Pavojinga kibernetinė grėsmė: nauja kenkėjiška programa taikosi į „Outlook“ naudotojus

Dėl naujai aptiktos kenkėjiškos programinės įrangos grėsmės kyla pavojus „Outlook“ naudotojams. Kenkėjiška programa, žinoma kaip „FinalDraft“, naudojasi el. pašto juodraščiais, kad sukurtų slaptą valdymo ir kontrolės (C2) ryšio kanalą. Šis slaptas metodas leidžia įsilaužėliams valdyti pažeistas sistemas nesukeliant įtarimų.

Pasak „Elastic Security Labs“, ataka prasideda nuo „PathLoader“ – kenkėjiškos programos įkroviklio, kuris įdiegia kenkėjišką programą „FinalDraft“. Skirtingai nuo tradicinių kibernetinių grėsmių, ši kenkėjiška programa nesiunčia matomų el. laiškų ir nesukelia antivirusinių perspėjimų – ji slepiasi neišsiųstuose juodraščiuose, todėl ją labai sunku aptikti.

Tačiau kaip ši kenkėjiška programa veikia ir, dar svarbiau, kaip galite nuo jos apsisaugoti?

Kaip veikia „FinalDraft“?

Kenkėjiška programa „FinalDraft“ sumaniai naudoja „Microsoft Outlook“ juodraščio funkciją kaip slaptą duomenų vagystės ir kenkėjiškų komandų vykdymo kanalą. Štai kaip ji veikia:

1. PathLoader užkrečia sistemą – ataka prasideda nuo PathLoader – kenkėjiškos programos įrankio, kuris parsisiunčia ir įdiegia FinalDraft į aukos kompiuterį.
2. Pasislepia juodraščiuose – Užuot siuntusi apgaulingus el. laiškus, kenkėjiška programa komandas ir pavogtus duomenis išsaugo neišsiųstuose el. laiškų juodraščiuose.
3. Naudoja „Microsoft Graph API“ – kenkėjiška programa išnaudoja „Microsoft Graph API“, kad išvengdama aptikimo bendrautų su įsilaužėliais.
4. Vagia duomenis ir vykdo komandas – „FinalDraft“ palaiko 37 skirtingas kenkėjiškas komandas, įskaitant duomenų išviliojimą, procesų įsiskverbimą ir nuolatinę prieigą prie sistemos.
5. Ištrina įrodymus – užbaigus ataką, kenkėjiška programa ištrina juodraščius, todėl kriminalistams labai sunku atsekti ataką.

Kas yra taikinys?

Kibernetinio saugumo tyrėjai nustatė atakas prieš Pietų Amerikos vyriausybės ministeriją, o tai leidžia manyti, kad su jomis gali būti susijusios valstybės remiamos įsilaužėlių grupės. Tačiau „FinalDraft“ buvo aptikta ir Pietryčių Azijoje, o tai rodo platesnę kampaniją.

Be to, aptiktas „FinalDraft“ „Linux“ variantas, o tai reiškia, kad kenkėjiška programa gali būti nukreipta ne tik į „Windows“, bet ir į kitas operacines sistemas.

Kaip apsisaugoti nuo „FinalDraft“ kenkėjiškos programinės įrangos?

Atsižvelgiant į tai, kad ši kenkėjiška programa yra slapta, standartinės antivirusinės programinės įrangos gali nepakakti. Toliau pateikiame svarbiausius veiksmus, kaip apsisaugoti:

• Įjunkite kelių veiksnių autentifikavimą (MFA) – naudokite dviejų veiksnių autentifikavimą (2FA) savo „Outlook“ paskyroje, kad išvengtumėte neteisėtos prieigos.
• Stebėkite neįprastus juodraščius – reguliariai tikrinkite „Outlook“ juodraščių aplanką, ar jame nėra įtartinos veiklos. Jei matote juodraščius, kurių nesukūrėte, tai gali būti infekcijos požymis.
• Atnaujinkite programinę įrangą – įsitikinkite, kad „Microsoft Outlook“, „Windows“ ir jūsų saugumo priemonės yra atnaujintos, kad būtų ištaisytos žinomos pažeidžiamosios vietos.
• Išjunkite „OAuth“ žetonų saugojimą – kadangi kenkėjiška programa „OAuth“ žetonus saugo „Windows“ registre, žetonų išsaugojimo išjungimas gali sumažinti riziką.
• Naudokite galinio taško aptikimo ir reagavimo (angl. Endpoint Detection and Response, EDR) priemones – Pažangūs saugumo sprendimai, pavyzdžiui, EDR programinė įranga, gali padėti aptikti įtartiną „Outlook“ veiklą.
• Venkite įtartinų el. laiškų priedų ir nuorodų – būkite atsargūs atidarinėdami el. laiškų priedus arba spustelėdami nežinomų šaltinių nuorodas. Kenkėjiški scenarijai gali inicijuoti užkrėtimą.
• Patikrinkite sistemą, ar joje nėra kenkėjiškų programų – naudokite patikimas kibernetinio saugumo priemones, kad patikrintumėte sistemą, ar joje nėra neįprastų registro įrašų arba neleistino „Outlook“ API naudojimo.

Didesnis vaizdas: Kibernetinio saugumo grėsmės evoliucionuoja

„FinalDraft“ – tai vis didėjančios kibernetinių grėsmių, kurios naudojasi teisėtomis programinės įrangos funkcijomis, o ne tradiciniais kenkėjiškos programinės įrangos metodais, tendencijos dalis. Dėl to jas sunkiau aptikti ir jos tampa pavojingesnės tiek organizacijoms, tiek asmenims.

Saugumo ekspertai ragina kurti stipresnes stebėsenos sistemas, dirbtiniu intelektu paremtą grėsmių aptikimą ir didinti kibernetinio saugumo informuotumą, kad būtų galima kovoti su šiomis sudėtingomis atakomis.

Ar esate susirūpinę dėl „Outlook“ saugumo?

Ar kada nors pastebėjote įtartinų juodraščių savo „Outlook“ paskyroje? Ar manote, kad el. pašto saugumo funkcijos yra pakankamai stiprios, kad užkirstų kelią kibernetinėms atakoms? Pasidalykite savo mintimis toliau esančiuose komentaruose!