Дата публикации: 27.03.2020
Мир снова переживает вирусную панику. На этот раз в связи с коронавирусом Covid-19, чьё распространение вылилось в пандемию. По всему миру (там, где это возможно) совершается переход на удалённую работу. Многим компаниям такие условия позволяют не останавливать свою деятельность, в отличие от тех же производств, которые вынуждены просто выключить конвейеры. Но несмотря на такое, казалось бы, «везение», эти организации подвергаются огромным рискам там, где они не имеют защиты. А именно – в домашних компьютерах своих сотрудников. Всё дело в том, что новый режим работы увеличил охват территорий для хакерских атак. Это может стать серьёзной проблемой для кибербезопасности компаний, поскольку в несколько раз повышает уязвимость конфиденциальной информации. IT-отделам необходимо устанавливать протоколы, проводить инструктаж и применять ряд других мер для обеспечения бесперебойной работы систем.
Однако увеличение так называемой поверхности атаки – далеко не единственный риск, созданный исключительной ситуацией последних дней. В условиях глобальной неопределённости злоумышленники активно «ловят рыбу в мутной воде», то есть занимаются фишингом и распространением вредоносных программ, спекулируя на инстинкте выживания сотрудников. Что, в свою очередь, создаёт угрозы для кибербезопасности компаний.
Панда, Пандемия,.. Тоже Китай?
Группа APT (advanced persistent threat – «продвинутая устойчивая угроза») под названием «Порочная Панда» распространяет через электронную почту ранее неизвестное вредоносное ПО. В письмах утверждается, что документы в них содержат информацию о коронавирусе. Но на самом деле два прилагающихся файла RTF (Rich Text Format – формат текстовых файлов, подходящих для Microsoft Office) являются вредоносными. Если жертва открывает эти файлы, запускается RAT (троянец удалённого доступа), который способен делать снимки экрана, создавать списки файлов и каталогов на компьютере жертвы, а также загружать файлы и другие возможности.
Хотя APT была обнаружена в середине марта, при более внимательном рассмотрении прослеживаются её связи с другими операциями одной и той же анонимной группы в разных странах (среди которых, кстати, Украина, Россия и Беларусь) как минимум с 2016 года.
Но тут кампания была ориентирована на государственный сектор Монголии. Письмо представляет собой рассылку якобы от Министерства иностранных дел Монголии и содержит информацию о количестве людей, заражённых вирусом. Есть версия, что это «последняя атака в ходе китайской операции против различных правительств и организаций по всему миру» (заявление исследователей из Check Point Research). Об этом может говорить тот факт, что в изготовлении орудия проникновения использован популярный среди китайских киберпреступников инструмент RoyalRoad. Он позволяет создавать собственные документы со встроенными объектами, которые могут использовать уязвимости в редакторе формул для сложных уравнений в Microsoft Word.
Методы маскировки
По открытии вредоносного RTF-файла в Microsoft Word, используется уязвимость для загрузки вредоносного файла intel.wll в папку запуска Word (% APPDATA% \ Microsoft \ Word \ STARTUP). Таким образом заражение не просто скрывается от пользователя, но и предотвращается срабатывание и выявление всей цепочки заражения в «песочнице» антивируса, поскольку необходимо перезапустить Word, чтобы полностью запустить вредоносное ПО.
Затем упомянутый файл intel.wll загружает DLL-ку, которая скачает уже само вредоносное ПО непосредственно и выйдет на связь с сервером C2 преступников. Сам сервер работает хоть и каждый день, но в строго отведённое время, что затрудняет анализ и доступ к истокам цепочки заражения.
Несмотря на это, помимо полезной нагрузки, замеченной в этом исследовании, имитирующая плагин архитектура позволяет предположить наличие и других симптомов заражения.
Меры защиты
Во-первых, самое важное и самое простое: будьте максимально осторожны при получении электронных писем. Ни вы, ни ваша компания не можете обойтись без электронной почты. Поэтому она является одним из основных векторов атак. Если вы получили письмо от кого-то, кого не знаете, не открывайте его, и, прежде всего, не открывайте вложения и не нажимайте ссылки.
Во-вторых, поскольку многие атаки используют уязвимости вашего ПО (как эта атака – огрехи в Word), нужно как можно скорее применять соответствующие обновления и патчи. Для этого существует множество решений, специально разработанных для идентификации, управления и установки исправлений. Эти «менеджеры обновлений» автоматически ищут нужные IT-материалы, необходимые для обеспечения вашей информационной безопасности. Они же позволяют расставить приоритеты срочности обновлений, запланировать их установку и изолировать компьютер от сети, когда это нужно.
Далее – нужно подготовить службы мониторинга сетей к увеличению потока обращений, ведь сотрудникам наверняка нужно будет подключаться к корпоративной сети. Межсетевые экраны, пароли, настройка VPN… Но главное – инструктаж персонала и первые два пункта.
Да, и антивирус.
Увы, эта угроза вряд ли станет последней из тех, что воспользуются нынешней глобальной озабоченностью ситуацией с пандемией коронавируса в мире. Некоторые из писем, подобных описанным в этой статье, выдают себя за профилактическую рассылку от лица госучреждений, отправляющих информацию о вирусе и мерах защиты от него. Другие, учитывая, что носить медицинские маски рекомендуется не более двух часов, выглядят как заказы на их покупку, чем элементарно выманивают у людей деньги. Также зафиксированы случаи, когда с целью похищения учётных данных преступники присылали письма даже адресно – якобы от лица конкретного работодателя – с дополнительной информацией о политике компании в отношении удалённой работы.
В любой сфере деятельности информационная безопасность является краеугольным камнем. Рост объёмов «удалёнки», вызванный исключительными обстоятельствами, может стать чем-то вроде лакмусовой бумажки не просто для многих компаний, но даже для мировой экономики. Готовы мы к этому или нет – покажет время. А пока нужно воспользоваться всеми ресурсами современных технологий безопасности, чтобы обеспечить надёжную, стабильную и спокойную удалённую работу сотрудников и не упустить те немногие возможности, которые ещё остались.
По материалам Panda Security