Arī valstu sponsorētie hakeri aktīvi ekspluatē koronavīrusa tēmu

2020. gada 15. March Apdraudējumi Komentēt 631 skatījumi

Kiberdrošības eksperti jau ir ziņojuši par daudziem koronavīrusa tēmu ekspluatējošiem uzbrukumiem, ko veic kibernoziedznieki. Dažus viņu paņēmienu paraugus, piemēram, videofaila imitāciju vai ļaunprātīgu informatīvo materiālu, kā arī šifrējošo izspiedējvīrusu mēs jau apskatījām. Citi paraugi sekos, bet šoreiz, kā solīts, parunāsim par valstu sponsorētiem grupējumiem (APT), kas arī izmanto COVID-19 pandēmiju.

Kopš februāra beigām ir novērotas ar Ziemeļkoreju saistītu hakeru aktivitātes, kas izmanto koronavīrusa tēmu uzbrukumos citām valstīm. Tā IssueMakersLab eksperti ir konstatējuši Ziemeļkorejas hakeru ļaunprogrammatūras kampaņu, kurā izmantots dokuments, kas apraksta Dienvidkorejas reakciju uz COVID-19 epidēmiju.

North Korea’s BabyShark malware has been found in the form of document on South Korea’s response to COVID-19. pic.twitter.com/yAWuWt6Qkq

— IssueMakersLab (@issuemakerslab) February 27, 2020

Dokuments bija “papildināts” ar ļaunprogrammatūru BabyShark, kas tikusi izmantota Ziemeļkorejas grupējuma Kimsuky uzbrukumos. Grupējums Kimsuky ir zināms jau kopš 2013. gada, kad par to ziņoja Kaspersky pētnieki.

Vjetnamas kiberdrošības uzņēmums VinCSS ir dokumentējis ar Ķīnu saistītu hakeru mēģinājumus izmantot koronavīrusa tēmu. Pētnieki atklāja uzbrukumus, ko veica ar Ķīnu saistīts grupējums ar nosaukumu Mustang Panda. Pēc VinCSS ekspertu teiktā, grupa izmantoja mērķētās pikšķerēšanas sūtījumus, pievienojot tiem RAR arhīvu, kas uzdots par Vjetnamas premjerministra sniegto informāciju par koronavīrusa uzliesmojumu.

Drošības eksperti no CheckPoint ir fiksējuši ar koronavīrusu tēmu saistītu kampaņu, kas tiek attiecināta uz citu ar Ķīnu saistītu grupu – Vicious Panda. Arī šajā gadījumā valsts sponsorētie hakeri pielietoja mērķēto pikšķerēšanu pret Mongolijas valdības organizācijām, izmantojot dokumentus, kas it kā satur informāciju par jauno koronavīrusa infekcijas izplatību.

Kiberdrošības uzņēmuma QiAnXin Technology eksperti ziņo par kampaņu, kuras mērķis bija personas Ukrainā. Tajā izmantotas e-pasta vēstules, kas it kā sūtītas no Ukrainas Veselības ministrijas Sabiedrības veselības centra. Patiesais sūtījumu mērķis bija inficēt saņēmēju datorus.

Attacks pretend to be from the Center for Public Health of the Ministry of Health of Ukraine and deliver bait document containing the latest news regarding #COVID-19. A backdoor written in C# gets dropped by malicious macro code to perform remote control.https://t.co/yT0iUZxMji pic.twitter.com/fb2ECmbSKX

— RedDrip Team (@RedDrip7) February 21, 2020

Eksperti uzskata, ka uzbrucējs ir Hades APT, ko pētnieki saista ar Krievijas bēdīgi slaveno APT28 (Sofacy, Fancy Bear). Vairāk par dažādu ar austrumu kaimiņu saistīto grupējumu savstarpējām saistībām lasiet (un skatiet video) šeit, bet koronavīrusa tēmas izmantošanai kiberuzbrukumos turpinājums sekos.