Užburta Panda

Pastaraisiais mėnesiais buvo užfiksuota keletas istorijų, kai kibernetiniai nusikaltėliai naudojasi labai realia koronaviruso grėsme, kad platintų kenkėjiškas programas ir išpirkos reikalaujančias programas . Šios grėsmės buvo skleidžiamos visame pasaulyje, tačiau ypač daug jų kilo iš Kinijos. Iki to laiko, kai valstybės remiama Kinijos programišių grupė Vicious Panda pradėjo platinti savo kenkėjiškas programas per koronavirusą.

Informacija apie ataką gaunama iš „Check Point“, kuris paskelbė tyrimą, rodantį, kad Kinijos APT „apginklavo“ teisėtą informaciją apie koronavirusą, kad išplatintų savo kenkėjiškas programas masėms.

Antrasis puolimas

Vicious Panda ataka iš tikrųjų yra antroji didelė su koronavirusu (COVID-19) susijusi kenkėjiškų programų kampanija, kuri per pastarąsias kelias savaites išėjo iš Kinijos. Pirmasis įvyko kovo pradžioje, kai Vietnamo kibernetinio saugumo grupė VinCSS pastebėjo Mustang Panda ataką. Mustang Panda yra dar viena Kinijos valstybės remiama programišių grupė.

Jų išpuolis buvo žinomas dėl to, kad platino el. laiškus su pridėtu RAR failu, kuriame teigiama, kad yra Vietnamo ministro pirmininko žinutė apie koronavirusą. Užuot talpinęs bet kokį svarbų pranešimą, RAR faile buvo užpakalinių durų trojos arklys, kuris įsidiegė aukos kompiuteriuose ir atidarė juos įsilaužimo grupei.

Piktoji panda užpuolė Mongolijos vyriausybę

„Check Point“ užpuolimą pastebėjo „Check Point“ ir teigė, kad jie seka grupę, nes buvo nusitaikę į Mongolijos vyriausybines organizacijas. Kaip ir pirmoji ataka, grupė teigė turinti svarbios informacijos apie koronavirusą, kurią vartotojai turėtų atsisiųsti norėdami pasiekti.

„Check Point“ sugebėjo perimti „Kinijos APT grupės prieš Mongolijos viešojo sektoriaus subjektą“ kibernetinę ataką. Ataka sustiprino koronaviruso baimę socialinės inžinerijos etape. Jame buvo du dokumentai. Vienas iš dokumentų buvo susijęs su COVID-19 ir abu jie teigė esantys iš Mongolijos užsienio reikalų ministerijos. Dokumentai buvo supakuoti su unikalia kenkėjiškų programų grėsme, kuri leido nuotoliniu būdu pasiekti aukos kompiuterius.

užburtas panda šlamštas platina kenkėjišką programą
El. pašto priedas – šaltinis: research.checkpoint.com

Ledkalnio viršūnė

Deja, ši naujausia ataka nėra jokia naujiena ir yra tik patarlių ledkalnio viršūnė. Piratai visada naudojo tokias krizes savo naudai, todėl jie negalėjo atsispirti COVID-19 pranašumui.

Naujausias Kinijos APT dokumentas, anot „Check Point“, buvo pavadintas „Apie naujų koronaviruso infekcijų plitimą“. Jame cituojamas Kinijos nacionalinis sveikatos komitetas, kad jis atrodytų autentiškesnis ir veiksmingesnis. Nors buvo daug kibernetinių grėsmių, susijusių su COVID-19, atrodo, kad tai pirmoji valstybės remiama programišių grupė, nukreipta prieš užsienio vyriausybę.

„Check Point“ teigia, kad tai yra ne tik naujausia iš daugybės su koronavirusu susijusių įsilaužimų atakų, bet ir naujausia Kinijos įsilaužėlių kampanija prieš kitas vyriausybes ir organizacijas. Skirtumas tas, kad šis panaudojo koronavirusą kaip diegimo metodo dalį.

Ataka buvo apibūdinta kaip „viešojo susidomėjimo koronavirusu išnaudojimas pačios [Kinijos] darbotvarkei pasitelkiant naują kibernetinės infekcijos grandinę“. Jie sako, kad Vicious Panda taikosi į viso pasaulio šalis – ne tik į Mongoliją. Jie ragina visus viešojo sektoriaus subjektus ir telekomunikacijų bendroves būti budriems dėl galimų kibernetinių grėsmių, ypač visko, kas skelbiama apie koronavirusą.

Teigiama, kad el. laiškas ir dokumentai yra iš pačios Mongolijos vyriausybės. Bent vienas iš jų teigė kilęs iš užsienio reikalų ministro. Kampanija buvo skirta kitoms Mongolijos viešojo sektoriaus dalims. Atrodė, kad kampanijos tikslas buvo gauti informaciją ir ekrano kopijas iš vyriausybės kompiuterių, redaguoti ir ištrinti failus bei nuotoliniu būdu valdyti tuos kompiuterius.

Kaip veikia Vicious Panda Ransomware?
Kenkėjiškame priede yra nuotolinės prieigos Trojos arklys (RAT), galintis perimti kompiuterių valdymą. Trojos arklys suprogramuotas taip, kad būtų ribotas ryšys su komandų ir valdymo serveriu, todėl jį aptikti gali būti sunkiau. Naudingosios apkrovos struktūra rodo, kad ji gali apimti kitus modulius, kuriuos planuojama įdiegti vėliau kaip didesnės kampanijos dalį. „Check Point“ gali pasakyti, kad atakoje naudojama kenkėjiška programa yra visiškai unikali ir specialiai sukurta padermė, tačiau kaip ji veikia ir ką ji daro – yra gana įprasta.

užburta panda kenkėjiškų programų grandinė
Užburtos pandos infekcijos grandinės – šaltinis: research.checkpoint.com

„Check Point“ sugriovė kitas kampanijos dalis, pvz., kur buvo įrengtas komandų ir valdymo centras. Tačiau dienos pabaigoje ši kenkėjiška programa yra ne kas kita, kaip valstybės remiama kampanija. Ji naudoja socialinę inžineriją, kad paskatintų vartotojus atsisiųsti ir atidaryti priedą. Priedas įkelia kitą failą ir įdiegia kompiuterio užpakalines duris. Tada Kinija gali išnaudoti šias užpakalines duris šnipinėti vyriausybės taikinius.

„Cybercrooks“ ir toliau naudos Kiniją ir koronavirusą

Nors aukščiausio lygio ženklai nepateikia pakankamai informacijos, kad būtų galima tiksliai nustatyti, kas yra už atakos, „Check Point“ įsigilino į kenkėjiškos programos kodą ir nustatė, kad jis panašus į kodą, naudojamą kitose su Kinija susijusiose kenkėjiškose programose. Tos kampanijos buvo skirtos ir Kinijos priešams.

Kinija – koronaviruso epicentras – naudoja virusą savo naudai daugeliu apgaulingų metodų. Nenuostabu, kad jie pasinaudotų koronavirusu, nes šiuo metu tai yra geriausia socialinės inžinerijos priemonė, prieinama grėsmės veikėjams. Net paprasti kibernetiniai nusikaltėliai tai naudoja savo kampanijose.

Tendencijos

Labiausiai žiūrima

Įkeliama...