最近發現了一組 APT 威脅,利用魚叉式網路釣魚活動利用冠狀病毒大流行來傳播惡意軟體。
由於目前的 Covid-19 冠狀病毒大流行,世界目前正在經歷特殊情況。 為了試圖阻止病毒的傳播,全球大量公司推出了遠端(遠端)工作的新模式。 這極大地擴大了攻擊面,這對企業的資訊安全提出了巨大的挑戰,因為他們現在需要製定嚴格的規則並採取行動。 確保企業及其IT系統運作的連續性。
然而,擴大的攻擊面並不是過去幾天出現的唯一網路風險:許多網路犯罪分子正在積極利用這種全球不確定性進行網路釣魚活動、傳播惡意軟體,並對許多公司的資訊安全構成威脅。
APT 利用疫情
上週晚些時候,一個名為 Vicious Panda 的高級持續威脅 (APT) 組織被發現正在針對 ,利用冠狀病毒大流行來傳播他們的惡意軟體。 該電子郵件告訴收件人它包含有關冠狀病毒的信息,但實際上該電子郵件包含兩個惡意 RTF(富文本格式)文件。 如果受害者打開這些文件,就會啟動遠端存取特洛伊木馬 (RAT),該木馬能夠截取螢幕截圖、在受害者電腦上建立文件和目錄清單以及下載文件。
迄今為止,該活動主要針對蒙古的公共部門,一些西方專家認為,這是中國針對世界各地政府和組織正在進行的行動中的最新攻擊。 這一次,該活動的獨特之處在於,它利用全球新冠病毒疫情來更積極地感染其潛在受害者。
該網路釣魚電子郵件似乎來自蒙古外交部,並聲稱包含有關感染該病毒的人數的資訊。 為了將該文件武器化,攻擊者使用了RoyalRoad,這是中國威脅製造者中流行的一種工具,允許他們創建帶有嵌入對象的自定義文檔,這些對象可以利用集成到MS Word 中的方程式編輯器中的漏洞來創建複雜的方程式。
生存技巧
一旦受害者開啟惡意 RTF 文件,Microsoft Word 就會利用該漏洞將惡意文件 (intel.wll) 載入到 Word 啟動資料夾 (%APPDATA%MicrosoftWordSTARTUP) 中。 使用這種方法,不僅威脅變得有彈性,而且還可以防止整個感染鏈在沙箱中運行時引爆,因為必須重新啟動 Word 才能完全啟動惡意軟體。
然後,intel.wll 檔案會載入一個 DLL 文件,該檔案用於下載惡意軟體並與駭客的命令和控制伺服器進行通訊。 命令和控制伺服器每天的運行時間受到嚴格限制,因此很難分析和存取感染鏈中最複雜的部分。
儘管如此,研究人員還是能夠確定,在該鏈的第一階段,在收到適當的命令後,RAT 立即被加載並解密,並且 DLL 被加載,然後被加載到內存中。 類似插件的架構表明,除了此活動中看到的有效負載之外,還有其他模組。
防範新 APT 的措施
這種惡意活動使用多種技巧來滲透受害者的系統,然後危及他們的資訊安全。 為了保護自己免受此類活動的侵害,採取一系列措施非常重要。
第一個非常重要:員工在接收電子郵件時要專心、小心,這點很重要。 電子郵件是主要的攻擊媒介之一,但幾乎沒有公司可以離開電子郵件。 如果您收到來自未知寄件者的電子郵件,最好不要打開它,如果您打開它,也不要打開任何附件或點擊任何連結。
為了危及受害者的資訊安全,此攻擊利用了 Word 中的漏洞。 事實上,未修補的漏洞才是原因 以及其他安全問題,它們可能導致重大資料外洩。 這就是為什麼盡快應用適當的修補程式來修復漏洞如此重要。
為了消除這些問題,有專門為識別而設計的解決方案, 。 此模組會自動搜尋確保公司電腦安全所需的補丁,優先考慮最緊急的更新並安排其安裝。 即使偵測到漏洞和惡意軟體,有關需要安裝的修補程式的資訊也會報告給管理員。
該解決方案可以立即觸發所需修補程式和更新的安裝,或者可以從基於 Web 的中央管理控制台安排安裝,如有必要,還可以隔離未打補丁的電腦。 這樣,管理員就可以管理修補程式和更新,以保持公司平穩運行。
不幸的是,所涉及的網路攻擊肯定不會是最後一次利用當前全球冠狀病毒情勢來危害企業資訊安全的攻擊。
來源: www.habr.com