ వస్తువులతో అనుకూల పత్రాలను సృష్టించడానికి వీలు కల్పిస్తుంది, ఇది MS వర్డ్లో విలీనం చేయబడిన సమీకరణ ఎడిటర్లోని దుర్బలత్వాలను ఉపయోగించి సంక్లిష్ట సమీకరణాలను సృష్టించవచ్చు.
సర్వైవల్ టెక్నిక్స్
బాధితుడు హానికరమైన RTF ఫైల్లను తెరిచిన తర్వాత, Microsoft Word హానికరమైన ఫైల్ను (intel.wll) Word స్టార్టప్ ఫోల్డర్లోకి (%APPDATA%MicrosoftWordSTARTUP) లోడ్ చేయడానికి దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది. ఈ పద్ధతిని ఉపయోగించి, ముప్పు స్థితిస్థాపకంగా మారడమే కాకుండా, శాండ్బాక్స్లో నడుస్తున్నప్పుడు మొత్తం ఇన్ఫెక్షన్ చైన్ పేలకుండా నిరోధిస్తుంది, ఎందుకంటే మాల్వేర్ను పూర్తిగా ప్రారంభించడానికి వర్డ్ని పునఃప్రారంభించాలి.
intel.wll ఫైల్ మాల్వేర్ను డౌన్లోడ్ చేయడానికి మరియు హ్యాకర్ కమాండ్ మరియు కంట్రోల్ సర్వర్తో కమ్యూనికేట్ చేయడానికి ఉపయోగించే DLL ఫైల్ను లోడ్ చేస్తుంది. కమాండ్ మరియు కంట్రోల్ సర్వర్ ప్రతి రోజు ఖచ్చితంగా పరిమిత సమయం వరకు పనిచేస్తుంది, ఇన్ఫెక్షన్ చైన్లోని అత్యంత సంక్లిష్టమైన భాగాలను విశ్లేషించడం మరియు యాక్సెస్ చేయడం కష్టతరం చేస్తుంది.
అయినప్పటికీ, ఈ గొలుసు యొక్క మొదటి దశలో, తగిన ఆదేశాన్ని స్వీకరించిన వెంటనే, RAT లోడ్ చేయబడి, డీక్రిప్ట్ చేయబడిందని మరియు DLL లోడ్ చేయబడిందని, ఇది మెమరీలోకి లోడ్ చేయబడిందని పరిశోధకులు గుర్తించగలిగారు. ఈ ప్రచారంలో కనిపించే పేలోడ్తో పాటు ఇతర మాడ్యూల్లు కూడా ఉన్నాయని ప్లగ్ఇన్ లాంటి ఆర్కిటెక్చర్ సూచిస్తుంది.
కొత్త APTకి వ్యతిరేకంగా రక్షణ చర్యలు
ఈ హానికరమైన ప్రచారం దాని బాధితుల సిస్టమ్లలోకి చొరబడటానికి మరియు వారి సమాచార భద్రతను రాజీ చేయడానికి బహుళ ఉపాయాలను ఉపయోగిస్తుంది. అటువంటి ప్రచారాల నుండి మిమ్మల్ని మీరు రక్షించుకోవడానికి, అనేక రకాల చర్యలు తీసుకోవడం చాలా ముఖ్యం.
మొదటిది చాలా ముఖ్యమైనది: ఉద్యోగులు ఇమెయిల్లను స్వీకరించేటప్పుడు శ్రద్ధగా మరియు జాగ్రత్తగా ఉండటం ముఖ్యం. ఇమెయిల్ ప్రధాన దాడి వెక్టర్లలో ఒకటి, కానీ దాదాపు ఏ కంపెనీ కూడా ఇమెయిల్ లేకుండా చేయదు. మీకు తెలియని పంపినవారి నుండి మీకు ఇమెయిల్ వస్తే, దాన్ని తెరవకపోవడమే మంచిది మరియు మీరు దానిని తెరిచినట్లయితే, ఎటువంటి జోడింపులను తెరవవద్దు లేదా ఏదైనా లింక్లపై క్లిక్ చేయవద్దు.
దాని బాధితుల సమాచార భద్రతతో రాజీ పడేందుకు, ఈ దాడి Word లో ఒక దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది. నిజానికి, అన్ప్యాచ్ చేయని దుర్బలత్వాలు కారణం
ఈ సమస్యలను తొలగించడానికి, గుర్తింపు కోసం ప్రత్యేకంగా రూపొందించిన పరిష్కారాలు ఉన్నాయి,
పరిష్కారం తక్షణమే అవసరమైన ప్యాచ్లు మరియు అప్డేట్ల ఇన్స్టాలేషన్ను ట్రిగ్గర్ చేయవచ్చు లేదా అవసరమైతే అన్ప్యాచ్ చేయని కంప్యూటర్లను వేరుచేస్తూ వెబ్ ఆధారిత సెంట్రల్ మేనేజ్మెంట్ కన్సోల్ నుండి వాటి ఇన్స్టాలేషన్ షెడ్యూల్ చేయబడుతుంది. ఈ విధంగా, అడ్మినిస్ట్రేటర్ కంపెనీని సజావుగా అమలు చేయడానికి ప్యాచ్లు మరియు అప్డేట్లను నిర్వహించవచ్చు.
దురదృష్టవశాత్తూ, వ్యాపారాల సమాచార భద్రతను రాజీ చేసేందుకు ప్రస్తుత ప్రపంచ కరోనావైరస్ పరిస్థితిని సద్వినియోగం చేసుకునేందుకు సందేహాస్పదమైన సైబర్ దాడి ఖచ్చితంగా చివరిది కాదు.
మూలం: www.habr.com