Ördögi Panda
Az elmúlt hónapokban számos történet született arról, hogy a kiberbűnözők a koronavírus nagyon is valós fenyegetését használták rosszindulatú programok és zsarolóprogramok terjesztésére . Ezeket a fenyegetéseket szerte a világon terjesztették, de különösen Kínából érkezett számos. Odáig, hogy az államilag támogatott kínai hackercsoport, a Vicious Panda elkezdte terjeszteni saját rosszindulatú programjait a koronavíruson keresztül.
A támadásról szóló információ a Check Pointtól származik, amely kutatást tett közzé, amely szerint egy kínai APT "fegyverzett" legitim információkat a koronavírusról, hogy rosszindulatú programjaikat tömegekhez terjeszthesse.
Tartalomjegyzék
A második támadás
A Vicious Panda támadás valójában a második olyan nagy koronavírussal (COVID-19) kapcsolatos rosszindulatú programkampány, amely Kínából indult ki az elmúlt hetekben. Az első március elején történt, amikor a vietnami kiberbiztonsági csoport, a VinCSS észrevette a Mustang Panda támadását. A Mustang Panda egy másik kínai állam által támogatott hackercsoport.
Támadásuk arról volt ismert, hogy e-maileket terjesztettek egy csatolt RAR-fájllal, amelyek állításuk szerint a vietnami miniszterelnöktől kapott üzenetet tartalmaztak a koronavírussal kapcsolatban. A RAR-fájl ahelyett, hogy bármilyen fontos üzenetet tartalmazott volna, egy hátsó ajtós trójai programot tartalmazott, amely telepítette magát az áldozat számítógépére, és megnyitotta azokat a hackercsoport előtt.
Az ördögi panda megtámadja a mongol kormányt
A Vicious Panda támadást a Check Point vette észre, és azt mondta, hogy figyelemmel kísérik a csoportot, mivel mongol kormányzati szervezetek célpontjai voltak. Az első támadáshoz hasonlóan a csoport azt állította, hogy létfontosságú információkkal rendelkezik a koronavírusról, amelyeket a felhasználóknak le kell tölteniük, hogy hozzáférjenek.
A Check Point képes volt feltartóztatni egy „kínai APT-csoport Mongólia közszféra egyik szervezete ellen” végrehajtott kibertámadását. A támadás a koronavírustól való félelmet kamatoztatta a szociális tervezés szakaszában. Két dokumentumot tartalmazott. Az egyik dokumentum a COVID-19-hez kapcsolódott, és mindkettő a mongol külügyminisztériumtól származott. A dokumentumokat egyedi rosszindulatú fenyegetéssel csomagolták, amely lehetővé tette az áldozat számítógépeinek távoli elérését.
E-mail melléklet – Forrás: research.checkpoint.com
A jéghegy csúcsa
Sajnos ez a legutóbbi támadás nem újdonság, és csupán a közmondásos jéghegy csúcsát jelenti. A hackerek mindig is a maguk javára használták az ilyen típusú válságokat, így semmiképpen sem tudtak ellenállni a COVID-19 előnyeinek.
A legutóbbi kínai APT dokumentum a Check Point szerint „Az új koronavírus-fertőzések terjedéséről” címet viselte. A kínai Nemzeti Egészségügyi Bizottságra hivatkozik, hogy hitelesebbnek és hatékonyabbnak tűnjön. Bár számos kiberfenyegetés történt a COVID-19-hez kapcsolódóan, úgy tűnik, ez az első, amelyet egy államilag támogatott hackercsoport hajt végre egy külföldi kormány ellen.
Amellett, hogy ez a legújabb a koronavírussal kapcsolatos hackertámadások sorozatában, a Check Point szerint a támadás csak a legújabb a kínai hackerek más kormányok és szervezetek ellen folyó kampányában. A különbség az, hogy ez a koronavírust használta a telepítési módszer részeként.
A támadást úgy írták le, mint "a koronavírus iránti közérdeklődést [Kína] saját napirendjére, egy új kiberfertőzési láncon keresztül". Azt mondják, hogy a Vicious Panda a világ országait célozza meg – nem csak Mongóliát. Arra buzdítanak minden közszférabeli szervezetet és távközlési szolgáltatót, hogy legyenek készenlétben a potenciális kiberfenyegetésekkel szemben, különösen minden olyan dologgal kapcsolatban, amely a koronavírussal kapcsolatos.
Az e-mailek és a dokumentumok azt állítják, hogy Mongólia saját kormányából származnak. Legalább egyikük azt állította, hogy a külügyminisztertől származott. A kampány a mongol közszféra más részeit célozta meg. Úgy tűnt, hogy a kampány célja információk és képernyőképek gyűjtése kormányzati számítógépekről, fájlok szerkesztése és törlése, valamint e számítógépek távvezérlésének átvétele volt.
Hogyan működik a Vicious Panda Ransomware?
A rosszindulatú melléklet egy távoli hozzáférésű trójai programot (RAT) tartalmaz, amely átveheti az irányítást a számítógépek felett. A trójai úgy van programozva, hogy korlátozott kapcsolata legyen a parancs- és vezérlőkiszolgálóval, ami megnehezítheti az észlelést. A hasznos teher szerkezete azt sugallja, hogy más modulokat is tartalmazhat, amelyeket később, egy nagyobb kampány részeként ütemeztek telepítésre. A Check Point szerint a támadás során használt rosszindulatú program egy teljesen egyedi és egyedi tervezésű törzs, de pontosan hogyan működik – és mit csinál – meglehetősen gyakori.
Vicious Panda Infection Chains – Forrás: research.checkpoint.com
A Check Point lebontotta a kampány egyéb részeit, például azt, ahol a parancsnoki és irányítóközpont helyet kapott. A nap végén azonban ez a rosszindulatú program nem más, mint egy államilag támogatott kampány. Social engineering segítségével ösztönzi a felhasználókat egy melléklet letöltésére és megnyitására. A melléklet betölt egy másik fájlt, és telepít egy hátsó ajtót a számítógépre. Kína ezután kihasználhatja ezt a hátsó ajtót, hogy kormányzati célpontok után kémkedjen.
A Cybercrooks továbbra is kihasználja Kínát és a koronavírust
Míg a legfelső szintű útjelző táblák nem kínálnak elegendő információt ahhoz, hogy pontosan meghatározzák, ki áll a támadás mögött, a Check Point beleásott a kártevő kódjába, és megállapította, hogy az hasonló a Kínával kapcsolatos más rosszindulatú programokban használt kódhoz. Ezek a hadjáratok Kína ellenségei ellen is irányultak.
Kína – a koronavírus epicentruma – számos megtévesztő módszerben a saját előnyére használja a vírust. Nem meglepő, hogy ők is alkalmaznák a koronavírust, hiszen jelenleg ez a legjobb szociális mérnöki eszköz, amely a fenyegetés szereplői számára elérhető. Még a rendszeres kiberbűnözők is kihasználják ezt saját kampányaikban.
