Vicious Panda

V posledných mesiacoch sa objavilo niekoľko príbehov o počítačových zločincoch, ktorí použili veľmi reálnu hrozbu koronavírusu na šírenie malvéru a ransomvéru . Tieto hrozby sa šírili po celom svete, no najmä z Číny sa objavilo množstvo. Do tej miery, že štátom podporovaná čínska hackerská skupina Vicious Panda začala šíriť svoj vlastný malvér prostredníctvom koronavírusu.

Informácie o útoku pochádzajú od spoločnosti Check Point, ktorá zverejnila výskum, ktorý ukazuje, že čínsky APT „vyzbrojil“ legitímne informácie o koronavíruse, aby rozšíril svoj škodlivý malvér medzi masy.

Druhý útok

Útok Vicious Panda je v skutočnosti druhou hlavnou malvérovou kampaňou súvisiacou s koronavírusom (COVID-19), ktorá vyšla z Číny za posledných pár týždňov. Prvá sa stala začiatkom marca, keď vietnamská kyberbezpečnostná skupina VinCSS zaznamenala útok Mustangu Panda. Mustang Panda je ďalšia čínska štátom podporovaná hackerská skupina.

Ich útok bol známy distribúciou e-mailov s pripojeným súborom RAR, ktorý tvrdil, že obsahuje správu od vietnamského premiéra o koronavíruse. Súbor RAR namiesto toho, aby obsahoval akúkoľvek dôležitú správu, obsahoval backdoor trójsky kôň, ktorý sa nainštaloval na počítače obete a otvoril ich hackerskej skupine.

Vicious Panda útočí na mongolskú vládu

Útok Vicious Panda si všimol Check Point, ktorý uviedol, že skupinu sledujú, keďže sa stali terčom mongolských vládnych organizácií. Rovnako ako pri prvom útoku skupina tvrdila, že má dôležité informácie o koronavíruse, ktoré by si používatelia mali stiahnuť, aby mali prístup.

Check Pointu sa podarilo zachytiť kybernetický útok „čínskej skupiny APT na subjekt verejného sektora v Mongolsku“. Útok využil obavy z koronavírusu počas fázy sociálneho inžinierstva. Obsahoval dva dokumenty. Jeden z dokumentov sa týkal COVID-19 a oba tvrdili, že pochádzajú z mongolského ministerstva zahraničných vecí. Dokumenty boli zabalené s jedinečnou malvérovou hrozbou, ktorá umožňovala vzdialený prístup k počítačom obetí.

zlý panda spam šíriaci sa e-mail malvér
Príloha e-mailu – Zdroj: research.checkpoint.com

Špička ľadovca

Žiaľ, tento najnovší útok nie je ničím novým a predstavuje iba vrchol povestného ľadovca. Hackeri vždy využívali tieto druhy kríz vo svoj prospech, takže neexistoval spôsob, ako by dokázali odolať využívaniu COVID-19.

Najnovší čínsky dokument APT mal podľa Check Point názov „O šírení nových koronavírusových infekcií“. Cituje Národný zdravotnícky výbor Číny, aby pôsobil autentickejšie a bol účinnejší. Aj keď sa vyskytlo množstvo kybernetických hrozieb súvisiacich s COVID-19, zdá sa, že toto je prvá hrozba, ktorú vykonala štátom sponzorovaná hackerská skupina proti cudzej vláde.

Okrem toho, že ide o posledný zo série hackerských útokov súvisiacich s koronavírusom, Check Point hovorí, že tento útok je len posledným v prebiehajúcej kampani čínskych hackerov proti iným vládam a organizáciám. Rozdiel je v tom, že tento využíval koronavírus ako súčasť metódy nasadenia.

Útok bol opísaný ako „využívanie verejného záujmu o koronavírus pre vlastnú agendu [Číny] prostredníctvom nového reťazca kybernetických infekcií. Hovorí sa, že Vicious Panda sa zameriava na krajiny po celom svete – nielen na Mongolsko. Vyzývajú všetky subjekty verejného sektora a telekomunikačné spoločnosti, aby boli v pohotovosti pred potenciálnymi kybernetickými hrozbami, najmä pred čímkoľvek, čo tvrdí, že sa týka koronavírusu.

E-mail a dokumenty tvrdia, že pochádzajú od vlastnej mongolskej vlády. Minimálne jeden z nich tvrdil, že pochádza od ministra zahraničných vecí. Kampaň sa zamerala na iné časti mongolského verejného sektora. Zdá sa, že cieľom kampane bolo získať informácie a snímky obrazovky z vládnych počítačov, upraviť a odstrániť súbory a prevziať kontrolu nad týmito počítačmi na diaľku.

Ako funguje Vicious Panda Ransomware?
Škodlivá príloha obsahuje trójsky kôň so vzdialeným prístupom (RAT), ktorý dokáže prevziať kontrolu nad počítačmi. Trójsky kôň je naprogramovaný tak, aby mal obmedzené spojenia s príkazovým a riadiacim serverom, čo môže sťažiť jeho odhalenie. Štruktúra užitočného zaťaženia naznačuje, že by mohol zahŕňať ďalšie moduly, ktoré sú naplánované na inštaláciu neskôr v rámci väčšej kampane. Z toho, čo môže Check Point povedať, malvér použitý pri útoku je úplne jedinečný a na mieru navrhnutý kmeň, ale presne to, ako funguje – a čo robí – je pomerne bežné.

začarovaný reťazec spôsobeným softvérom pandy
Vicious Panda Infection Chains – Zdroj: research.checkpoint.com

Check Point rozbil ďalšie časti kampane, napríklad miesto, kde sídlilo veliteľské a riadiace centrum. Na konci dňa však tento malvér nie je ničím iným ako štátom sponzorovanou kampaňou. Využíva sociálne inžinierstvo na povzbudenie používateľov, aby si stiahli a otvorili prílohu. Príloha načíta ďalší súbor a nainštaluje zadné vrátka do počítača. Čína potom môže využiť tieto zadné vrátka na špehovanie vládnych cieľov.

Kybernetický podvodníci budú naďalej využívať Čínu a koronavírus

Zatiaľ čo smerovky na najvyššej úrovni neponúkajú dostatok informácií na to, aby presne určili, kto je za útokom, Check Point sa prehrabal v kóde malvéru a zistil, že je podobný kódu používanému v inom malvéri súvisiacom s Čínou. Tieto kampane boli zamerané aj na nepriateľov Číny.

Čína – epicentrum koronavírusu – využíva vírus vo svoj vlastný prospech v mnohých klamlivých metódach. Nie je prekvapujúce, že by však použili koronavírus, keďže je to v súčasnosti najlepší nástroj sociálneho inžinierstva, ktorý majú aktéri hrozieb k dispozícii. Dokonca aj bežní kyberzločinci to využívajú vo svojich vlastných kampaniach.

Trendy

Najviac videné

Načítava...