Chủ đề về coronavirus ngày nay đã tràn ngập tất cả các nguồn cấp tin tức và cũng trở thành chủ đề chính cho nhiều hoạt động khác nhau của những kẻ tấn công khai thác chủ đề về COVID-19 và mọi thứ liên quan đến nó. Trong lưu ý này, tôi muốn thu hút sự chú ý đến một số ví dụ về hoạt động độc hại như vậy, tất nhiên, đây không phải là bí mật đối với nhiều chuyên gia bảo mật thông tin, nhưng việc tóm tắt trong một ghi chú sẽ giúp bạn dễ dàng chuẩn bị nhận thức hơn -Tổ chức các sự kiện dành cho nhân viên, một số người làm việc từ xa và những người khác dễ gặp phải các mối đe dọa bảo mật thông tin hơn trước.
Một khoảnh khắc được chăm sóc từ UFO
Thế giới đã chính thức tuyên bố đại dịch COVID-19, một bệnh nhiễm trùng đường hô hấp cấp tính nghiêm trọng do virus Corona SARS-CoV-2 (2019-nCoV) gây ra. Có rất nhiều thông tin về Habré về chủ đề này - hãy luôn nhớ rằng nó có thể đáng tin cậy/hữu ích và ngược lại.
Chúng tôi khuyến khích bạn phê phán bất kỳ thông tin nào được công bố.
Nguồn chính thức
- Các trang web và nhóm chính thức của trụ sở hoạt động tại các khu vực
Nếu bạn không sống ở Nga, vui lòng tham khảo các trang web tương tự ở quốc gia của bạn.
Rửa tay, chăm sóc những người thân yêu, ở nhà nếu có thể và làm việc từ xa.Đọc các ấn phẩm về: |
Cần lưu ý rằng ngày nay không có mối đe dọa hoàn toàn mới nào liên quan đến coronavirus. Đúng hơn, chúng ta đang nói về các vectơ tấn công đã trở thành truyền thống, chỉ được sử dụng trong một “nước sốt” mới. Vì vậy, tôi sẽ gọi các loại mối đe dọa chính là:
- các trang web và bản tin lừa đảo liên quan đến vi-rút Corona và mã độc liên quan
- Gian lận và thông tin sai lệch nhằm khai thác nỗi sợ hãi hoặc thông tin không đầy đủ về COVID-19
- các cuộc tấn công chống lại các tổ chức liên quan đến nghiên cứu coronavirus
Ở Nga, nơi mà công dân theo truyền thống không tin tưởng vào chính quyền và tin rằng họ đang che giấu sự thật, thì khả năng “quảng cáo” thành công các trang web lừa đảo và danh sách gửi thư cũng như các tài nguyên lừa đảo cao hơn nhiều so với các quốc gia cởi mở hơn. cơ quan chức năng. Mặc dù ngày nay không ai có thể coi mình được bảo vệ tuyệt đối khỏi những kẻ lừa đảo trên mạng sáng tạo, những kẻ lợi dụng tất cả những điểm yếu cổ điển của con người - sợ hãi, trắc ẩn, tham lam, v.v.
Lấy ví dụ về một trang web lừa đảo bán khẩu trang y tế.
Một trang web tương tự, CoronaMedicalkit[.]com, đã bị chính quyền Hoa Kỳ đóng cửa vì phân phối miễn phí một loại vắc xin COVID-19 không tồn tại với bưu phí "duy nhất" để vận chuyển thuốc. Trong trường hợp này, với mức giá thấp như vậy, người ta tính toán nhu cầu thuốc tăng cao trong điều kiện hoảng loạn ở Hoa Kỳ.
