👘 🔫 🕌 استغلال موضوع الفيروس التاجي في تهديدات داعش 🧘🏽 🥨 🛌

ملأ موضوع الفيروس التاجي اليوم جميع الخلاصات الإخبارية ، وأصبح أيضًا الفكرة الرئيسية للأنشطة المختلفة لمجرمي الإنترنت الذين يستغلون موضوع COVID-19 وكل ما يتعلق به. في هذه المذكرة ، أود أن ألفت الانتباه إلى بعض الأمثلة على مثل هذا النشاط الضار ، والذي بالطبع ليس سراً للعديد من خبراء أمن المعلومات ، ولكن اختزاله في مذكرة واحدة سيسهل إعداد أنشطة التوعية الخاصة بهم للموظفين ، والتي يعمل بعضها عن بُعد و أكثر عرضة للتهديدات المختلفة لأمن المعلومات من ذي قبل.

دقيقة العناية UFO

تم الإعلان رسمياً عن وباء COVID-19 الوبائي ، وهو عدوى تنفسية حادة حادة محتملة ناجمة عن الفيروس التاجي SARS-CoV-2 (2019-nCoV) ، في العالم. هناك الكثير من المعلومات حول حبري حول هذا الموضوع - تذكر دائمًا أنه يمكن أن يكون موثوقًا / مفيدًا ، والعكس صحيح.

نحثك على انتقاد أي معلومات منشورة.

مصادر رسمية
موقع وزارة الصحة في الاتحاد الروسي
موقع Rospotrebnadzor
موقع منظمة الصحة العالمية
موقع منظمة الصحة العالمية
المواقع والمجموعات الرسمية لمقرات العمليات في المناطق

إذا كنت لا تعيش في روسيا ، فارجع إلى مواقع مشابهة في بلدك.

اغسل يديك ، ورعاية أحبائك ، والبقاء في المنزل كلما أمكن ذلك والعمل عن بعد.

قراءة المنشورات حول: فيروسات التاجية | العمل عن بعد

وتجدر الإشارة إلى أنه لا توجد تهديدات جديدة مرتبطة بالفيروس التاجي اليوم. بدلاً من ذلك ، نحن نتحدث عن ناقلات هجوم تقليدية بالفعل ، تُستخدم للتو مع "صلصة" جديدة. لذا ، فإن الأنواع الرئيسية من التهديدات التي سأطلق عليها:

مواقع تصيد الفيروسات التاجية والمراسلات والرموز الخبيثة ذات الصلة
الاحتيال والمعلومات المضللة التي تهدف إلى استغلال الخوف أو المعلومات غير الكاملة حول COVID-19
الهجمات ضد منظمات أبحاث فيروس كورونا

في روسيا ، حيث لا يثق المواطنون تقليديًا بالسلطات ويعتقدون أنهم يخفون الحقيقة عنهم ، فإن احتمال "الترويج" الناجح لمواقع التصيد والنشرات الإخبارية ، بالإضافة إلى الموارد الاحتيالية ، أعلى بكثير من البلدان ذات السلطات الأكثر انفتاحًا. على الرغم من أنه لا يمكن لأي شخص اليوم أن يعتبر نفسه محميًا تمامًا من المحتالين السيبرانيين ذوي التفكير الإبداعي الذين يستخدمون جميع نقاط الضعف البشرية الكلاسيكية - الخوف والرحمة والجشع ، وما إلى ذلك.

خذ ، على سبيل المثال ، موقع احتيال يبيع أقنعة طبية.

تم إغلاق موقع مماثل ، CoronavirusMedicalkit [.] Com ، من قبل السلطات الأمريكية للتوزيع المجاني لقاح غير موجود ضد COVID-19 مع دفع رسوم بريدية "فقط" لإرسال الدواء. في هذه الحالة ، عند هذا السعر المنخفض ، كان الحساب بناءً على الطلب المتسرع على الدواء وسط حالة من الذعر في الولايات المتحدة.

هذا ليس تهديدًا إلكترونيًا كلاسيكيًا ، حيث أن مهمة المهاجمين في هذه الحالة ليست إصابة المستخدمين وعدم سرقة بياناتهم الشخصية أو معلومات تعريفهم ، ولكن فقط في خوف من جعلهم متشائمين وشراء أقنعة طبية بأسعار مبالغ فيها من 5-10-30 مرة تتجاوز القيمة الحقيقية. لكن فكرة إنشاء موقع ويب مزيف يستغل موضوع الفيروس التاجي تستخدم أيضًا من قبل المجرمين الإلكترونيين. على سبيل المثال ، هذا هو الموقع الذي يحتوي اسمه على الكلمة الرئيسية "covid19" ، ولكنه عبارة عن تصيد.

بشكل عام ، نقوم بمراقبة خدمة التحقيق في الحوادث التي تقوم بها Cisco Umbrella يوميًا، سترى عدد المجالات التي يتم إنشاؤها والتي تحتوي أسماؤها على الكلمات covid و covid19 و coronavirus وما إلى ذلك. والعديد منهم خبيثون.

