Вициоус Панда
Последњих месеци било је неколико прича о сајбер криминалцима који користе веома стварну претњу коронавируса за ширење малвера и рансомвера . Ове претње су пропагиране по целом свету, али их је било много посебно из Кине. До те мере да је кинеска хакерска група Вициоус Панда коју спонзорише држава почела да шири сопствени малвер путем коронавируса.
Информације о нападу потичу од Цхецк Поинт-а, који је објавио истраживање које показује да је кинески АПТ „оружао” легитимне информације о коронавирусу како би ширио свој злонамерни малвер у масе.
Преглед садржаја
Други напад
Напад Вициоус Панда је заправо друга велика кампања злонамерног софтвера повезана са вирусом корона (ЦОВИД-19) која је изашла из Кине у последњих неколико недеља. Први се догодио почетком марта када је вијетнамска група за сајбер безбедност ВинЦСС приметила напад Мустанг Панде. Мустанг Панда је још једна хакерска група коју спонзорише кинеска држава.
Њихов напад је био познат по дистрибуцији мејлова са приложеном РАР датотеком за коју се тврдило да садржи поруку вијетнамског премијера о корона вирусу. Уместо да садржи било какву важну поруку, РАР датотека је садржала бекдор тројанац који се сам инсталирао на рачунаре жртве и отворио их хакерској групи.
Опака панда напала монголску владу
Напад Вициоус Панде уочио је Цхецк Поинт, који је рекао да прате групу јер су биле на мети монголских владиних организација. Као и први напад, група је тврдила да има виталне информације о коронавирусу које корисници треба да преузму да би им приступили.
Цхецк Поинт је успео да пресретне сајбер напад „кинеске АПТ групе на ентитет јавног сектора Монголије“. Напад је искористио страхове од коронавируса током фазе социјалног инжењеринга. Садржао је два документа. Један од докумената се односио на ЦОВИД-19 и за оба се тврдило да су из монголског Министарства спољних послова. Документи су били упаковани са јединственом претњом малвера која је омогућавала даљински приступ рачунарима жртве.
Прилог е-поште – Извор: ресеарцх.цхецкпоинт.цом
Врх леденог брега
Нажалост, овај најновији напад није ништа ново и само представља врх пословичног леденог брега. Хакери су одувек користили ове врсте криза у своју корист, тако да није било начина да се одупру искоришћавању ЦОВИД-19.
Најновији кинески АПТ документ био је, према Цхецк Поинту, под насловом „О ширењу нових инфекција коронавирусом“. У њему се цитира Национални здравствени комитет Кине како би изгледао аутентичније и ефикасније. Иако је постојао велики број сајбер претњи у вези са ЦОВИД-19, чини се да је ово прва хакерска група коју је спонзорисала држава против стране владе.
Осим што је најновији у низу хакерских напада повезаних са коронавирусом, Цхецк Поинт каже да је напад само најновији у текућој кампањи кинеских хакера против других влада и организација. Разлика је у томе што је овај користио коронавирус као део методе примене.
Напад је описан као „искоришћавање јавног интереса за коронавирус за [кинески] сопствени програм кроз нови ланац сајбер инфекције“. Кажу да Вициоус Панда циља на земље широм света - не само на Монголију. Они апелују на све субјекте јавног сектора и телекомуникационе компаније да буду на опрезу због потенцијалних сајбер претњи, посебно свега за шта се тврди да се ради о корона вирусу.
Е-маил и документи тврде да долазе из владе Монголије. Најмање један од њих је тврдио да долази од министра спољних послова. Кампања је била усмерена на друге делове монголског јавног сектора. Чинило се да је циљ кампање прикупљање информација и снимака екрана са владиних рачунара, уређивање и брисање датотека и преузимање даљинске контроле над тим рачунарима.
Како функционише Вициоус Панда Рансомваре?
Злонамерни прилог садржи тројанац за даљински приступ (РАТ) који може преузети контролу над рачунарима. Тројанац је програмиран да има ограничене везе са командним и контролним сервером, што може отежати откривање. Структура корисног оптерећења сугерише да би могао да укључи и друге модуле који су планирани за инсталацију касније као део веће кампање. Према ономе што Цхецк Поинт може да каже, злонамерни софтвер који се користи у нападу је потпуно јединствен и посебно дизајниран сој, али тачно како функционише – и шта ради – прилично је уобичајено.
Вициоус Панда Инфецтион Цхаинс – Извор: ресеарцх.цхецкпоинт.цом
Цхецк Поинт је разбио друге делове кампање, као што је место где је био смештен командни и контролни центар. На крају крајева, овај малвер није ништа друго до кампања коју спонзорише држава. Користи друштвени инжењеринг да подстакне кориснике да преузму и отворе прилог. Прилог учитава другу датотеку и инсталира бацкдоор на рачунар. Кина тада може да искористи тај бацкдоор за шпијунирање владиних циљева.
Сајбер-лопови ће наставити да користе Кину и коронавирус
Док путокази највишег нивоа не нуде довољно информација да се тачно утврди ко стоји иза напада, Цхецк Поинт је ископао код малвера и открио да је сличан коду који се користи у другом малверу који се односи на Кину. Те кампање су такође биле усмерене на непријатеље Кине.
Кина – епицентар коронавируса – користи вирус у своју корист у многим обмањујућим методама. Ипак, није изненађујуће што би користили коронавирус, јер је то тренутно најбољи алат друштвеног инжењеринга који је доступан актерима претњи. Чак и обични сајбер криминалци то користе у својим кампањама.
