Злобна панда

През последните месеци имаше няколко истории за киберпрестъпници, използващи много реалната заплаха от коронавирус, за да разпространяват зловреден софтуер и софтуер за откуп . Тези заплахи се разпространяват по целия свят, но има редица, идващи по-специално от Китай. До степен, че спонсорираната от държавата китайска хакерска група Vicious Panda започна да разпространява свой собствен зловреден софтуер чрез коронавирус.

Информацията за атаката идва от Check Point, който публикува проучване, показващо, че китайски APT е „въоръжил“ легитимна информация за коронавирус, за да разпространи своя злонамерен зловреден софтуер сред масите.

Втората атака

Атаката на Vicious Panda всъщност е втората голяма кампания за злонамерен софтуер, свързана с коронавирус (COVID-19), която излезе от Китай през последните няколко седмици. Първото се случи в началото на март, когато виетнамската група за киберсигурност VinCSS забеляза атака от Mustang Panda. Mustang Panda е друга хакерска група, спонсорирана от Китай.

Тяхната атака беше известна с разпространението на имейли с прикачен RAR файл, за който се твърди, че съдържа съобщение от виетнамския премиер за коронавируса. Вместо да съдържа какъвто и да е вид важно съобщение, RAR файлът съдържа бекдор троянски кон, който се инсталира на компютрите на жертвата и ги отваря за хакерската група.

Порочната панда атакува монголското правителство

Атаката на Vicious Panda беше забелязана от Check Point, който каза, че следят групата, тъй като са били насочени към монголски правителствени организации. Подобно на първата атака, групата твърди, че разполага с жизненоважна информация за коронавирус, която потребителите трябва да изтеглят, за да имат достъп.

Check Point успя да прихване кибератака от „китайска APT група срещу организация от публичния сектор на Монголия“. Атаката използва страховете от коронавирус по време на фазата на социалното инженерство. Съдържа два документа. Един от документите беше свързан с COVID-19 и двамата твърдяха, че са от Министерството на външните работи на Монголия. Документите бяха опаковани с уникална заплаха за злонамерен софтуер, която позволяваше отдалечен достъп до компютрите на жертвата.

vicious panda спам имейл разпространява злонамерен софтуер
Прикачен файл към имейл – Източник: research.checkpoint.com

Върхът на айсберга

За съжаление, тази последна атака не е нищо ново и просто представлява върха на пословичния айсберг. Хакерите винаги са използвали този вид кризи в своя полза, така че нямаше начин да устоят да се възползват от COVID-19.

Според Check Point последният китайски APT документ беше озаглавен „За разпространението на нови коронавирусни инфекции“. Той цитира Националния здравен комитет на Китай, за да изглежда по-автентичен и по-ефективен. Въпреки че имаше редица кибер заплахи, свързани с COVID-19, това изглежда е първата, извършена от спонсорирана от държавата хакерска група срещу чуждо правителство.

Освен че е последната от поредица хакерски атаки, свързани с коронавирус, Check Point казва, че атаката е само най-новата в продължаваща кампания на китайски хакери срещу други правителства и организации. Разликата е, че този е използвал коронавирус като част от метода на внедряване.

Атаката беше описана като „експлоатация на обществения интерес към коронавируса за собствения дневен ред на [Китай] чрез нова верига за киберинфекция“. Казват, че Vicious Panda са насочени към страни по целия свят - не само към Монголия. Те настояват всички субекти от публичния сектор и телекомуникации да бъдат нащрек за потенциални кибер заплахи, особено всичко, което твърди, че е свързано с коронавирус.

Имейлът и документите твърдят, че идват от правителството на Монголия. Поне един от тях твърди, че идва от министъра на външните работи. Кампанията беше насочена към други части от монголския публичен сектор. Целта на кампанията изглеждаше да вземе информация и екранни снимки от правителствени компютри, да редактира и изтрие файлове и да вземе отдалечен контрол над тези компютри.

Как работи Vicious Panda Ransomware?
Злонамереният прикачен файл съдържа троянски кон за отдалечен достъп (RAT), който може да поеме контрола над компютрите. Троянският кон е програмиран да има ограничени връзки с командния и контролния сървър, което може да затрудни откриването му. Структурата на полезния товар предполага, че може да включва други модули, които са планирани за инсталиране по-късно като част от по-голяма кампания. От това, което Check Point може да каже, злонамереният софтуер, използван в атаката, е напълно уникален и специално проектиран щам, но точно как работи – и какво прави – са доста често срещани.

верига за заразяване със злонамерен софтуер vicious panda
Vicious Panda Infection Chains – Източник: research.checkpoint.com

Check Point разби други части от кампанията, като например мястото, където беше хостван командният и контролен център. В крайна сметка обаче този зловреден софтуер не е нищо друго освен спонсорирана от държавата кампания. Той използва социално инженерство, за да насърчи потребителите да изтеглят и отварят прикачен файл. Прикаченият файл зарежда друг файл и инсталира задна врата към компютъра. След това Китай може да използва тази задна врата, за да шпионира правителствени цели.

Кибермошениците ще продължат да използват Китай и коронавируса

Докато указателните табели от най-високо ниво не предлагат достатъчно информация, за да се определи точно кой стои зад атаката, Check Point се разрови в кода на зловреден софтуер и установи, че е подобен на кода, използван в друг зловреден софтуер, свързан с Китай. Тези кампании също бяха насочени срещу враговете на Китай.

Китай – епицентърът на коронавируса – използва вируса в своя собствена полза в много измамни методи. Не е изненадващо, че те биха използвали коронавируса, тъй като в момента той е най-добрият инструмент за социално инженерство, достъпен за участниците в заплахите. Дори обикновените киберпрестъпници го използват в собствените си кампании.

Тенденция

Най-гледан

Зареждане...