Yakın zamanda, kötü amaçlı yazılımlarını dağıtmak için koronavirüs pandemisinden yararlanmak amacıyla hedef odaklı kimlik avı kampanyaları kullanan bir grup APT tehdidi keşfedildi.
Dünya şu anda mevcut Kovid-19 koronavirüs salgını nedeniyle olağanüstü bir durum yaşıyor. Virüsün yayılmasını durdurmaya çalışmak için dünya çapında çok sayıda şirket yeni bir uzaktan (uzaktan) çalışma modu başlattı. Bu durum şirketlerin bilgi güvenliği açısından büyük bir zorluk oluşturduğu saldırı yüzeyini önemli ölçüde genişletti, çünkü artık şirketlerin katı kurallar oluşturması ve harekete geçmesi gerekiyor.
Ancak son birkaç günde ortaya çıkan tek siber risk, genişletilmiş saldırı yüzeyi değil: Birçok siber suçlu, kimlik avı kampanyaları yürütmek, kötü amaçlı yazılım dağıtmak ve birçok şirketin bilgi güvenliğine tehdit oluşturmak için bu küresel belirsizlikten aktif olarak yararlanıyor.
APT salgını istismar ediyor
Geçen haftanın sonlarında, Vicious Panda adlı bir Gelişmiş Kalıcı Tehdit (APT) grubunun, Panda'ya karşı kampanyalar yürüttüğü keşfedildi.
Kampanya şu ana kadar Moğolistan'ın kamu sektörünü hedef aldı ve bazı Batılı uzmanlara göre bu, Çin'in dünya çapında çeşitli hükümet ve kuruluşlara yönelik devam eden operasyonundaki en son saldırıyı temsil ediyor. Bu kez kampanyanın özelliği, yeni küresel korona virüs durumunu potansiyel kurbanlarına daha aktif bir şekilde bulaştırmak için kullanmasıdır.
Kimlik avı e-postasının Moğolistan Dışişleri Bakanlığı'ndan geldiği anlaşılıyor ve virüsün bulaştığı kişi sayısı hakkında bilgi içerdiğini iddia ediyor. Saldırganlar, bu dosyayı silah haline getirmek için Çinli tehdit oluşturucular arasında popüler bir araç olan ve karmaşık denklemler oluşturmak için MS Word'e entegre Denklem Düzenleyicisi'ndeki güvenlik açıklarından yararlanabilen gömülü nesneler içeren özel belgeler oluşturmalarına olanak tanıyan RoyalRoad'u kullandı.
Hayatta Kalma Teknikleri
Kurban kötü amaçlı RTF dosyalarını açtığında, Microsoft Word, kötü amaçlı dosyayı (intel.wll) Word başlangıç klasörüne (%APPDATA%MicrosoftWordSTARTUP) yüklemek için bu güvenlik açığından yararlanır. Bu yöntemi kullanarak, yalnızca tehdit dirençli hale gelmekle kalmaz, aynı zamanda kötü amaçlı yazılımın tam olarak başlatılması için Word'ün yeniden başlatılması gerektiğinden, bir sanal alanda çalışırken tüm enfeksiyon zincirinin patlamasını da önler.
intel.wll dosyası daha sonra kötü amaçlı yazılımı indirmek ve bilgisayar korsanının komut ve kontrol sunucusuyla iletişim kurmak için kullanılan bir DLL dosyasını yükler. Komuta ve kontrol sunucusu her gün çok sınırlı bir süre boyunca çalışır ve bu da enfeksiyon zincirinin en karmaşık parçalarının analiz edilmesini ve bunlara erişilmesini zorlaştırır.
Buna rağmen araştırmacılar, bu zincirin ilk aşamasında, uygun komutu aldıktan hemen sonra RAT'ın yüklenip şifresinin çözüldüğünü ve belleğe yüklenen DLL'nin yüklendiğini tespit edebildiler. Eklenti benzeri mimari, bu kampanyada görülen yükün yanı sıra başka modüllerin de olduğunu gösteriyor.
Yeni APT'ye karşı koruyucu önlemler
Bu kötü niyetli kampanya, kurbanlarının sistemlerine sızmak ve ardından bilgi güvenliklerini tehlikeye atmak için birden fazla hile kullanıyor. Kendinizi bu tür kampanyalardan korumak için bir dizi önlem almanız önemlidir.
Bunlardan ilki son derece önemli: Çalışanların e-posta alırken dikkatli ve dikkatli olmaları önemli. E-posta ana saldırı vektörlerinden biridir ancak neredeyse hiçbir şirket e-posta olmadan yapamaz. Bilinmeyen bir göndericiden e-posta alırsanız, onu açmamak daha iyidir; açarsanız hiçbir eki açmayın veya herhangi bir bağlantıya tıklamayın.
Bu saldırı, kurbanlarının bilgi güvenliğini tehlikeye atmak için Word'deki bir güvenlik açığından yararlanıyor. Aslında bunun nedeni yamalanmamış güvenlik açıklarıdır
Bu sorunları ortadan kaldırmak için tanımlamaya özel tasarlanmış çözümler mevcuttur.
Çözüm, gerekli yamaların ve güncellemelerin kurulumunu anında tetikleyebilir veya gerekirse yama yapılmamış bilgisayarları izole ederek kurulumları web tabanlı bir merkezi yönetim konsolundan planlanabilir. Bu şekilde yönetici, şirketin sorunsuz çalışmasını sağlamak için yamaları ve güncellemeleri yönetebilir.
Ne yazık ki söz konusu siber saldırı, işletmelerin bilgi güvenliğini tehlikeye atmak için mevcut küresel koronavirüs durumundan yararlanan son saldırı kesinlikle olmayacak.
Kaynak: habr.com