Đây không phải là một mối đe dọa mạng cổ điển, vì nhiệm vụ của những kẻ tấn công trong trường hợp này không phải là lây nhiễm sang người dùng hay đánh cắp dữ liệu cá nhân hoặc thông tin nhận dạng của họ, mà chỉ đơn giản là tạo ra làn sóng sợ hãi buộc họ phải bỏ tiền ra và mua khẩu trang y tế với giá quá cao. gấp 5-10-30 lần so với chi phí thực tế. Nhưng chính ý tưởng tạo một trang web giả mạo khai thác chủ đề virus Corona cũng đang bị tội phạm mạng lợi dụng. Ví dụ: đây là một trang web có tên chứa từ khóa “covid19”, nhưng cũng là một trang web lừa đảo.
Nói chung, theo dõi hàng ngày dịch vụ điều tra sự cố của chúng tôi , bạn sẽ thấy có bao nhiêu tên miền đang được tạo có tên chứa các từcovid,covid19,coronavirus, v.v. Và nhiều trong số đó là độc hại.
Trong môi trường mà một số nhân viên của công ty được chuyển sang làm việc tại nhà và họ không được bảo vệ bởi các biện pháp an ninh của công ty, điều quan trọng hơn bao giờ hết là giám sát các tài nguyên được truy cập từ thiết bị di động và máy tính để bàn của nhân viên, dù có chủ ý hay không. kiến thức. Nếu bạn không sử dụng dịch vụ để phát hiện và chặn các tên miền đó (và Cisco kết nối với dịch vụ này hiện miễn phí), thì tối thiểu hãy định cấu hình các giải pháp giám sát truy cập Web của bạn để giám sát các tên miền với các từ khóa có liên quan. Đồng thời, hãy nhớ rằng cách tiếp cận truyền thống đối với các tên miền trong danh sách đen, cũng như sử dụng cơ sở dữ liệu danh tiếng, có thể thất bại, vì các tên miền độc hại được tạo rất nhanh và chỉ được sử dụng trong 1-2 cuộc tấn công không quá vài giờ - khi đó kẻ tấn công chuyển sang những miền mới phù hợp. Các công ty bảo mật thông tin đơn giản là không có thời gian để cập nhật nhanh chóng cơ sở kiến thức của họ và phân phối chúng cho tất cả khách hàng của họ.
Những kẻ tấn công tiếp tục tích cực khai thác kênh email để phát tán các liên kết lừa đảo và phần mềm độc hại trong tệp đính kèm. Và hiệu quả của chúng khá cao, vì người dùng, trong khi nhận được các thư tin tức hoàn toàn hợp pháp về coronavirus, không phải lúc nào cũng nhận ra điều gì đó độc hại trong khối lượng của chúng. Và trong khi số người nhiễm bệnh ngày càng tăng thì phạm vi của các mối đe dọa như vậy cũng sẽ ngày càng tăng.
Ví dụ: đây là ví dụ về email lừa đảo thay mặt cho CDC:
Tất nhiên, theo liên kết không dẫn đến trang web của CDC mà đến một trang giả mạo đánh cắp thông tin đăng nhập và mật khẩu của nạn nhân:
Dưới đây là ví dụ về email lừa đảo được cho là thay mặt cho Tổ chức Y tế Thế giới:
Và trong ví dụ này, những kẻ tấn công đang dựa vào thực tế là nhiều người tin rằng chính quyền đang che giấu quy mô lây nhiễm thực sự với họ, và do đó người dùng vui vẻ và gần như không ngần ngại nhấp vào những loại thư này có liên kết hoặc tệp đính kèm độc hại. được cho là sẽ tiết lộ tất cả bí mật.
Nhân tiện, có một trang web như vậy , cho phép bạn theo dõi các chỉ số khác nhau, ví dụ: tỷ lệ tử vong, số người hút thuốc, dân số ở các quốc gia khác nhau, v.v. Trang web này cũng có một trang dành riêng cho virus Corona. Và thế là khi vào ngày 16 tháng XNUMX, tôi thấy một trang mà trong giây lát khiến tôi nghi ngờ liệu chính quyền có nói cho chúng ta sự thật không (tôi không biết lý do của những con số này là gì, có lẽ chỉ là nhầm lẫn):
Một trong những cơ sở hạ tầng phổ biến mà kẻ tấn công sử dụng để gửi các email tương tự là Emotet, một trong những mối đe dọa nguy hiểm và phổ biến nhất thời gian gần đây. Các tài liệu Word đính kèm trong email chứa trình tải xuống Emotet, tải các mô-đun độc hại mới vào máy tính của nạn nhân. Emotet ban đầu được sử dụng để quảng bá các liên kết đến các trang web lừa đảo bán khẩu trang y tế, nhắm mục tiêu vào người dân Nhật Bản. Dưới đây bạn thấy kết quả phân tích một tệp độc hại bằng sandboxing , phân tích tệp độc hại.
