Onde Panda
Der har været adskillige historier i de seneste måneder om cyberkriminelle, der bruger den meget reelle trussel fra Coronavirus til at sprede malware og løsepenge . Disse trusler er blevet udbredt over hele verden, men der har været en række, der kommer fra især Kina. Til det punkt, at den statssponserede kinesiske hackergruppe Vicious Panda er begyndt at sprede deres egen malware gennem coronavirus.
Oplysningerne om angrebet kommer fra Check Point, som har offentliggjort forskning, der viser, at en kinesisk APT har "våben" legitim information om coronavirus for at sprede deres ondsindede malware til masserne.
Indholdsfortegnelse
Det andet angreb
Det Vicious Panda-angreb er faktisk den anden store Coronavirus (COVID-19)-relaterede malware-kampagne, der er kommet ud af Kina i de seneste par uger. Den første skete i begyndelsen af marts, da den vietnamesiske cybersikkerhedsgruppe VinCSS bemærkede et angreb fra Mustang Panda. Mustang Panda er en anden kinesisk statssponsoreret hackergruppe.
Deres angreb var kendt for at distribuere e-mails med en vedhæftet RAR-fil, der hævdede at indeholde en besked fra den vietnamesiske premierminister om coronavirus. I stedet for at indeholde nogen form for vigtig besked, indeholdt RAR-filen en bagdørstrojan, der installerede sig selv på ofrets computere og åbnede dem for hackergruppen.
Vicious Panda angriber den mongolske regering
Det Vicious Panda-angreb blev opdaget af Check Point, som sagde, at de holdt øje med gruppen, da de var rettet mod mongolske regeringsorganisationer. Ligesom det første angreb hævdede gruppen at have vital information om coronavirus, som brugere skulle downloade for at få adgang til.
Check Point var i stand til at opsnappe et cyberangreb fra en "kinesisk APT-gruppe på en enhed i den offentlige sektor i Mongoliet." Angrebet udnyttede frygten for coronavirus under den sociale ingeniørfase. Den indeholdt to dokumenter. Et af dokumenterne var relateret til COVID-19, og begge hævdede at være fra det mongolske udenrigsministerium. Dokumenterne kom pakket med en unik malwaretrussel, der tillod fjernadgang til ofrets computere.
Vedhæftet e-mail - Kilde: research.checkpoint.com
Toppen af isbjerget
Desværre er dette seneste angreb ikke noget nyt og repræsenterer blot toppen af det velkendte isbjerg. Hackere har altid brugt denne slags kriser til deres fordel, så der var ingen måde, de ville være i stand til at modstå at drage fordel af COVID-19.
Det seneste kinesiske APT-dokument havde ifølge Check Point titlen 'Om spredningen af nye coronavirus-infektioner'. Det citerer den kinesiske nationale sundhedskomité for at fremstå mere autentisk og være mere effektiv. Selvom der har været en række cybertrusler relateret til COVID-19, ser dette ud til at være den første, der er udført af en statssponsoreret hackergruppe mod en udenlandsk regering.
Ud over at være det seneste i en række af coronavirus-relaterede hackingangreb, siger Check Point, at angrebet blot er det seneste i en igangværende kampagne fra kinesiske hackere mod andre regeringer og organisationer. Forskellen er, at denne udnyttede coronavirus som en del af implementeringsmetoden.
Angrebet blev beskrevet som "udnyttelse af offentlig interesse for coronavirus til [Kinas] egen dagsorden gennem en ny cyberinfektionskæde." De siger, at Vicious Panda er rettet mod lande over hele verden - ikke kun Mongoliet. De opfordrer alle offentlige enheder og teleselskaber til at være på vagt over potentielle cybertrusler, især alt, der hævder at handle om coronavirus.
E-mailen og dokumenterne hævder at komme fra Mongoliets egen regering. Mindst en af dem hævdede at komme fra udenrigsministeren. Kampagnen var rettet mod andre dele af den mongolske offentlige sektor. Målet med kampagnen så ud til at være at få fat i information og skærmbilleder fra offentlige computere, redigere og slette filer og tage fjernstyring af disse computere.
Hvordan virker den onde Panda Ransomware?
Den ondsindede vedhæftede fil indeholder en remote access trojan (RAT), der kan tage kontrol over computere. Trojaneren er programmeret til at have begrænsede forbindelser til kommando- og kontrolserveren, hvilket kan gøre den sværere at opdage. Strukturen af nyttelasten antyder, at den kan inkludere andre moduler, der er planlagt til installation senere som en del af en større kampagne. Efter hvad Check Point kan fortælle, er den malware, der blev brugt i angrebet, en helt unik og specialdesignet stamme, men præcis hvordan det virker – og hvad det gør – er ret almindeligt.
Vicious Panda Infection Chains - Kilde: research.checkpoint.com
Check Point nedbrød andre dele af kampagnen, såsom hvor kommando- og kontrolcentret var vært. I slutningen af dagen er denne malware dog intet mindre end en statssponsoreret kampagne. Den bruger social engineering til at opmuntre brugere til at downloade og åbne en vedhæftet fil. Den vedhæftede fil indlæser en anden fil og installerer en bagdør til computeren. Kina kan så udnytte den bagdør til at spionere på regeringens mål.
Cyberskurke vil fortsætte med at udnytte Kina og coronavirus
Mens vejskiltene på øverste niveau ikke tilbyder nok information til at udpege præcis, hvem der står bag angrebet, gravede Check Point i malware-koden og fandt ud af, at den lignede kode, der blev brugt i anden malware relateret til Kina. Disse kampagner var også rettet mod Kinas fjender.
Kina – epicentret for coronavirus – bruger virussen til sin egen fordel i mange vildledende metoder. Det er dog ikke overraskende, at de ville bruge coronavirus, da det i øjeblikket er det bedste sociale ingeniørværktøj, der er tilgængeligt for trusselsaktører. Selv almindelige cyberkriminelle udnytter det i deres egne kampagner.
