Vicious Panda
V posledních měsících se objevilo několik příběhů o počítačových zločincích, kteří používali velmi reálnou hrozbu koronaviru k šíření malwaru a ransomwaru . Tyto hrozby se šíří po celém světě, ale řada jich přišla zejména z Číny. Do té míry, že státem podporovaná čínská hackerská skupina Vicious Panda začala šířit svůj vlastní malware prostřednictvím koronaviru.
Informace o útoku pocházejí od společnosti Check Point, která zveřejnila výzkum ukazující, že čínský APT „vyzbrojil“ legitimní informace o koronaviru, aby rozšířil svůj škodlivý malware mezi masy.
Obsah
Druhý útok
Útok Vicious Panda je ve skutečnosti druhou velkou malwarovou kampaní související s koronavirem (COVID-19), která v posledních několika týdnech přišla z Číny. První se stalo začátkem března, kdy vietnamská kyberbezpečnostní skupina VinCSS zaznamenala útok Mustangu Panda. Mustang Panda je další čínskou státem podporovaná hackerská skupina.
Jejich útok byl známý distribucí e-mailů s připojeným souborem RAR, který tvrdil, že obsahuje zprávu od vietnamského premiéra o koronaviru. Namísto toho, aby obsahoval jakoukoli důležitou zprávu, soubor RAR obsahoval backdoor trojan, který se nainstaloval na počítače oběti a otevřel je hackerské skupině.
Vicious Panda útočí na mongolskou vládu
Útok Vicious Panda si všiml Check Point, který uvedl, že skupinu sledují, protože se stala terčem mongolských vládních organizací. Stejně jako první útok skupina tvrdila, že má zásadní informace o koronaviru, které by si uživatelé měli stáhnout, aby měli přístup.
Check Pointu se podařilo zachytit kybernetický útok „čínské skupiny APT na entitu veřejného sektoru Mongolska“. Útok využil obavy z koronaviru během fáze sociálního inženýrství. Obsahoval dva dokumenty. Jeden z dokumentů se týkal COVID-19 a oba tvrdili, že pocházejí z mongolského ministerstva zahraničních věcí. Dokumenty byly zabaleny s jedinečnou malwarovou hrozbou, která umožňovala vzdálený přístup k počítačům obětí.
Příloha e-mailu – Zdroj: research.checkpoint.com
Špička ledovce
Bohužel tento poslední útok není nic nového a představuje pouze špičku pověstného ledovce. Hackeři vždy využívali tyto druhy krizí ve svůj prospěch, takže neexistoval způsob, jak by byli schopni odolat využití COVID-19.
Nejnovější čínský dokument APT měl podle Check Pointu název „O šíření nových koronavirových infekcí“. Cituje Národní zdravotní výbor Číny, aby vypadal autentičtěji a byl efektivnější. I když došlo k řadě kybernetických hrozeb souvisejících s COVID-19, zdá se, že toto je první, kterou provedla státem sponzorovaná hackerská skupina proti cizí vládě.
Kromě toho, že jde o nejnovější ze série hackerských útoků souvisejících s koronavirem, Check Point říká, že tento útok je jen posledním v probíhající kampani čínských hackerů proti jiným vládám a organizacím. Rozdíl je v tom, že tento využíval koronavirus jako součást metody nasazení.
Útok byl popsán jako „využívání veřejného zájmu o koronavirus pro [čínskou] vlastní agendu prostřednictvím nového řetězce kybernetických infekcí. Říkají, že Vicious Panda se zaměřují na země po celém světě – nejen na Mongolsko. Vyzývají všechny subjekty veřejného sektoru a telekomunikační společnosti, aby byly ve střehu před potenciálními kybernetickými hrozbami, zejména cokoli, co tvrdí, že se týká koronaviru.
E-mail a dokumenty tvrdí, že pocházejí z vlastní mongolské vlády. Nejméně jeden z nich tvrdil, že pochází od ministra zahraničních věcí. Kampaň se zaměřila na další části mongolského veřejného sektoru. Zdálo se, že cílem kampaně bylo získat informace a snímky obrazovky z vládních počítačů, upravovat a mazat soubory a převzít vzdálené ovládání těchto počítačů.
Jak funguje Vicious Panda Ransomware?
Škodlivá příloha obsahuje trojský kůň pro vzdálený přístup (RAT), který může převzít kontrolu nad počítači. Trojan je naprogramován tak, aby měl omezená připojení k příkazovému a řídicímu serveru, což může ztížit jeho detekci. Struktura užitečného zatížení naznačuje, že by mohl zahrnovat další moduly, které jsou naplánovány k pozdější instalaci v rámci větší kampaně. Z toho, co může Check Point říct, je malware použitý při útoku zcela unikátní a na míru navržený kmen, ale přesně to, jak funguje – a co dělá – je poměrně běžné.
Vicious Panda Infection Chains – Zdroj: research.checkpoint.com
Check Point rozbil další části kampaně, například místo, kde bylo umístěno velitelské a řídicí centrum. Na konci dne však tento malware není nic jiného než státem sponzorovaná kampaň. Využívá sociální inženýrství k povzbuzení uživatelů ke stažení a otevření přílohy. Příloha načte další soubor a nainstaluje zadní vrátka do počítače. Čína pak může využít tato zadní vrátka ke špehování vládních cílů.
Kybernetický podvodníci budou nadále využívat Čínu a koronavirus
Zatímco ukazatele na nejvyšší úrovni nenabízejí dostatek informací, aby přesně určily, kdo stojí za útokem, Check Point se ponořil do kódu malwaru a zjistil, že je podobný kódu používanému v jiném malwaru souvisejícím s Čínou. Tyto kampaně byly také zaměřeny na nepřátele Číny.
Čína – epicentrum koronaviru – využívá virus ve svůj vlastní prospěch v mnoha klamavých metodách. Není divu, že by však koronavirus využili, protože je to v současnosti nejlepší nástroj sociálního inženýrství dostupný pro aktéry ohrožení. Dokonce i běžní kyberzločinci to využívají ve svých vlastních kampaních.
