Yaqinda bir guruh APT tahdidlari o'zlarining zararli dasturlarini tarqatish uchun koronavirus pandemiyasidan foydalanish uchun nayzali fishing kampaniyalaridan foydalangan holda topildi.
Hozirgi kunda dunyo Covid-19 koronavirus pandemiyasi tufayli favqulodda vaziyatni boshdan kechirmoqda. Virus tarqalishini to'xtatishga harakat qilish uchun butun dunyo bo'ylab ko'plab kompaniyalar masofaviy (masofaviy) ishning yangi rejimini ishga tushirdilar. Bu hujum maydonini sezilarli darajada kengaytirdi, bu kompaniyalar uchun axborot xavfsizligi nuqtai nazaridan katta muammo tug'diradi, chunki ular endi qat'iy qoidalarni o'rnatishi va choralar ko'rishlari kerak. korxona va uning IT tizimlarining uzluksiz ishlashini ta'minlash.
Biroq, kengaytirilgan hujum maydoni so'nggi bir necha kun ichida paydo bo'lgan yagona kiberxavf emas: ko'plab kiberjinoyatchilar ushbu global noaniqlikdan fishing kampaniyalarini o'tkazish, zararli dasturlarni tarqatish va ko'plab kompaniyalarning axborot xavfsizligiga tahdid solishi uchun faol foydalanmoqda.
APT pandemiyadan foydalanadi
O'tgan hafta oxirida "Vicious Panda" deb nomlangan Advanced Persistent Threat (APT) guruhi aniqlandi. , zararli dasturlarini tarqatish uchun koronavirus pandemiyasidan foydalanish. Elektron pochta qabul qiluvchiga koronavirus haqida ma'lumot borligini aytdi, lekin aslida elektron pochtada ikkita zararli RTF (Rich Text Format) fayli bor edi. Agar jabrlanuvchi ushbu fayllarni ochsa, Remote Access Trojan (RAT) ishga tushirildi, u boshqa narsalar qatorida skrinshotlarni olish, jabrlanuvchining kompyuterida fayllar va kataloglar ro'yxatini yaratish va fayllarni yuklab olish imkoniyatiga ega edi.
Kampaniya hozirgacha Mo‘g‘uliston davlat sektorini nishonga olgan va ba’zi G‘arb ekspertlariga ko‘ra, bu Xitoyning butun dunyo bo‘ylab turli hukumat va tashkilotlarga qarshi davom etayotgan operatsiyasidagi so‘nggi hujumdir. Bu safar kampaniyaning o'ziga xosligi shundaki, u yangi global koronavirus holatidan o'zining potentsial qurbonlarini yanada faolroq yuqtirish uchun foydalanmoqda.
Fishing elektron pochtasi Mo‘g‘uliston Tashqi ishlar vazirligiga tegishli bo‘lib, unda virus bilan kasallanganlar soni haqidagi ma’lumotlar borligini da’vo qilmoqda. Ushbu faylni qurollantirish uchun tajovuzkorlar xitoylik tahdid ishlab chiqaruvchilar orasida mashhur bo‘lgan RoyalRoad vositasidan foydalangan, bu ularga o‘rnatilgan obyektlar bilan maxsus hujjatlarni yaratish imkonini beradi, ular MS Word dasturiga integratsiyalangan Tenglama muharriridagi zaifliklardan foydalanib, murakkab tenglamalar yaratishga yordam beradi.
Omon qolish texnikasi
Jabrlanuvchi zararli RTF fayllarini ochgandan so'ng, Microsoft Word zararli faylni (intel.wll) Word ishga tushirish papkasiga (%APPDATA%MicrosoftWordSTARTUP) yuklash uchun zaiflikdan foydalanadi. Ushbu usuldan foydalangan holda, tahdid nafaqat chidamli bo'lib qoladi, balki u sinov muhitida ishlayotganda butun infektsiya zanjirining portlashiga yo'l qo'ymaydi, chunki zararli dasturni to'liq ishga tushirish uchun Word dasturini qayta ishga tushirish kerak.
Keyin intel.wll fayli zararli dasturni yuklab olish va xakerning buyruq va boshqaruv serveri bilan bog'lanish uchun foydalaniladigan DLL faylini yuklaydi. Buyruqlar va boshqaruv serveri har kuni qat'iy cheklangan vaqt davomida ishlaydi, bu esa infektsiya zanjirining eng murakkab qismlarini tahlil qilish va kirishni qiyinlashtiradi.
Shunga qaramay, tadqiqotchilar ushbu zanjirning birinchi bosqichida tegishli buyruqni olgandan so'ng darhol RAT yuklanishi va shifrlanishi va xotiraga yuklangan DLL yuklanishini aniqlashga muvaffaq bo'ldi. Plaginga o'xshash arxitektura ushbu kampaniyada ko'rilgan foydali yukdan tashqari boshqa modullar mavjudligini ko'rsatadi.
Yangi APT dan himoya qilish choralari
Ushbu zararli kampaniya o'z qurbonlari tizimlariga kirib borish va keyin ularning axborot xavfsizligini buzish uchun bir nechta hiyla-nayranglardan foydalanadi. O'zingizni bunday kampaniyalardan himoya qilish uchun bir qator choralarni ko'rish muhimdir.
Birinchisi juda muhim: xodimlar elektron pochta xabarlarini qabul qilishda ehtiyotkor va ehtiyotkor bo'lishlari muhimdir. Elektron pochta asosiy hujum vektorlaridan biridir, ammo deyarli hech bir kompaniya elektron pochtasiz qila olmaydi. Agar siz noma'lum jo'natuvchidan xat olsangiz, uni ochmaganingiz ma'qul, agar ochsangiz, qo'shimchalarni ochmang yoki havolalarni bosmang.
Ushbu hujum qurbonlarining axborot xavfsizligini buzish uchun Word dasturidagi zaiflikdan foydalanadi. Aslida, tuzatilmagan zaifliklar sababdir , va boshqa xavfsizlik muammolari bilan birga ular katta ma'lumotlar buzilishiga olib kelishi mumkin. Shuning uchun zaiflikni imkon qadar tezroq yopish uchun tegishli yamoqni qo'llash juda muhimdir.
Ushbu muammolarni bartaraf etish uchun identifikatsiya qilish uchun maxsus ishlab chiqilgan echimlar mavjud, . Modul avtomatik ravishda kompaniya kompyuterlarining xavfsizligini ta'minlash uchun zarur bo'lgan yamoqlarni qidiradi, eng shoshilinch yangilanishlarga ustunlik beradi va ularni o'rnatishni rejalashtiradi. O'rnatishni talab qiladigan yamoqlar haqidagi ma'lumotlar hatto ekspluatatsiyalar va zararli dasturlar aniqlanganda ham administratorga xabar qilinadi.
Yechim darhol kerakli yamoqlar va yangilanishlarni o'rnatishni boshlashi mumkin yoki ularni o'rnatishni veb-ga asoslangan markaziy boshqaruv konsolidan rejalashtirish mumkin, agar kerak bo'lsa, yamalmagan kompyuterlarni izolyatsiya qilish. Shunday qilib, administrator kompaniyaning muammosiz ishlashini ta'minlash uchun yamoqlar va yangilanishlarni boshqarishi mumkin.
Afsuski, ko'rib chiqilayotgan kiberhujum, shubhasiz, hozirgi global koronavirus holatidan korxonalarning axborot xavfsizligini buzish uchun foydalanadigan oxirgi hujum bo'lmaydi.
Manba: www.habr.com