Panda vicios
Au existat mai multe povești în ultimele luni despre criminali cibernetici care folosesc amenințarea foarte reală a coronavirusului pentru a răspândi malware și ransomware . Aceste amenințări s-au răspândit în întreaga lume, dar au apărut un număr mai ales din China. Până în punctul în care grupul chinez de hacking Vicious Panda, sponsorizat de stat, a început să-și răspândească propriul malware prin coronavirus.
Informațiile despre atac provin de la Check Point, care a publicat cercetări care arată că un APT chinez a „armat” informații legitime despre coronavirus pentru a răspândi malware-ul lor în masă.
Cuprins
Al doilea atac
Atacul Vicious Panda este de fapt a doua campanie majoră de malware legată de Coronavirus (COVID-19) care a apărut din China în ultimele săptămâni. Primul s-a întâmplat la începutul lunii martie, când grupul vietnamez de securitate cibernetică VinCSS a observat un atac al lui Mustang Panda. Mustang Panda este un alt grup de hacking sponsorizat de stat chinez.
Atacul lor era cunoscut pentru distribuirea de e-mailuri cu un fișier RAR atașat care pretindea că conține un mesaj de la prim-ministrul vietnamez despre coronavirus. În loc să conțină orice fel de mesaj important, fișierul RAR conținea un troian backdoor care s-a instalat pe computerele victimei și le-a deschis grupului de hacking.
Vicious Panda atacă guvernul mongol
Atacul Vicious Panda a fost observat de Check Point, care a spus că țin cont de grup, deoarece erau vizate de organizații guvernamentale mongole. La fel ca primul atac, grupul a susținut că deține informații vitale despre coronavirus pe care utilizatorii ar trebui să le descarce pentru a le accesa.
Check Point a reușit să intercepteze un atac cibernetic din partea unui „grup APT chinez asupra unei entități din sectorul public din Mongolia”. Atacul a exploatat temerile de coronavirus în timpul fazei de inginerie socială. Conținea două documente. Unul dintre documente era legat de COVID-19 și ambii pretindeau că sunt de la Ministerul Afacerilor Externe al Mongoliei. Documentele au fost ambalate cu o amenințare unică de malware care a permis accesul de la distanță al computerelor victimei.
Atașament de e-mail - Sursa: research.checkpoint.com
Varful icebergului
Din păcate, acest ultim atac nu este nimic nou și reprezintă doar vârful aisbergului proverbial. Hackerii au folosit întotdeauna aceste tipuri de crize în avantajul lor, așa că nu ar fi putut rezista să profite de COVID-19.
Cel mai recent document chinez APT a fost, potrivit Check Point, intitulat „Despre răspândirea noilor infecții cu coronavirus”. Acesta citează Comitetul Național de Sănătate din China pentru a părea mai autentic și mai eficient. Deși au existat o serie de amenințări cibernetice legate de COVID-19, aceasta pare a fi prima condusă de un grup de hacking sponsorizat de stat împotriva unui guvern străin.
Pe lângă faptul că este cel mai recent dintr-o serie de atacuri de hacking legate de coronavirus, Check Point spune că atacul este doar cel mai recent dintr-o campanie în curs de desfășurare a hackerilor chinezi împotriva altor guverne și organizații. Diferența este că acesta a folosit coronavirus ca parte a metodei de implementare.
Atacul a fost descris ca „exploatarea interesului public față de coronavirus pentru propria agendă [Chinei] printr-un lanț nou de infecții cibernetice”. Ei spun că Vicious Panda vizează țări din întreaga lume, nu doar Mongolia. Ei îndeamnă fiecare entitate din sectorul public și companii de telecomunicații să fie în alertă față de potențialele amenințări cibernetice, în special despre orice pretinde a fi despre coronavirus.
E-mailul și documentele pretind că provin din propriul guvern al Mongoliei. Cel puțin unul dintre ei a susținut că provine de la ministrul Afacerilor Externe. Campania a vizat alte părți ale sectorului public mongol. Scopul campaniei părea să fie preluarea de informații și capturi de ecran de pe computerele guvernamentale, editarea și ștergerea fișierelor și preluarea controlului de la distanță asupra computerelor respective.
Cum funcționează Vicious Panda Ransomware?
Atașamentul rău intenționat conține un troian de acces la distanță (RAT) care poate prelua controlul computerelor. Troianul este programat să aibă conexiuni limitate la serverul de comandă și control, ceea ce poate face mai dificil de detectat. Structura sarcinii utile sugerează că ar putea include alte module care sunt programate pentru instalare mai târziu, ca parte a unei campanii mai mari. Din ceea ce poate spune Check Point, malware-ul folosit în atac este o tulpină complet unică și personalizată, dar exact cum funcționează - și ce face - sunt destul de comune.
Lanțuri de infecție cu panda vicioasă - Sursa: research.checkpoint.com
Check Point a defalcat alte părți ale campaniei, cum ar fi locul unde a fost găzduit centrul de comandă și control. La sfârșitul zilei, totuși, acest malware nu este nimic mai puțin decât o campanie sponsorizată de stat. Utilizează inginerie socială pentru a încuraja utilizatorii să descarce și să deschidă un atașament. Atașamentul încarcă un alt fișier și instalează o ușă din spate pe computer. China poate apoi exploata acea ușă din spate pentru a spiona țintele guvernamentale.
Cybercrooks vor continua să folosească China și coronavirusul
În timp ce indicatoarele de nivel superior nu oferă suficiente informații pentru a identifica exact cine se află în spatele atacului, Check Point a cercetat codul malware și a constatat că este similar cu codul folosit în alte programe malware legate de China. Acele campanii au vizat și inamicii Chinei.
China – epicentrul coronavirusului – folosește virusul în avantajul său în multe metode înșelătoare.. Nu este surprinzător că ar folosi coronavirusul, deoarece în prezent este cel mai bun instrument de inginerie socială disponibil pentru actorii amenințărilor. Chiar și criminalii cibernetici obișnuiți îl folosesc în propriile campanii.