Nhưng những kẻ tấn công không chỉ khai thác khả năng khởi chạy trong MS Word mà còn khai thác trong các ứng dụng khác của Microsoft, chẳng hạn như trong MS Excel (đây là cách nhóm hacker APT36 đã hành động), gửi các khuyến nghị về việc chống lại coronavirus từ Chính phủ Ấn Độ có chứa Crimson CON CHUỘT:
Một chiến dịch độc hại khác khai thác chủ đề virus Corona là Nanocore RAT, cho phép bạn cài đặt các chương trình trên máy tính nạn nhân để truy cập từ xa, chặn thao tác bàn phím, chụp ảnh màn hình, truy cập tệp, v.v.
Và Nanocore RAT thường được gửi qua e-mail. Ví dụ: bên dưới bạn sẽ thấy một thư ví dụ có kho lưu trữ ZIP đính kèm có chứa tệp PIF thực thi. Bằng cách nhấp vào tệp thực thi, nạn nhân sẽ cài đặt chương trình truy cập từ xa (Remote Access Tool, RAT) trên máy tính của mình.
Đây là một ví dụ khác về chiến dịch ký sinh về chủ đề COVID-19. Người dùng nhận được một lá thư về việc giao hàng được cho là chậm trễ do virus Corona kèm theo hóa đơn có đuôi .pdf.ace. Bên trong kho lưu trữ nén là nội dung thực thi giúp thiết lập kết nối đến máy chủ chỉ huy và điều khiển để nhận các lệnh bổ sung và thực hiện các mục tiêu khác của kẻ tấn công.
Parallax RAT có chức năng tương tự, phân phối một tệp có tên “CORONAVIRUS sky bị nhiễm mới 03.02.2020/XNUMX/XNUMX.pif” và cài đặt một chương trình độc hại tương tác với máy chủ lệnh của nó thông qua giao thức DNS. Các công cụ bảo vệ lớp EDR, một ví dụ là và NGFW sẽ giúp giám sát thông tin liên lạc với các máy chủ lệnh (ví dụ: ) hoặc các công cụ giám sát DNS (ví dụ: ).
Trong ví dụ bên dưới, phần mềm độc hại truy cập từ xa đã được cài đặt trên máy tính của nạn nhân, vì một lý do không xác định nào đó, nạn nhân đã mua quảng cáo rằng một chương trình chống vi-rút thông thường được cài đặt trên PC có thể bảo vệ khỏi COVID-19 thực sự. Và rốt cuộc, có người đã phải lòng một trò đùa tưởng chừng như như vậy.
Nhưng trong số các phần mềm độc hại cũng có một số điều thực sự kỳ lạ. Ví dụ: các tệp trò đùa mô phỏng hoạt động của ransomware. Trong một trường hợp, bộ phận Cisco Talos của chúng tôi một tệp có tên CoronaVirus.exe, tệp này đã chặn màn hình trong khi thực thi và bắt đầu hẹn giờ cũng như thông báo “xóa tất cả các tệp và thư mục trên máy tính này - coronavirus”.
Sau khi đếm ngược xong, nút ở phía dưới bắt đầu hoạt động và khi nhấn, thông báo sau sẽ hiển thị, nói rằng tất cả chỉ là một trò đùa và bạn nên nhấn Alt+F12 để kết thúc chương trình.
