最近发现了一组 APT 威胁,利用鱼叉式网络钓鱼活动利用冠状病毒大流行来传播恶意软件。
由于当前的 Covid-19 冠状病毒大流行,世界目前正在经历特殊情况。 为了试图阻止病毒的传播,全球大量公司推出了远程(远程)工作的新模式。 这极大地扩大了攻击面,这对企业的信息安全提出了巨大的挑战,因为他们现在需要制定严格的规则并采取行动。 确保企业及其IT系统运行的连续性。
然而,扩大的攻击面并不是过去几天出现的唯一网络风险:许多网络犯罪分子正在积极利用这种全球不确定性进行网络钓鱼活动、传播恶意软件,并对许多公司的信息安全构成威胁。
APT 利用疫情
上周晚些时候,一个名为 Vicious Panda 的高级持续威胁 (APT) 组织被发现正在针对 ,利用冠状病毒大流行来传播他们的恶意软件。 该电子邮件告诉收件人它包含有关冠状病毒的信息,但实际上该电子邮件包含两个恶意 RTF(富文本格式)文件。 如果受害者打开这些文件,就会启动远程访问特洛伊木马 (RAT),该木马能够截取屏幕截图、在受害者计算机上创建文件和目录列表以及下载文件。
迄今为止,该活动主要针对蒙古的公共部门,一些西方专家认为,这是中国针对世界各地政府和组织正在进行的行动中的最新攻击。 这一次,该活动的独特之处在于,它利用全球新冠病毒疫情来更积极地感染其潜在受害者。
该网络钓鱼电子邮件似乎来自蒙古外交部,并声称包含有关感染该病毒的人数的信息。 为了将该文件武器化,攻击者使用了 RoyalRoad,这是中国威胁制造者中流行的一种工具,允许他们创建带有嵌入对象的自定义文档,这些对象可以利用集成到 MS Word 中的方程编辑器中的漏洞来创建复杂的方程。
生存技巧
一旦受害者打开恶意 RTF 文件,Microsoft Word 就会利用该漏洞将恶意文件 (intel.wll) 加载到 Word 启动文件夹 (%APPDATA%MicrosoftWordSTARTUP) 中。 使用这种方法,不仅威胁变得有弹性,而且还可以防止整个感染链在沙箱中运行时引爆,因为必须重新启动 Word 才能完全启动恶意软件。
然后,intel.wll 文件会加载一个 DLL 文件,该文件用于下载恶意软件并与黑客的命令和控制服务器进行通信。 命令和控制服务器每天的运行时间受到严格限制,因此很难分析和访问感染链中最复杂的部分。
尽管如此,研究人员还是能够确定,在该链的第一阶段,在收到适当的命令后,RAT 立即被加载并解密,并且 DLL 被加载,然后被加载到内存中。 类似插件的架构表明,除了此活动中看到的有效负载之外,还有其他模块。
防范新 APT 的措施
这种恶意活动使用多种技巧来渗透受害者的系统,然后危及他们的信息安全。 为了保护自己免受此类活动的侵害,采取一系列措施非常重要。
第一个非常重要:员工在接收电子邮件时要专心、小心,这一点很重要。 电子邮件是主要的攻击媒介之一,但几乎没有公司可以离开电子邮件。 如果您收到来自未知发件人的电子邮件,最好不要打开它,如果您打开它,也不要打开任何附件或单击任何链接。
为了危及受害者的信息安全,此攻击利用了 Word 中的漏洞。 事实上,未修补的漏洞才是原因 以及其他安全问题,它们可能导致重大数据泄露。 这就是为什么尽快应用适当的补丁来修复漏洞如此重要。
为了消除这些问题,有专门为识别而设计的解决方案, 。 该模块会自动搜索确保公司计算机安全所需的补丁,优先考虑最紧急的更新并安排其安装。 即使检测到漏洞和恶意软件,有关需要安装的补丁的信息也会报告给管理员。
该解决方案可以立即触发所需补丁和更新的安装,或者可以从基于 Web 的中央管理控制台安排安装,如有必要,还可以隔离未打补丁的计算机。 这样,管理员就可以管理补丁和更新,以保持公司平稳运行。
不幸的是,所涉及的网络攻击肯定不会是最后一次利用当前全球冠状病毒形势来危害企业信息安全的攻击。
来源: habr.com