Нещодавно виявлено групу APT-загроз, яка в рамках кампаній з цільового фішингу використовувала пандемію коронавірусу для поширення свого шкідливого програмного забезпечення.
В даний час світ переживає виняткову ситуацію, пов'язану із нинішньою пандемією коронавірусу Covid-19. Щоб спробувати зупинити поширення вірусу, велика кількість компаній у всьому світі запустили новий режим віддаленої (дистанційної) роботи. Ця обставина значно розширила поверхню атаки, що є великою проблемою для компаній у плані інформаційної безпеки, оскільки тепер їм необхідно встановити жорсткі правила та робити
Однак розширена поверхня атак – це не єдиний кібер-ризик, що виник останні кілька днів: багато кібер-злочинців активно використовують цю глобальну невизначеність для проведення фішингових кампаній, поширення шкідливих програм і створення загрози інформаційній безпеці для багатьох компаній.
APT використовує пандемію
Наприкінці минулого тижня було виявлено групу постійних загроз підвищеної складності (Advanced Persistent Threat, APT), яка отримала назву Vicious Panda, яка проводила кампанії з
Досі ця кампанія була спрямована проти державного сектору Монголії, і, на думку ряду західних експертів, вона є найсвіжішою атакою в китайській операції, що триває, проти різних урядів і організацій по всьому світу. Цього разу особливістю кампанії є те, що вона використовує нову світову ситуацію з коронавірусом для активнішого зараження своїх потенційних жертв.
Фішингове лист виглядає так, ніби він був відправлений з Міністерства закордонних справ Монголії, і в ньому стверджується, що він містить інформацію про кількість людей, заражених вірусом. Щоб «озброїти» цей файл, зловмисники використовували RoyalRoad – популярний інструмент серед китайських творців загроз, який дозволяє їм створювати документи з вбудованими об'єктами, здатні використовувати вразливості в Редакторі рівнянь, інтегрованому в MS Word для створення складних рівнянь.
Техніки підвищення живучості
Як тільки жертва відкриває шкідливі файли RTF, Microsoft Word використовується вразливість для завантаження шкідливого файлу (intel.wll) в папку автозавантаження Word (%APPDATA%MicrosoftWordSTARTUP). За допомогою цього методу загроза не тільки набуває стійкості, але і запобігає детонації всього ланцюжка зараження при її запуску в пісочниці, оскільки для повного запуску шкідливого ПЗ потрібно перезапустити Word.
Потім файл intel.wll завантажує DLL-файл, який використовується для завантаження шкідливого програмного забезпечення та для зв'язку з сервером управління хакера. Робота сервера управління здійснюється протягом строго обмеженого періоду часу щодня, що ускладнює аналіз та доступ до найскладніших частин ланцюжка зараження.
Незважаючи на це, дослідники змогли встановити, що на першому етапі цього ланцюжка відразу після отримання відповідної команди завантажується та розшифровується RAT, а також завантажується DLL, який завантажується в пам'ять. Архітектура, схожа на плагін, передбачає, що на додаток до корисного навантаження, поміченого в цій кампанії, є й інші модулі.
Заходи захисту від нового APT
Ця шкідлива кампанія має безліч способів обману, що дозволяють проникнути в системи своїх жертв і після цього поставити під загрозу їхню інформаційну безпеку. Щоб захиститися від таких кампаній, важливо вживати цілої низки заходів.
Перша з них є надзвичайно важливою: при отриманні електронних листів співробітникам важливо бути уважними та обережними. Електронна пошта є одним з основних векторів атаки, але без пошти не може обійтися майже жодна компанія. Якщо ви отримали листа від невідомого відправника, то краще не відкривайте його, а якщо все ж таки відкрили його, то не відкривайте жодних вкладень і не натискайте на будь-які посилання.
Щоб поставити під загрозу інформаційну безпеку своїх жертв, ця атака використовує вразливість у Word. Насправді незакриті вразливості є причиною
Щоб усунути ці проблеми, є рішення, спеціально розроблені для ідентифікації,
Рішення здатне відразу ж запускати установку необхідних патчів і оновлень, або їх установку можна запланувати з веб-консолі централізованого управління, при необхідності ізолювавши непропатчені комп'ютери. Таким чином, адміністратор може керувати патчами та оновленнями, щоб забезпечити безперебійну роботу компанії.
На жаль, кібер-атака, що розглядається, буде точно не останньою з тих, які скористається нинішньою глобальною ситуацією з коронавірусом, щоб поставити під загрозу інформаційну безпеку підприємств.
Джерело: habr.com