Mabangis na Panda
Mayroong ilang mga kuwento sa mga nakaraang buwan ng mga cyber criminal na gumagamit ng tunay na banta ng Coronavirus upang maikalat ang malware at ransomware . Ang mga banta na ito ay pinalaganap sa buong mundo, ngunit mayroong isang bilang na lumalabas sa partikular sa China. Hanggang sa punto na ang Chinese hacking group na Vicious Panda na inisponsor ng estado ay nagsimulang kumalat ng sarili nilang malware sa pamamagitan ng coronavirus.
Ang impormasyon tungkol sa pag-atake ay nagmula sa Check Point, na nag-publish ng pananaliksik na nagpapakita na ang isang Chinese APT ay "nag-armas" ng lehitimong impormasyon tungkol sa coronavirus upang maikalat ang kanilang malisyosong malware sa masa.
Talaan ng mga Nilalaman
Ang Ikalawang Pag-atake
Ang pag-atake ng Vicious Panda ay talagang pangalawang pangunahing kampanya ng malware na nauugnay sa Coronavirus (COVID-19) na lumabas sa China sa nakalipas na ilang linggo. Ang una ay nangyari noong simula ng Marso nang mapansin ng Vietnamese cyber-security group na VinCSS ang pag-atake ng Mustang Panda. Ang Mustang Panda ay isa pang Chinese state-sponsored hacking group.
Ang kanilang pag-atake ay kilala sa pamamahagi ng mga email na may nakalakip na RAR file na nagsasabing naglalaman ng mensahe mula sa Punong Ministro ng Vietnam tungkol sa coronavirus. Sa halip na maglaman ng anumang uri ng mahalagang mensahe, ang RAR file ay naglalaman ng backdoor trojan na nag-install ng sarili nito sa mga computer ng biktima at binuksan ang mga ito sa pangkat ng pag-hack.
Inatake ng Vicious Panda ang Gobyerno ng Mongolia
Ang pag-atake ng Vicious Panda ay nakita ng Check Point, na nagsabing binabantayan nila ang grupo habang sila ay tinutumbok na mga organisasyon ng gobyerno ng Mongolia. Tulad ng unang pag-atake, inangkin ng grupo na mayroong mahahalagang impormasyon tungkol sa coronavirus na dapat i-download ng mga user para ma-access.
Nakuha ng Check Point ang isang cyber attack mula sa isang "Chinese APT group sa isang entity ng pampublikong sektor ng Mongolia." Ang pag-atake ay ginamit ang mga takot sa coronavirus sa panahon ng yugto ng social engineering. Naglalaman ito ng dalawang dokumento. Ang isa sa mga dokumento ay may kaugnayan sa COVID-19 at pareho silang nag-claim na mula sa Mongolian Ministry of Foreign Affairs. Ang mga dokumento ay dumating na nakabalot ng kakaibang banta ng malware na nagpapahintulot sa malayuang pag-access ng mga computer ng biktima.
Email attachment - Pinagmulan: research.checkpoint.com
Ang tuktok ng iceberg
Sa kasamaang palad, ang pinakabagong pag-atake na ito ay hindi bago at kumakatawan lamang sa dulo ng kasabihang iceberg. Palaging ginagamit ng mga hacker ang mga ganitong uri ng mga krisis sa kanilang kalamangan kaya walang paraan na magagawa nilang pigilan ang pagsasamantala sa COVID-19.
Ang pinakabagong Chinese APT na dokumento ay, ayon sa Check Point, na pinamagatang 'About the Spread of New Coronavirus Infections'. Binanggit nito ang National Health Committee ng China upang magmukhang mas tunay at maging mas epektibo. Bagama't nagkaroon ng ilang banta sa cyber na nauugnay sa COVID-19, mukhang ito ang kauna-unahang isinagawa ng isang grupo ng pag-hack na inisponsor ng estado laban sa isang dayuhang gobyerno.
Pati na rin ang pinakabago sa isang serye ng mga pag-hack na nauugnay sa coronavirus, sinabi ng Check Point na ang pag-atake ay ang pinakabago sa isang patuloy na kampanya ng mga hacker ng China laban sa ibang mga gobyerno at organisasyon. Ang pagkakaiba ay ang isang ito ay gumagamit ng coronavirus bilang bahagi ng paraan ng pag-deploy.
Ang pag-atake ay inilarawan bilang "pagsasamantala sa interes ng publiko sa coronavirus para sa sariling agenda ng [China] sa pamamagitan ng isang nobelang cyber infection chain." Sinasabi nila na ang Vicious Panda ay nagta-target ng mga bansa sa buong mundo – hindi lang Mongolia. Hinihimok nila ang bawat entity ng pampublikong sektor at telco na maging alerto sa mga potensyal na banta sa cyber, lalo na ang anumang bagay na nagsasabing tungkol sa coronavirus.
Sinasabi ng email at mga dokumento na nanggaling sa loob ng sariling pamahalaan ng Mongolia. Hindi bababa sa isa sa kanila ang nag-claim na nagmula sa Ministro ng Ugnayang Panlabas. Ang kampanya ay naka-target sa iba pang bahagi ng pampublikong sektor ng Mongolia. Ang layunin ng kampanya ay lumilitaw na pagkuha ng impormasyon at mga screenshot mula sa mga computer ng pamahalaan, pag-edit at pagtanggal ng mga file, at pagkuha ng remote control ng mga computer na iyon.
Paano Gumagana ang Vicious Panda Ransomware?
Ang nakakahamak na attachment ay naglalaman ng isang remote access trojan (RAT) na maaaring kontrolin ang mga computer. Ang trojan ay na-program upang magkaroon ng limitadong mga koneksyon sa command at control server, na maaaring maging mas mahirap na matukoy. Ang istraktura ng payload ay nagmumungkahi na maaari itong magsama ng iba pang mga module na naka-iskedyul para sa pag-install sa ibang pagkakataon bilang bahagi ng isang mas malaking campaign. Mula sa masasabi ng Check Point, ang malware na ginamit sa pag-atake ay isang ganap na kakaiba at custom-designed na strain, ngunit eksakto kung paano ito gumagana - at kung ano ang ginagawa nito - ay medyo karaniwan.
Vicious Panda Infection Chains - Pinagmulan: research.checkpoint.com
Sinira ng Check Point ang iba pang bahagi ng campaign, gaya ng kung saan naka-host ang command at control center. Gayunpaman, sa pagtatapos ng araw, ang malware na ito ay walang kulang sa isang kampanyang inisponsor ng estado. Gumagamit ito ng social engineering para hikayatin ang mga user na mag-download at magbukas ng attachment. Ang attachment ay naglo-load ng isa pang file at nag-i-install ng backdoor sa computer. Maaaring samantalahin ng China ang backdoor na iyon upang maniktik sa mga target ng gobyerno.
Ang mga Cybercrook ay Magpapatuloy na Makikinabang sa China at sa Coronavirus
Bagama't ang mga signpost sa pinakamataas na antas ay hindi nag-aalok ng sapat na impormasyon upang matukoy kung sino ang nasa likod ng pag-atake, ang Check Point ay naghanap sa malware code at nalaman na ito ay katulad ng code na ginamit sa ibang malware na nauugnay sa China. Ang mga kampanyang iyon ay nakatutok din sa mga kaaway ng China.
Ang China – ang sentro ng coronavirus – ay ginagamit ang virus sa sarili nitong kalamangan sa maraming mapanlinlang na pamamaraan. Kahit na ang mga regular na cybercriminal ay gumagamit nito sa kanilang sariling mga kampanya.
