Šta se desilo?

Otkrivena je sofisticirana kampanja malvera namena protiv visokih rukovodilaca i državnih istražitelja u Jugoistocnoj Aziji. Napadači koriste modularni Remote Access Trojan (RAT) sposoban da krade akreditive, snima ekran i zadržava duboku perzistenciju na zaraženim sistemima. Kampanja poznata kao Operation GriefLure simultano deluje protiv vojnog telekomunikacionog sektora u Vijetnamu i zdravstvene industrije na Filipinama.

Kako napadači privlače žrtve?

Napadači koriste izuzetno sofisticiranu taktiku社会工程. Umesto da izmisli priče, oni pretežno koriste stvarne pravne dokumente prikupljene iz baza podataka prethodnih curenja podataka - uključujući potpisane izveštaje policije, korporativna pismena i medicinske kartone. Kada žrtva otvori priloženi arhiv, ugleda autentan dokument bez ikakvog znaka da je nešto pogrešno. Ceo lanac zaražavanja se odvija za manje od 10 sekundi i žrtva ne primetava nikakav problem.

Koga pogađa?

Prve kampanje ciljaju rukovodioce Viettel Group-a - najvećeg vijetnamskog telekomunikacionog operatora pod nadzorom Ministarstva odbrane - i kibernetske istražitelje iz policije okruga Thanh Hoa. Druga kampanja je usmerena na zaposlene u compliance i audit odeljenjima St. Luke's Medical Center-a na Filipinama, koristeći falsifikovanu prijavu uzbunjivača koji pominju navodenoj finansijsku zloupotrebe vredne više od 1,5 miliona filipinskih pezosa.

Kako se zaštititi?

  • Budite izuzetno oprezni sa prilogama iz emails-a, čak i ako izgledaju kao validni dokumenti - verifikujte autentičnost kroz alternativne kanale komunikacije
  • Koristite napredne email filtrere koji mogu detektovati maliciozne arhive i zagnjezdene kompresovane fajlove
  • Implementirajte endpoint detection and response (EDR) rešenja koja mogu da detektuju brzo izvršavajući malver
  • Redovno obučavajte zaposlene o rizicima od spear phishing napada sa stvarnim dokumentima
  • Monitorujte mrežni saobraćaj za neobične aktivnosti ka egzotičnim IP adresama
  • Primenjujte principi najmanje privilegije kako biste ograničili moć RAT-a u slučaju zaražavanja

Tehnički detalji

Malver se distribuira kroz verschachtelte kompresovane arhive dostavljene putem targeted spear phishing emails. Lanac infekcije je posebno inženjeren da zaobilazi konvencionalne sigurnosne alate. Isti lanac infrastrukture i payload koristi se u obe kampanje, što potvrđuje da jedan napadač koordinira modularnu operaciju kroz dve zemlje simultano.

Preporuka Sajber Radara

Organizacije u Jugoistocnoj Aziji - posebno one u sektorima odbrane, telekomunikacija i zdravstva - trebaju da pojačaju bezbednost email-a i edukaciju zaposlenih. Ovaj napada pokazuje evoluciju pretnji gde su lažni dokumenti zamenjeni pravim - što čini tradicionalne sigurnosne tehnike neadekvatnim bez ljudskog faktora.