Cuộc chiến chống lại các thư độc hại có thể được tự động hóa, ví dụ, bằng cách sử dụng , cho phép bạn phát hiện không chỉ nội dung độc hại trong tệp đính kèm mà còn theo dõi các liên kết lừa đảo và nhấp chuột vào chúng. Nhưng ngay cả trong trường hợp này, bạn cũng không nên quên đào tạo người dùng và thường xuyên tiến hành các mô phỏng lừa đảo và các bài tập trên mạng, điều này sẽ chuẩn bị cho người dùng những thủ đoạn khác nhau của những kẻ tấn công nhằm vào người dùng của bạn. Đặc biệt nếu họ làm việc từ xa và thông qua email cá nhân, mã độc có thể xâm nhập vào mạng công ty hoặc phòng ban. Ở đây tôi có thể đề xuất một giải pháp mới , cho phép không chỉ tiến hành đào tạo nhân sự ở cấp độ vi mô và nano về các vấn đề bảo mật thông tin mà còn tổ chức các mô phỏng lừa đảo cho họ.
Nhưng nếu vì lý do nào đó mà bạn chưa sẵn sàng sử dụng các giải pháp như vậy thì ít nhất bạn nên tổ chức gửi thư thường xuyên cho nhân viên của mình với lời nhắc nhở về mối nguy hiểm lừa đảo, các ví dụ về nó và danh sách các quy tắc về hành vi an toàn (điều chính là những kẻ tấn công không cải trang thành họ). Nhân tiện, một trong những rủi ro có thể xảy ra hiện nay là các thư lừa đảo giả dạng thư từ ban quản lý của bạn, được cho là nói về các quy tắc và quy trình mới để làm việc từ xa, phần mềm bắt buộc phải được cài đặt trên máy tính từ xa, v.v. Và đừng quên rằng ngoài email, tội phạm mạng có thể sử dụng tin nhắn tức thời và mạng xã hội.
Trong loại chương trình gửi thư hoặc nâng cao nhận thức này, bạn cũng có thể đưa vào ví dụ cổ điển về bản đồ lây nhiễm coronavirus giả, tương tự như bản đồ Đại học Johns Hopkins. Sự khác biệt là khi truy cập một trang web lừa đảo, phần mềm độc hại đã được cài đặt trên máy tính của người dùng, phần mềm này đã đánh cắp thông tin tài khoản người dùng và gửi cho tội phạm mạng. Một phiên bản của chương trình như vậy cũng tạo kết nối RDP để truy cập từ xa vào máy tính của nạn nhân.
Nhân tiện, về RDP. Đây là một phương thức tấn công khác mà những kẻ tấn công đang bắt đầu sử dụng tích cực hơn trong đại dịch coronavirus. Nhiều công ty, khi chuyển sang làm việc từ xa, sử dụng các dịch vụ như RDP, nếu được định cấu hình không chính xác do vội vàng, có thể dẫn đến kẻ tấn công xâm nhập vào cả máy tính người dùng từ xa và bên trong cơ sở hạ tầng của công ty. Hơn nữa, ngay cả với cấu hình chính xác, nhiều cách triển khai RDP khác nhau vẫn có thể có những lỗ hổng khiến kẻ tấn công có thể khai thác. Ví dụ: Cisco Talos nhiều lỗ hổng trong FreeRDP và vào tháng 2019 năm ngoái, lỗ hổng nghiêm trọng CVE-0708-XNUMX đã được phát hiện trong dịch vụ Microsoft Remote Desktop, cho phép thực thi mã tùy ý trên máy tính của nạn nhân, giới thiệu phần mềm độc hại, v.v. Một bản tin về cô ấy thậm chí còn được phân phát và, ví dụ: Cisco Talos khuyến nghị để bảo vệ chống lại nó.
Có một ví dụ khác về việc khai thác chủ đề coronavirus - mối đe dọa thực sự về sự lây nhiễm của gia đình nạn nhân nếu họ từ chối trả tiền chuộc bằng bitcoin. Để nâng cao hiệu quả, mang lại ý nghĩa cho bức thư và tạo cảm giác toàn năng của kẻ tống tiền, mật khẩu của nạn nhân từ một trong các tài khoản của hắn, lấy từ cơ sở dữ liệu công khai về thông tin đăng nhập và mật khẩu, đã được chèn vào văn bản của bức thư.
