Нещодавно виявлено групу APT-загроз, яка в рамках кампаній з цільового фішингу використовувала пандемію коронавірусу для поширення свого шкідливого програмного забезпечення.
В даний час світ переживає виняткову ситуацію, пов'язану із нинішньою пандемією коронавірусу Covid-19. Щоб спробувати зупинити поширення вірусу, велика кількість компаній у всьому світі запустили новий режим віддаленої (дистанційної) роботи. Ця обставина значно розширила поверхню атаки, що є великою проблемою для компаній у плані інформаційної безпеки, оскільки тепер їм необхідно встановити жорсткі правила та робити для забезпечення безперервності роботи підприємства та його ІТ-систем.
Однак розширена поверхня атак – це не єдиний кібер-ризик, що виник останні кілька днів: багато кібер-злочинців активно використовують цю глобальну невизначеність для проведення фішингових кампаній, поширення шкідливих програм і створення загрози інформаційній безпеці для багатьох компаній.
APT використовує пандемію
Наприкінці минулого тижня було виявлено групу постійних загроз підвищеної складності (Advanced Persistent Threat, APT), яка отримала назву Vicious Panda, яка проводила кампанії з , використовуючи пандемію коронавірусу поширення свого шкідливого ПЗ. В електронному листі одержувачу повідомлялося, що він містить інформацію про коронавірус, але насправді в листі було два шкідливі файли RTF (формат Rich Text). Якщо жертва відкривала ці файли, то запускався троян віддаленого доступу (Remote Access Trojan, RAT), який також здатний робити скріншоти, створювати списки файлів і каталогів на комп'ютері жертви, а також завантажувати файли.
Досі ця кампанія була спрямована проти державного сектору Монголії, і, на думку ряду західних експертів, вона є найсвіжішою атакою в китайській операції, що триває, проти різних урядів і організацій по всьому світу. Цього разу особливістю кампанії є те, що вона використовує нову світову ситуацію з коронавірусом для активнішого зараження своїх потенційних жертв.
Фішингове лист виглядає так, ніби він був відправлений з Міністерства закордонних справ Монголії, і в ньому стверджується, що він містить інформацію про кількість людей, заражених вірусом. Щоб «озброїти» цей файл, зловмисники використовували RoyalRoad – популярний інструмент серед китайських творців загроз, який дозволяє їм створювати документи з вбудованими об'єктами, здатні використовувати вразливості в Редакторі рівнянь, інтегрованому в MS Word для створення складних рівнянь.
Техніки підвищення живучості
Як тільки жертва відкриває шкідливі файли RTF, Microsoft Word використовується вразливість для завантаження шкідливого файлу (intel.wll) в папку автозавантаження Word (%APPDATA%MicrosoftWordSTARTUP). За допомогою цього методу загроза не тільки набуває стійкості, але і запобігає детонації всього ланцюжка зараження при її запуску в пісочниці, оскільки для повного запуску шкідливого ПЗ потрібно перезапустити Word.
Потім файл intel.wll завантажує DLL-файл, який використовується для завантаження шкідливого програмного забезпечення та для зв'язку з сервером управління хакера. Робота сервера управління здійснюється протягом строго обмеженого періоду часу щодня, що ускладнює аналіз та доступ до найскладніших частин ланцюжка зараження.
Незважаючи на це, дослідники змогли встановити, що на першому етапі цього ланцюжка відразу після отримання відповідної команди завантажується та розшифровується RAT, а також завантажується DLL, який завантажується в пам'ять. Архітектура, схожа на плагін, передбачає, що на додаток до корисного навантаження, поміченого в цій кампанії, є й інші модулі.
Заходи захисту від нового APT
Ця шкідлива кампанія має безліч способів обману, що дозволяють проникнути в системи своїх жертв і після цього поставити під загрозу їхню інформаційну безпеку. Щоб захиститися від таких кампаній, важливо вживати цілої низки заходів.
Перша з них є надзвичайно важливою: при отриманні електронних листів співробітникам важливо бути уважними та обережними. Електронна пошта є одним з основних векторів атаки, але без пошти не може обійтися майже жодна компанія. Якщо ви отримали листа від невідомого відправника, то краще не відкривайте його, а якщо все ж таки відкрили його, то не відкривайте жодних вкладень і не натискайте на будь-які посилання.
Щоб поставити під загрозу інформаційну безпеку своїх жертв, ця атака використовує вразливість у Word. Насправді незакриті вразливості є причиною , а також поряд з іншими проблемами безпеки вони можуть призвести до великих порушень даних. Ось чому так важливо якнайшвидше застосовувати відповідний патч для закриття вразливості.
Щоб усунути ці проблеми, є рішення, спеціально розроблені для ідентифікації, . Модуль автоматично шукає патчі, необхідні для безпеки комп'ютерів у компанії, розставляючи пріоритети серед найбільш термінових оновлень і плануючи їх встановлення. Інформація про патчі, що вимагають встановлення, повідомляється адміністратору навіть при виявленні експлойтів та шкідливих програм.
Рішення здатне відразу ж запускати установку необхідних патчів і оновлень, або їх установку можна запланувати з веб-консолі централізованого управління, при необхідності ізолювавши непропатчені комп'ютери. Таким чином, адміністратор може керувати патчами та оновленнями, щоб забезпечити безперебійну роботу компанії.
На жаль, кібер-атака, що розглядається, буде точно не останньою з тих, які скористається нинішньою глобальною ситуацією з коронавірусом, щоб поставити під загрозу інформаційну безпеку підприємств.
Джерело: habr.com