Onda panda
Det har förekommit flera historier under de senaste månaderna om cyberbrottslingar som använder det verkliga hotet från Coronaviruset för att sprida skadlig programvara och lösenprogram . Dessa hot har spridits över hela världen, men det har funnits ett antal som kommer från Kina i synnerhet. Till den grad att den statligt sponsrade kinesiska hackergruppen Vicious Panda har börjat sprida sin egen skadlig programvara genom coronavirus.
Informationen om attacken kommer från Check Point, som publicerade forskning som visar att en kinesisk APT har "vapen" legitim information om coronavirus för att sprida deras skadliga skadliga program till massorna.
Innehållsförteckning
Den andra attacken
Den Vicious Panda-attacken är faktiskt den andra stora Coronavirus (COVID-19)-relaterade skadliga kampanjen som kommit ut från Kina under de senaste veckorna. Den första hände i början av mars när den vietnamesiska cybersäkerhetsgruppen VinCSS märkte en attack av Mustang Panda. Mustang Panda är en annan kinesisk statssponsrad hackergrupp.
Deras attack var känd för att ha distribuerat e-postmeddelanden med en bifogad RAR-fil som påstod sig innehålla ett meddelande från den vietnamesiska premiärministern om coronaviruset. Istället för att innehålla något slags viktigt meddelande innehöll RAR-filen en bakdörrstrojan som installerade sig själv på offrets datorer och öppnade upp dem för hackningsgruppen.
Enorm panda attackerar den mongoliska regeringen
Den Vicious Panda-attacken upptäcktes av Check Point, som sa att de höll koll på gruppen eftersom de var riktade mot mongoliska regeringsorganisationer. Liksom den första attacken hävdade gruppen att de hade viktig information om coronaviruset som användare borde ladda ner för att få tillgång till.
Check Point kunde avlyssna en cyberattack från en "kinesisk APT-grupp på en enhet i den offentliga sektorn i Mongoliet." Attacken utnyttjade rädslan för coronaviruset under den sociala ingenjörsfasen. Den innehöll två dokument. Ett av dokumenten var relaterat till covid-19 och båda påstod sig vara från det mongoliska utrikesministeriet. Dokumenten kom förpackade med ett unikt hot mot skadlig programvara som möjliggjorde fjärråtkomst till offrets datorer.
E-postbilaga - Källa: research.checkpoint.com
Toppen av isberget
Tyvärr är denna senaste attack inget nytt och representerar bara toppen av det ökända isberget. Hackare har alltid använt den här typen av kriser till sin fördel så det fanns inget sätt att de skulle kunna motstå att dra fördel av covid-19.
Det senaste kinesiska APT-dokumentet hade, enligt Check Point, titeln "Om spridningen av nya coronavirusinfektioner". Det citerar Kinas nationella hälsokommitté för att framstå som mer autentisk och vara mer effektiv. Även om det har förekommit ett antal cyberhot relaterade till covid-19, verkar detta vara det första som genomfördes av en statligt sponsrad hackergrupp mot en utländsk regering.
Förutom att vara den senaste i en serie av coronavirus-relaterade hackattacker, säger Check Point att attacken bara är den senaste i en pågående kampanj av kinesiska hackare mot andra regeringar och organisationer. Skillnaden är att den här utnyttjade coronaviruset som en del av distributionsmetoden.
Attacken beskrevs som att "utnyttja allmänhetens intresse för coronavirus för [Kinas] egen agenda genom en ny cyberinfektionskedja." De säger att Vicious Panda riktar sig mot länder över hela världen – inte bara Mongoliet. De uppmanar alla offentliga enheter och telekom att vara på vakt över potentiella cyberhot, särskilt allt som påstår sig handla om coronavirus.
E-postmeddelandet och dokumenten hävdar att de kommer från Mongoliets egen regering. Åtminstone en av dem påstod sig komma från utrikesministern. Kampanjen riktade sig till andra delar av den mongoliska offentliga sektorn. Syftet med kampanjen verkade vara att ta information och skärmdumpar från myndigheters datorer, redigera och ta bort filer och ta fjärrkontroll över dessa datorer.
Hur fungerar den onda Panda Ransomware?
Den skadliga bilagan innehåller en fjärråtkomsttrojan (RAT) som kan ta kontroll över datorer. Trojanen är programmerad att ha begränsade anslutningar till kommando- och kontrollservern, vilket kan göra den svårare att upptäcka. Strukturen på nyttolasten tyder på att den kan inkludera andra moduler som är schemalagda för installation senare som en del av en större kampanj. Vad Check Point kan säga är den skadliga programvaran som används i attacken en helt unik och specialdesignad stam, men exakt hur det fungerar – och vad det gör – är ganska vanligt.
Vicious Panda Infection Chains - Källa: research.checkpoint.com
Check Point bröt ner andra delar av kampanjen, till exempel var ledningscentralen var värd. Men i slutändan är den här skadliga programvaran inget mindre än en statligt sponsrad kampanj. Den använder social ingenjörskonst för att uppmuntra användare att ladda ner och öppna en bilaga. Bilagan laddar en annan fil och installerar en bakdörr till datorn. Kina kan sedan utnyttja den bakdörren för att spionera på regeringsmål.
Cyberskurkar kommer att fortsätta att utnyttja Kina och Coronaviruset
Även om vägskyltarna på översta nivån inte erbjuder tillräckligt med information för att precisera vem som ligger bakom attacken, grävde Check Point i skadlig kod och upptäckte att den liknade kod som används i annan skadlig kod relaterad till Kina. Dessa kampanjer var också riktade mot Kinas fiender.
Kina – epicentret för coronaviruset – använder viruset till sin egen fördel i många vilseledande metoder. Det är dock inte förvånande att de skulle använda coronaviruset, eftersom det för närvarande är det bästa sociala ingenjörsverktyget som finns tillgängligt för hotaktörer. Även vanliga cyberbrottslingar utnyttjar det i sina egna kampanjer.
