Недавно обнаружена группа APT-угроз, которая в рамках кампаний по целевому фишингу использовала пандемию коронавируса для распространения своего вредоносного ПО.
В настоящее время мир переживает исключительную ситуацию, связанную с нынешней пандемией коронавируса Covid-19. Чтобы попытаться остановить распространение вируса, большое количество компаний по всему миру запустили новый режим удаленной (дистанционной) работы. Это обстоятельство значительно расширило поверхность атаки, что представляет собой большую проблему для компаний в плане информационной безопасности, поскольку теперь им необходимо установить жесткие правила и предпринимать ряд мер для обеспечения непрерывности работы предприятия и его ИТ-систем.
Однако расширенная поверхность атак – это не единственный кибер-риск, возникший в последние несколько дней: многие кибер-преступники активно используют эту глобальную неопределенность для проведения фишинговых кампаний, распространения вредоносных программ и создания угрозы информационной безопасности для многих компаний.
APT использует пандемию
В конце прошлой недели была обнаружена группа постоянных угроз повышенной сложности (Advanced Persistent Threat, APT), получившая название Vicious Panda, которая проводила кампании по целевому фишингу, используя пандемию коронавируса для распространения своего вредоносного ПО. В электронном письме получателю сообщалось, что оно содержит информацию о коронавирусе, но на самом деле в письме было два вредоносных файла RTF (формат Rich Text). Если жертва открывала эти файлы, то запускался троян удаленного доступа (Remote Access Trojan, RAT), который помимо прочего способен делать скриншоты, создавать списки файлов и каталогов на компьютере жертвы, а также загружать файлы.
До сих пор эта кампания была направлена против государственного сектора Монголии, и, по мнению ряда западных экспертов, она представляет собой самую «свежую» атаку в продолжающейся китайской операции против различных правительств и организаций по всему миру. На этот раз особенностью кампании является то, что она использует новую мировую ситуацию с коронавирусом для более активного заражения своих потенциальных жертв.
Фишинговое письмо выглядит так, словно оно было отправлено из Министерства иностранных дел Монголии, и в нем утверждается, что оно содержит информацию о количестве людей, зараженных вирусом. Чтобы «вооружить» этот файл, злоумышленники использовали RoyalRoad – популярный инструмент среди китайских создателей угроз, который позволяет им создавать пользовательские документы со встроенными объектами, способные использовать уязвимости в Редакторе уравнений, интегрированном в MS Word для создания сложных уравнений.
Техники повышения живучести
Как только жертва открывает вредоносные файлы RTF, в Microsoft Word используется уязвимость для загрузки вредоносного файла (intel.wll) в папку автозагрузки Word (%APPDATA%\Microsoft\Word\STARTUP). С помощью этого метода угроза не только приобретает устойчивость, но и предотвращается детонация всей цепочки заражения при ее запуске в песочнице, поскольку для полного запуска вредоносного ПО требуется перезапустить Word.
Затем файл intel.wll загружает DLL-файл, который используется для загрузки вредоносного ПО и для связи с сервером управления хакера. Работа сервера управления осуществляется в течение строго ограниченного периода времени каждый день, что затрудняет анализ и доступ к наиболее сложным частям цепочки заражения.
Несмотря на это, исследователи смогли установить, что на первом этапе этой цепочки сразу после получения соответствующей команды загружается и расшифровывается RAT, а также загружается DLL, которая загружается в память. Архитектура, похожая на плагин, предполагает, что в дополнение к полезной нагрузке, замеченной в этой кампании, есть и другие модули.
Меры защиты от нового APT
Эта вредоносная кампания имеет множество способов обмана, позволяющих проникнуть в системы своих жертв и после этого поставить под угрозу их информационную безопасность. Чтобы защититься от таких кампаний, важно предпринимать целый ряд мер.
Первая из них чрезвычайно важна: при получении электронных писем сотрудникам важно быть внимательными и осторожными. Электронная почта является одним из основных векторов атаки, но при этом без почты не может обойтись почти ни одна компания. Если вы получили письмо от неизвестного отправителя, то лучше не открывайте его, а если все же открыли его, то не открывайте никаких вложений и не нажимайте на какие-либо ссылки.
Чтобы поставить под угрозу информационную безопасность своих жертв, эта атака использует уязвимость в Word. На самом деле, незакрытые уязвимости являются причиной успешности многих кибер-атак, а также наряду с другими проблемами безопасности они могут привести к крупным нарушениям данных. Вот почему так важно как можно скорее применять соответствующий патч для закрытия уязвимости.
Чтобы устранить эти проблемы, есть решения, специально разработанные для идентификации, управления и установки патчей. Модуль автоматически ищет патчи, необходимые для обеспечения безопасности компьютеров в компании, расставляя приоритеты среди наиболее срочных обновлений и планируя их установку. Информация о патчах, требующих установки, сообщается администратору даже при обнаружении эксплойтов и вредоносных программ.
Решение способно сразу же запускать установку требуемых патчей и обновлений, либо же их установку можно запланировать из веб-консоли централизованного управления, при необходимости изолировав непропатченные компьютеры. Таким образом, администратор может управлять патчами и обновлениями, чтобы обеспечить бесперебойную работу компании.
К сожалению, рассматриваемая кибер-атака будет точно не последней из числа тех, которые воспользуется нынешней глобальной ситуацией с коронавирусом, чтобы поставить под угрозу информационную безопасность предприятий.