Ở một trong những ví dụ trên, tôi đã hiển thị một tin nhắn lừa đảo từ Tổ chức Y tế Thế giới. Và đây là một ví dụ khác trong đó người dùng được yêu cầu trợ giúp tài chính để chống lại COVID-19 (mặc dù trong tiêu đề của nội dung bức thư, từ “QUYÊN GÓP” có thể được chú ý ngay lập tức) và họ yêu cầu trợ giúp bằng bitcoin để bảo vệ chống lại theo dõi tiền điện tử.
Và ngày nay có rất nhiều ví dụ như vậy đang khai thác lòng trắc ẩn của người dùng:
Bitcoin có liên quan đến COVID-19 theo một cách khác. Ví dụ, đây là những gì mà nhiều công dân Anh đang ngồi ở nhà và không thể kiếm được tiền nhận được (ở Nga bây giờ điều này cũng sẽ trở nên phù hợp).
Giả dạng các tờ báo và trang tin tức nổi tiếng, những thư này cung cấp tiền dễ dàng bằng cách khai thác tiền điện tử trên các trang web đặc biệt. Trên thực tế, sau một thời gian, bạn nhận được thông báo rằng số tiền bạn kiếm được có thể được rút vào một tài khoản đặc biệt, nhưng trước đó bạn cần phải chuyển một số tiền thuế nhỏ. Rõ ràng là sau khi nhận được số tiền này, những kẻ lừa đảo không chuyển lại bất cứ thứ gì và người dùng cả tin sẽ mất số tiền đã chuyển.
Có một mối đe dọa khác liên quan đến Tổ chức Y tế Thế giới. Tin tặc đã hack cài đặt DNS của bộ định tuyến D-Link và Linksys, thường được người dùng gia đình và doanh nghiệp nhỏ sử dụng, để chuyển hướng họ đến một trang web giả mạo với cảnh báo bật lên về việc cần phải cài đặt ứng dụng WHO, ứng dụng này sẽ giữ họ lại cập nhật những tin tức mới nhất về virus Corona. Hơn nữa, bản thân ứng dụng này còn chứa chương trình độc hại Oski chuyên đánh cắp thông tin.
Một ý tưởng tương tự với một ứng dụng chứa thông tin hiện tại về tình trạng lây nhiễm COVID-19 bị Android Trojan CovidLock khai thác, được phát tán thông qua một ứng dụng được cho là “chứng nhận” bởi Bộ Giáo dục Hoa Kỳ, WHO và Trung tâm Kiểm soát Dịch bệnh ( CDC).
Nhiều người dùng ngày nay đang tự cách ly và không muốn hoặc không thể nấu ăn nên tích cực sử dụng các dịch vụ giao hàng thực phẩm, hàng tạp hóa hoặc các hàng hóa khác, chẳng hạn như giấy vệ sinh. Những kẻ tấn công cũng đã nắm vững vectơ này cho mục đích riêng của chúng. Ví dụ: đây là giao diện của một trang web độc hại, tương tự như một tài nguyên hợp pháp do Bưu điện Canada sở hữu. Liên kết từ tin nhắn SMS mà nạn nhân nhận được dẫn đến một trang web thông báo rằng sản phẩm đã đặt không thể giao được vì chỉ thiếu 3 USD, số tiền này phải trả thêm. Trong trường hợp này, người dùng được dẫn đến một trang nơi anh ta phải cho biết chi tiết về thẻ tín dụng của mình... kèm theo tất cả các hậu quả sau đó.
