Макар достъпът до Интернет за обикновените граждани в Северна Корея да е силно ограничен, това не пречи на страната да развива активна хакерска програма под управлението на властите. Сега има и нови индикации за скорошни дейности на свързани със страната групи, които са атакували учени/експерти в сферата на сигурността чрез нови техники и зловреден код. Целта е добиване на достъп до компаниите, за които работят въпросните личности.
Учени от Mandiant споделиха, че са засекли тази кампания още през юни когато са наблюдавали фишинг атаки в технологичния сектор на САЩ. Хакерите са се опитали да заразят цели с три нови раздела зловреден софтуер, Touchmove, Sideshow и Touchshift. Хакерите са приложили и нови способности за избягване засичането от крайни защитни приложения, като работят в облачна обстановка.
Специфично UNC2970 се определя като насочен към учените в сферата на сигурността. След първите сигнали, решението е открито при опити за проникване в европейски и американски организации. UNC2970 използва фишинг подход с тема за търсене на работа в опит да примами целите и да ги предизвика да инсталират новия зловреден код. В по-нови случаи групата използва фалшиви акаунти в LinkedIn, които са на служители за подбор на персонал.
При първоначален успех в създаване на връзка те се опитват да изместят разговора в WhatsApp и оттам да доставят зловреден код като Plankwalk. Традиционно решението се доставя чрез макроси вградени в документи в Microsoft Word. При отваряне и активиране на макросите, компютърът изтегля и изпълнява зловреден код.
След като това се случи биват инсталирани широк кръг от инструменти, включително приложението за Microsoft, InTune. То може да бъде използвано за доставяне на конфигурации към крайни точки в услугата Azure Active Directory. UNC2970 изглежда използва легитимно приложение за прескачане на защитата.
В предходни случаи от хакерската група са имали за цели сектори свързани с отбраната, медии и технологии, а пренасочването им към учените в сферата на сигурността бележи и промяна и в дейността.
Разбира се и без да попадате сред тези групи потребители е добре да знаете какво можете да предприемете, за да се защитите. Една от основните дейности е многофакторната оторизация. Освен това трябва да сте мнителни при нови връзки в Интернет и особено при отваряне на файлове. също така можете да създадете втори акаунт за изпращане на писма, браузинг и други дейности.
За организациите се препоръча също използването на мерки като блокиране на макроси и управление на потребители с различни нива на достъп. Освен това могат да бъдат създадени политики за условен достъп и ограничения в Azure AD. Изискването на одобрение от множество администратори в работа с InTune също е препоръчително.
При всички положения за успешните атаки се разчита на действие от страна на потребителя, което означава, че не е излишно и допълнително обучение в тази насока.
Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари