Một nhóm các mối đe dọa APT gần đây đã được phát hiện bằng cách sử dụng các chiến dịch lừa đảo trực tuyến để khai thác đại dịch virus Corona nhằm phát tán phần mềm độc hại của chúng.
Thế giới hiện đang trải qua một tình huống đặc biệt do đại dịch virus Corona Covid-19 hiện nay. Để cố gắng ngăn chặn sự lây lan của vi-rút, một số lượng lớn các công ty trên thế giới đã đưa ra phương thức làm việc từ xa (remote) mới. Điều này đã mở rộng đáng kể bề mặt tấn công, đặt ra thách thức lớn cho các công ty về mặt bảo mật thông tin, vì giờ đây họ cần thiết lập các quy tắc nghiêm ngặt và thực hiện hành động. để đảm bảo hoạt động liên tục của doanh nghiệp và hệ thống CNTT của doanh nghiệp.
Tuy nhiên, bề mặt tấn công mở rộng không phải là rủi ro mạng duy nhất xuất hiện trong vài ngày qua: nhiều tội phạm mạng đang tích cực khai thác sự bất ổn toàn cầu này để thực hiện các chiến dịch lừa đảo, phát tán phần mềm độc hại và gây ra mối đe dọa cho an ninh thông tin của nhiều công ty.
APT khai thác đại dịch
Cuối tuần trước, một nhóm Đe dọa liên tục nâng cao (APT) có tên Vicious Panda đã bị phát hiện đang tiến hành các chiến dịch chống lại , sử dụng đại dịch coronavirus để phát tán phần mềm độc hại của họ. Email cho người nhận biết rằng nó chứa thông tin về virus Corona, nhưng trên thực tế, email chứa hai tệp RTF (Rich Text Format) độc hại. Nếu nạn nhân mở các tệp này, Trojan truy cập từ xa (RAT) sẽ được khởi chạy, cùng với những tính năng khác, Trojan này có khả năng chụp ảnh màn hình, tạo danh sách tệp và thư mục trên máy tính của nạn nhân cũng như tải xuống tệp.
Chiến dịch này cho đến nay đã nhắm mục tiêu vào khu vực công của Mông Cổ và theo một số chuyên gia phương Tây, đây là cuộc tấn công mới nhất trong hoạt động đang diễn ra của Trung Quốc nhằm vào các chính phủ và tổ chức khác nhau trên thế giới. Lần này, điểm đặc biệt của chiến dịch là nó đang lợi dụng tình hình virus Corona toàn cầu mới để lây nhiễm tích cực hơn cho các nạn nhân tiềm năng của mình.
Email lừa đảo dường như đến từ Bộ Ngoại giao Mông Cổ và tuyên bố có chứa thông tin về số người bị nhiễm virus. Để vũ khí hóa tệp này, những kẻ tấn công đã sử dụng RoyalRoad, một công cụ phổ biến trong số các nhà tạo ra mối đe dọa Trung Quốc, cho phép chúng tạo tài liệu tùy chỉnh với các đối tượng nhúng có thể khai thác lỗ hổng trong Equation Editor được tích hợp vào MS Word để tạo các phương trình phức tạp.
Kỹ thuật sinh tồn
Khi nạn nhân mở các tệp RTF độc hại, Microsoft Word sẽ khai thác lỗ hổng để tải tệp độc hại (intel.wll) vào thư mục khởi động Word (%APPDATA%MicrosoftWordSTARTUP). Sử dụng phương pháp này, mối đe dọa không chỉ trở nên linh hoạt hơn mà còn ngăn toàn bộ chuỗi lây nhiễm phát nổ khi chạy trong hộp cát, vì Word phải được khởi động lại để khởi chạy hoàn toàn phần mềm độc hại.
Sau đó, tệp intel.wll tải tệp DLL được sử dụng để tải xuống phần mềm độc hại và liên lạc với máy chủ chỉ huy và kiểm soát của hacker. Máy chủ chỉ huy và kiểm soát hoạt động trong khoảng thời gian giới hạn nghiêm ngặt mỗi ngày, gây khó khăn cho việc phân tích và truy cập vào những phần phức tạp nhất của chuỗi lây nhiễm.
Mặc dù vậy, các nhà nghiên cứu vẫn có thể xác định rằng trong giai đoạn đầu tiên của chuỗi này, ngay sau khi nhận được lệnh thích hợp, RAT được tải và giải mã, còn DLL được tải và được tải vào bộ nhớ. Kiến trúc giống như plugin gợi ý rằng có các mô-đun khác ngoài tải trọng được thấy trong chiến dịch này.
Các biện pháp bảo vệ chống lại APT mới
Chiến dịch độc hại này sử dụng nhiều thủ thuật để xâm nhập vào hệ thống của nạn nhân và sau đó xâm phạm bảo mật thông tin của họ. Để bảo vệ bản thân khỏi những chiến dịch như vậy, điều quan trọng là phải thực hiện một loạt các biện pháp.
Điều đầu tiên cực kỳ quan trọng: điều quan trọng là nhân viên phải chú ý và cẩn thận khi nhận email. Email là một trong những phương thức tấn công chính nhưng hầu như không công ty nào có thể làm được nếu không có email. Nếu bạn nhận được email từ một người gửi không xác định, tốt hơn hết là bạn không nên mở nó và nếu bạn mở nó thì đừng mở bất kỳ tệp đính kèm nào hoặc nhấp vào bất kỳ liên kết nào.
Để xâm phạm tính bảo mật thông tin của nạn nhân, cuộc tấn công này khai thác lỗ hổng trong Word. Trên thực tế, những lỗ hổng chưa được vá chính là nguyên nhân và cùng với các vấn đề bảo mật khác, chúng có thể dẫn đến các vụ vi phạm dữ liệu nghiêm trọng. Đây là lý do tại sao việc áp dụng bản vá thích hợp để đóng lỗ hổng càng sớm càng tốt là rất quan trọng.
Để loại bỏ những vấn đề này, có những giải pháp được thiết kế đặc biệt để nhận dạng, . Mô-đun này tự động tìm kiếm các bản vá cần thiết để đảm bảo an ninh cho máy tính của công ty, ưu tiên các bản cập nhật khẩn cấp nhất và lên lịch cài đặt chúng. Thông tin về các bản vá yêu cầu cài đặt sẽ được báo cáo cho quản trị viên ngay cả khi phát hiện thấy các hành vi khai thác và phần mềm độc hại.
Giải pháp có thể kích hoạt ngay việc cài đặt các bản vá và bản cập nhật cần thiết hoặc việc cài đặt chúng có thể được lên lịch từ bảng điều khiển quản lý trung tâm dựa trên web, nếu cần, cách ly các máy tính chưa được vá lỗi. Bằng cách này, quản trị viên có thể quản lý các bản vá và cập nhật để giúp công ty hoạt động trơn tru.
Thật không may, cuộc tấn công mạng được đề cập chắc chắn sẽ không phải là cuộc tấn công cuối cùng lợi dụng tình hình virus Corona toàn cầu hiện nay để xâm phạm an ninh thông tin của các doanh nghiệp.
Nguồn: www.habr.com