Để kết luận, tôi muốn đưa ra thêm hai ví dụ về các mối đe dọa mạng liên quan đến COVID-19. Ví dụ: các plugin “Covid-19 Corona - Plugin WordPress bản đồ trực tiếp”, “Biểu đồ dự đoán lây lan virus Corona” hoặc “Covid-19” được tích hợp vào các trang web sử dụng công cụ WordPress phổ biến và cùng với việc hiển thị bản đồ về mức độ lây lan của virus. coronavirus, cũng chứa phần mềm độc hại WP-VCD. Và công ty Zoom, sau sự gia tăng số lượng các sự kiện trực tuyến, đã trở nên rất rất phổ biến, đã phải đối mặt với cái mà các chuyên gia gọi là “Zoombombing”. Những kẻ tấn công, nhưng trên thực tế là những kẻ troll khiêu dâm thông thường, đã kết nối với các cuộc trò chuyện trực tuyến và các cuộc họp trực tuyến và chiếu nhiều video tục tĩu khác nhau. Nhân tiện, ngày nay các công ty Nga cũng gặp phải mối đe dọa tương tự.
Tôi nghĩ hầu hết chúng ta thường xuyên kiểm tra các nguồn thông tin khác nhau, cả chính thức và không chính thức, về tình trạng hiện tại của đại dịch. Những kẻ tấn công đang khai thác chủ đề này, cung cấp cho chúng tôi thông tin “mới nhất” về vi-rút Corona, bao gồm cả thông tin “mà chính quyền đang giấu bạn”. Nhưng ngay cả những người dùng bình thường gần đây cũng thường giúp đỡ những kẻ tấn công bằng cách gửi mã thông tin đã được xác minh từ “người quen” và “bạn bè”. Các nhà tâm lý học nói rằng hoạt động như vậy của những người dùng “báo động” gửi mọi thứ lọt vào tầm nhìn của họ (đặc biệt là trên mạng xã hội và tin nhắn tức thời, không có cơ chế bảo vệ chống lại các mối đe dọa như vậy), cho phép họ cảm thấy tham gia vào cuộc chiến chống lại. một mối đe dọa toàn cầu và thậm chí có cảm giác như những anh hùng cứu thế giới khỏi virus coronavirus. Nhưng thật không may, việc thiếu kiến thức chuyên môn đã dẫn đến thực tế là những ý định tốt này “dẫn mọi người xuống địa ngục”, tạo ra những mối đe dọa an ninh mạng mới và làm tăng số lượng nạn nhân.
Trên thực tế, tôi có thể tiếp tục với các ví dụ về các mối đe dọa mạng liên quan đến coronavirus; Hơn nữa, tội phạm mạng không đứng yên và ngày càng nghĩ ra nhiều cách thức mới để khai thác đam mê của con người. Nhưng tôi nghĩ chúng ta có thể dừng lại ở đó. Bức tranh đã rõ ràng và nó cho chúng ta biết rằng trong tương lai gần, tình hình sẽ chỉ trở nên tồi tệ hơn. Hôm qua, chính quyền Moscow đã đặt thành phố 10 triệu dân vào tình trạng tự cô lập. Chính quyền khu vực Moscow và nhiều khu vực khác của Nga, cũng như các nước láng giềng gần nhất của chúng ta trong không gian hậu Xô Viết cũ, cũng làm như vậy. Điều này có nghĩa là số nạn nhân tiềm năng bị tội phạm mạng nhắm tới sẽ tăng lên gấp nhiều lần. Do đó, điều đáng giá là không chỉ xem xét lại chiến lược bảo mật của bạn, mà cho đến gần đây chỉ tập trung vào việc bảo vệ mạng công ty hoặc bộ phận và đánh giá những công cụ bảo vệ nào bạn thiếu, mà còn phải tính đến các ví dụ được đưa ra trong chương trình nâng cao nhận thức nhân sự của bạn, đó là trở thành một phần quan trọng của hệ thống bảo mật thông tin cho người lao động từ xa. MỘT sẵn sàng giúp bạn việc này!
Tái bút. Khi chuẩn bị tài liệu này, các tài liệu từ Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security và RiskIQ, Bộ Tư pháp Hoa Kỳ, tài nguyên Máy tính Bleeping, SecurityAffairs, v.v. đã được sử dụng.
Nguồn: www.habr.com