Isang pangkat ng mga banta sa APT ang natuklasan kamakailan gamit ang mga spear phishing na kampanya upang pagsamantalahan ang pandemya ng coronavirus upang ipamahagi ang kanilang malware.
Ang mundo ay kasalukuyang nakakaranas ng isang pambihirang sitwasyon dahil sa kasalukuyang Covid-19 coronavirus pandemic. Upang subukang pigilan ang pagkalat ng virus, maraming kumpanya sa buong mundo ang naglunsad ng bagong mode ng remote (remote) na trabaho. Ito ay makabuluhang pinalawak ang ibabaw ng pag-atake, na nagdudulot ng isang malaking hamon para sa mga kumpanya sa mga tuntunin ng seguridad ng impormasyon, dahil kailangan na nilang magtatag ng mahigpit na mga panuntunan at kumilos. upang matiyak ang pagpapatuloy ng operasyon ng enterprise at ang mga IT system nito.
Gayunpaman, ang pinalawak na pag-atake ay hindi lamang ang panganib sa cyber na lumitaw sa huling ilang araw: maraming cyber criminal ang aktibong nagsasamantala sa pandaigdigang kawalan ng katiyakan upang magsagawa ng mga kampanya sa phishing, mamahagi ng malware at magdulot ng banta sa seguridad ng impormasyon ng maraming kumpanya.
Sinasamantala ng APT ang pandemya
Noong nakaraang linggo, natuklasan ang isang Advanced Persistent Threat (APT) group na tinatawag na Vicious Panda na nagsasagawa ng mga kampanya laban sa , gamit ang coronavirus pandemic para maikalat ang kanilang malware. Sinabi ng email sa tatanggap na naglalaman ito ng impormasyon tungkol sa coronavirus, ngunit sa katunayan ang email ay naglalaman ng dalawang malisyosong RTF (Rich Text Format) file. Kung binuksan ng biktima ang mga file na ito, isang Remote Access Trojan (RAT) ang inilunsad, na, bukod sa iba pang mga bagay, ay may kakayahang kumuha ng mga screenshot, lumikha ng mga listahan ng mga file at direktoryo sa computer ng biktima, at mag-download ng mga file.
Ang kampanya ay hanggang ngayon ay naka-target sa pampublikong sektor ng Mongolia at, ayon sa ilang mga eksperto sa Kanluran, ay kumakatawan sa pinakabagong pag-atake sa patuloy na operasyon ng China laban sa iba't ibang mga pamahalaan at organisasyon sa buong mundo. Sa pagkakataong ito, ang kakaiba ng kampanya ay ang paggamit nito ng bagong pandaigdigang sitwasyon ng coronavirus upang mas aktibong mahawahan ang mga potensyal na biktima nito.
Ang phishing email ay lumilitaw na mula sa Mongolian Ministry of Foreign Affairs at sinasabing naglalaman ng impormasyon tungkol sa bilang ng mga taong nahawaan ng virus. Upang gawing sandata ang file na ito, ginamit ng mga umaatake ang RoyalRoad, isang sikat na tool sa mga gumagawa ng pagbabanta ng Chinese na nagpapahintulot sa kanila na lumikha ng mga custom na dokumento na may mga naka-embed na bagay na maaaring pagsamantalahan ang mga kahinaan sa Equation Editor na isinama sa MS Word upang lumikha ng mga kumplikadong equation.
Mga diskarte sa kaligtasan ng buhay
Sa sandaling mabuksan ng biktima ang mga nakakahamak na RTF file, sinasamantala ng Microsoft Word ang kahinaan upang i-load ang nakakahamak na file (intel.wll) sa Word startup folder (%APPDATA%MicrosoftWordSTARTUP). Gamit ang pamamaraang ito, hindi lamang nagiging nababanat ang banta, ngunit pinipigilan din nito ang buong chain ng impeksyon na sumabog kapag tumatakbo sa isang sandbox, dahil dapat na i-restart ang Word upang ganap na mailunsad ang malware.
Ang intel.wll file ay naglo-load ng isang DLL file na ginagamit upang i-download ang malware at makipag-ugnayan sa command at control server ng hacker. Gumagana ang command at control server sa isang mahigpit na limitadong yugto ng panahon bawat araw, na nagpapahirap sa pagsusuri at pag-access sa mga pinakakumplikadong bahagi ng chain ng impeksyon.
Sa kabila nito, natukoy ng mga mananaliksik na sa unang yugto ng kadena na ito, kaagad pagkatapos matanggap ang naaangkop na utos, ang RAT ay na-load at na-decrypt, at ang DLL ay na-load, na na-load sa memorya. Ang arkitektura na tulad ng plugin ay nagmumungkahi na mayroong iba pang mga module bilang karagdagan sa payload na nakikita sa kampanyang ito.
Mga proteksiyon na hakbang laban sa bagong APT
Gumagamit ang nakakahamak na kampanyang ito ng maraming mga trick upang makapasok sa mga system ng mga biktima nito at pagkatapos ay ikompromiso ang kanilang seguridad ng impormasyon. Upang maprotektahan ang iyong sarili mula sa mga naturang kampanya, mahalagang gumawa ng isang hanay ng mga hakbang.
Ang una ay napakahalaga: mahalaga para sa mga empleyado na maging matulungin at maingat kapag tumatanggap ng mga email. Ang email ay isa sa mga pangunahing vector ng pag-atake, ngunit halos walang kumpanya ang makakagawa nang walang email. Kung nakatanggap ka ng isang email mula sa isang hindi kilalang nagpadala, mas mahusay na huwag buksan ito, at kung bubuksan mo ito, pagkatapos ay huwag magbukas ng anumang mga attachment o mag-click sa anumang mga link.
Upang ikompromiso ang seguridad ng impormasyon ng mga biktima nito, sinasamantala ng pag-atakeng ito ang isang kahinaan sa Word. Sa katunayan, ang hindi natatakpan na mga kahinaan ang dahilan , at kasama ng iba pang mga isyu sa seguridad, maaari silang humantong sa mga pangunahing paglabag sa data. Ito ang dahilan kung bakit napakahalagang ilapat ang naaangkop na patch upang isara ang kahinaan sa lalong madaling panahon.
Upang maalis ang mga problemang ito, may mga solusyon na partikular na idinisenyo para sa pagkilala, . Awtomatikong naghahanap ang module ng mga patch na kinakailangan upang matiyak ang seguridad ng mga computer ng kumpanya, na inuuna ang mga pinaka-kagyat na update at pag-iskedyul ng kanilang pag-install. Ang impormasyon tungkol sa mga patch na nangangailangan ng pag-install ay iniuulat sa administrator kahit na may nakitang mga pagsasamantala at malware.
Ang solusyon ay maaaring agad na ma-trigger ang pag-install ng mga kinakailangang patch at update, o ang kanilang pag-install ay maaaring iiskedyul mula sa isang web-based na central management console, kung kinakailangan, ihiwalay ang mga hindi na-patch na computer. Sa ganitong paraan, maaaring pamahalaan ng administrator ang mga patch at update para mapanatiling maayos ang pagtakbo ng kumpanya.
Sa kasamaang palad, ang pag-atake sa cyber na pinag-uusapan ay tiyak na hindi ang huling samantalahin ang kasalukuyang sitwasyon ng pandaigdigang coronavirus upang ikompromiso ang seguridad ng impormasyon ng mga negosyo.
Pinagmulan: www.habr.com