רישיונות ריבוי מכשירים (הנחות נפח)
Threat Database Advanced Persistent Threat (APT) פנדה מרושעת

פנדה מרושעת

עד CagedTech ב-Advanced Persistent Threat (APT)
לתרגם ל:
עברית

היו כמה סיפורים בחודשים האחרונים של פושעי סייבר שמשתמשים באיום האמיתי של וירוס קורונה כדי להפיץ תוכנות זדוניות ותוכנות כופר . האיומים הללו הופצו בכל רחבי העולם, אך היו מספר שיצאו מסין במיוחד. עד לנקודה שקבוצת הפריצה הסינית בחסות המדינה Vicious Panda החלה להפיץ תוכנות זדוניות משלהן באמצעות נגיף הקורונה.

המידע על המתקפה מגיע מצ'ק פוינט, שפרסמה מחקר המראה ש-APT סיני "השתמש בנשק" מידע לגיטימי על נגיף הקורונה כדי להפיץ את התוכנה הזדונית שלהם להמונים.

ההתקפה השנייה

מתקפת ה-Vicious Panda היא למעשה מסע התוכנות הזדוניות הגדולות השני הקשור לקורונה (COVID-19) שיצא מסין בשבועות האחרונים. הראשון קרה בתחילת מרץ כאשר קבוצת אבטחת הסייבר הווייטנאמית VinCSS הבחינה במתקפה של מוסטנג פנדה. מוסטנג פנדה היא קבוצת פריצה נוספת בחסות המדינה הסינית.

המתקפה שלהם הייתה ידועה בהפצת מיילים עם קובץ RAR מצורף שלטענתו מכיל הודעה מראש ממשלת וייטנאם על נגיף הקורונה. במקום להכיל כל סוג של הודעה חשובה, קובץ ה-RAR הכיל טרויאני בדלת אחורית שהתקין את עצמו על מחשבי הקורבן ופתח אותם בפני קבוצת הפריצה.

פנדה מרושעת תוקפת את ממשלת מונגוליה

מתקפת הפנדה האכזרית אותרה על ידי צ'ק פוינט, שאמרה שהם עוקבים אחר הקבוצה מכיוון שהם כוונו לארגונים ממשלתיים מונגוליים. כמו המתקפה הראשונה, הקבוצה טענה שיש לה מידע חיוני על נגיף הקורונה שמשתמשים צריכים להוריד כדי לגשת אליו.

צ'ק פוינט הצליחה ליירט מתקפת סייבר של "קבוצת APT סינית על ישות במגזר הציבורי במונגוליה". המתקפה מינפה את החששות מנגיף הקורונה בשלב ההנדסה החברתית. הוא הכיל שני מסמכים. אחד המסמכים היה קשור ל-COVID-19 ושניהם טענו שהם ממשרד החוץ המונגולי. המסמכים הגיעו ארוזים עם איום תוכנה זדונית ייחודי שאפשר גישה מרחוק למחשבי הקורבן.

דואר זבל אכזרי של פנדה הפצת תוכנות זדוניות
קובץ מצורף למייל - מקור: research.checkpoint.com

קצה הקרחון

למרבה הצער, המתקפה האחרונה הזו אינה חדשה והיא רק מייצגת את קצה הקרחון הפתגם. האקרים תמיד השתמשו בסוגים אלה של משברים לטובתם, כך שלא הייתה שום סיכוי שהם יוכלו להתנגד לניצול ה-COVID-19.

מסמך ה-APT הסיני האחרון היה, על פי צ'ק פוינט, בשם "על התפשטות זיהומי וירוס קורונה חדשים". הוא מצטט את ועדת הבריאות הלאומית של סין על מנת להיראות אותנטי יותר ולהיות יעיל יותר. למרות שהיו מספר איומי סייבר הקשורים ל-COVID-19, נראה שזהו הראשון שנערך על ידי קבוצת פריצה בחסות המדינה נגד ממשלה זרה.

בנוסף להיותה האחרונה בסדרה של התקפות פריצה הקשורות לקורונה, צ'ק פוינט אומרת שהמתקפה היא רק האחרונה בקמפיין מתמשך של האקרים סינים נגד ממשלות וארגונים אחרים. ההבדל הוא שזה מינף את וירוס הקורונה כחלק משיטת הפריסה.

המתקפה תוארה כ"ניצול העניין הציבורי בנגיף הקורונה עבור סדר היום של [סין] עצמה באמצעות שרשרת זיהומי סייבר חדשה". הם אומרים ש-Vicious Panda מכוונות למדינות ברחבי העולם - לא רק למונגוליה. הם קוראים לכל ישות וטלקו במגזר הציבורי להיות ערניים לגבי איומי סייבר פוטנציאליים, במיוחד כל מה שמתיימר להיות קשור לקורונה.

המייל והמסמכים טוענים שהם מגיעים מתוך ממשלת מונגוליה עצמה. לפחות אחד מהם טען שהגיע משר החוץ. הקמפיין כוון לחלקים אחרים במגזר הציבורי המונגולי. נראה כי מטרת הקמפיין הייתה לתפוס מידע וצילומי מסך ממחשבי ממשלה, עריכה ומחיקה של קבצים ושליטה מרחוק על אותם מחשבים.

כיצד פועלת תוכנת הכופר של Vicious Panda?
הקובץ המצורף הזדוני מכיל טרויאני גישה מרחוק (RAT) שיכול להשתלט על מחשבים. הטרויאני מתוכנת לחיבורים מוגבלים לשרת הפיקוד והבקרה, מה שעלול להקשות על זיהויו. מבנה המטען מצביע על כך שהוא יכול לכלול מודולים אחרים שמתוכננים להתקנה מאוחר יותר כחלק ממסע פרסום גדול יותר. ממה שצ'ק פוינט יכולה לדעת, התוכנה הזדונית המשמשת בהתקפה היא זן ייחודי לחלוטין ומעוצב בהתאמה אישית, אבל איך בדיוק זה עובד - ומה הוא עושה - נפוצים למדי.

שרשרת הדבקה בתוכנה זדונית של פנדה אכזרית
שרשראות זיהום פנדה מרושעות - מקור: research.checkpoint.com

צ'ק פוינט פירק חלקים אחרים של המערכה, כמו המקום שבו התארח מרכז הפיקוד והבקרה. עם זאת, בסופו של יום, התוכנה הזדונית הזו היא לא פחות מקמפיין בחסות המדינה. הוא משתמש בהנדסה חברתית כדי לעודד משתמשים להוריד ולפתוח קובץ מצורף. הקובץ המצורף טוען קובץ נוסף ומתקין דלת אחורית למחשב. סין תוכל אז לנצל את הדלת האחורית כדי לרגל אחר מטרות ממשלתיות.

נוכלי סייבר ימשיכו למנף את סין וקורונה

בעוד שהשלטים ברמה העליונה אינם מציעים מספיק מידע כדי לאתר בדיוק מי עומד מאחורי המתקפה, צ'ק פוינט חפרה בקוד התוכנה הזדונית ומצאה שהוא דומה לקוד המשמש בתוכנות זדוניות אחרות הקשורות לסין. הקמפיינים הללו כוונו גם לאויביה של סין.

סין - מוקד הקורונה - משתמשת בנגיף לטובתה בשיטות מטעות רבות... אין זה מפתיע שהם ישתמשו בנגיף הקורונה, מכיוון שהוא כרגע הכלי ההנדסי החברתי הטוב ביותר שזמין לשחקני איומים. אפילו פושעי סייבר רגילים ממנפים את זה בקמפיינים שלהם.

מגמות

הונאת דוא"ל 'YouPorn'

Spam
לאחר בדיקה יסודית של הודעות האימייל של 'YouPorn', מומחי אבטחת סייבר אישרו את אופיים המרמה. הודעות דוא"ל אלו הן חלק מגרסאות ספאם שונות, כולן דומות לטקטיקות סקסטורציה. החוט המשותף בין הודעות האימייל המטעות הללו הוא קביעה מפוברקת לפיה הנמען היה מעורב בחומר בעל אופי מיני מפורש שפורסם לאחרונה באתר YouPorn. האימיילים מציגים אז אפשרויות תשלום מרובות להסרת התוכן האמור ולמניעת העלאות עתידיות....

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
14,963
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...