في الحالات التي يتم فيها نقل جزء من موظفي الشركة إلى العمل من المنزل ولا يتمتعون بالحماية من خلال حلول الشركات ، فمن المهم أكثر من أي وقت مضى مراقبة الموارد التي يتم الوصول إليها من الأجهزة المحمولة والثابتة للموظفين ، سواء بوعي أو بدون علمهم. إذا كنت لا تستخدم خدمة Cisco Umbrella لاكتشاف مثل هذه المجالات وحظرها ( وعروض Ciscoالآن اتصال مجاني بهذه الخدمة) ، ثم قم على الأقل بتكوين حلول مراقبة الوصول إلى الويب للتحكم في المجال باستخدام الكلمات الرئيسية المقابلة. في الوقت نفسه ، تذكر أن النهج التقليدي لنطاقات القائمة السوداء ، وكذلك استخدام قواعد بيانات السمعة ، يمكن أن تفشل ، حيث يتم إنشاء المجالات الخبيثة بسرعة كبيرة ويتم استخدامها في الهجمات 1-2 فقط لمدة لا تزيد عن عدة ساعات ، ثم يتحول المهاجمون إلى نطاقات جديدة مجالات يوم واحد. ببساطة ، ليس لدى شركات أمن المعلومات الوقت الكافي لتحديث قواعدها المعرفية بسرعة وتوزيعها على جميع عملائها.

يواصل المهاجمون استغلال قناة البريد الإلكتروني بنشاط لتوزيع روابط التصيد والبرامج الضارة في المرفقات. وفعاليتها عالية جدًا ، نظرًا لأن المستخدمين ، الذين يتلقون رسائل إخبارية مشروعة تمامًا حول الفيروس التاجي ، قد لا يتعرفون دائمًا على شيء ضار في حجمهم. وبينما ينمو عدد المصابين فقط ، فإن نطاق هذه التهديدات سيزداد أيضًا.

على سبيل المثال ، إليك مثال لحملة تصيد احتيالي نيابة عن مركز مكافحة الأوبئة (CDC):

النقر على الرابط بالطبع لا يؤدي إلى موقع مركز السيطرة على الأمراض ، ولكن إلى صفحة مزيفة تسرق اسم المستخدم وكلمة المرور للضحية:

إليك مثال لحملة تصيد احتيالي نيابة عن منظمة الصحة العالمية:

وفي هذا المثال ، يعتمد المهاجمون على حقيقة أن العديد من الناس يعتقدون أن السلطات تخفي المدى الحقيقي للعدوى منهم ، وبالتالي فإن المستخدمين بسعادة ودون تردد تقريبًا ينقرون على هذه الرسائل ذات الروابط أو المرفقات الخبيثة التي يفترض أنها تكشف جميع الأسرار.

بالمناسبة ، يوجد مثل موقع Worldometers الذي يسمح لك بتتبع المؤشرات المختلفة ، على سبيل المثال ، الوفيات ، وعدد المدخنين ، والسكان في بلدان مختلفة ، إلخ. هناك أيضا صفحة على الموقع مخصصة لفيروسات كورونا. وهكذا ، عندما زرت الموقع في 16 مارس ، رأيت صفحة جعلتني أشك للحظة في أن السلطات كانت تخبرنا بالحقيقة (لا أعرف سبب هذه الأرقام ، ربما مجرد خطأ):

واحدة من البنى التحتية الشعبية التي يستخدمها مجرمو الإنترنت لإرسال رسائل بريد إلكتروني مماثلة هي Emotet ، وهي واحدة من أخطر التهديدات وأكثرها شعبية في الآونة الأخيرة. تحتوي مستندات Word المضمنة في رسائل البريد الإلكتروني على أدوات تنزيل Emotet ، والتي تقوم بتحميل وحدات ضارة جديدة على كمبيوتر الضحية. في البداية ، تم استخدام Emotet لتعزيز الروابط إلى المواقع الاحتيالية التي تبيع أقنعة طبية ، وكانت تستهدف سكان اليابان. أدناه ترى نتيجة تحليل ملف البرامج الضارة باستخدام وضع الحماية من شبكة Cisco Threat Grid ، والذي يحلل الملفات بحثًا عن البرامج الضارة.

لكن المهاجمين لا يستغلون فقط القدرة على التشغيل في MS Word ، ولكن أيضًا في تطبيقات Microsoft الأخرى ، على سبيل المثال ، في MS Excel (تصرفت مجموعة القراصنة APT36 على هذا النحو) ، وأرسلت توصيات بشأن مكافحة الفيروسات التاجية من حكومة الهند ، تحتوي على Crimson RAT:

حملة ضارة أخرى الذي يستغل موضوع الفيروس التاجي هو Nanocore RAT ، والذي يسمح لك بتثبيت برامج للوصول عن بعد على أجهزة الكمبيوتر الضحية التي تعترض ضغطات المفاتيح ، والتقاط صور الشاشة ، وملفات الوصول ، وما إلى ذلك.

وعادة ما يتم تسليم Nanocore RAT عبر البريد الإلكتروني. على سبيل المثال ، سترى أدناه مثالاً لرسالة بريد تحتوي على أرشيف ZIP مرفق يحتوي على ملف PIF قابل للتنفيذ. بالضغط على الملف القابل للتنفيذ ، تقوم الضحية بتثبيت أداة الوصول عن بعد (RAT) على جهاز الكمبيوتر الخاص بها.

هنا مثال آخر لحملة طفيلية على موضوع COVID-19. يتلقى المستخدم رسالة حول التأخير المزعوم في التسليم بسبب الفيروس التاجي مع حساب مرفق بامتداد .pdf.ace. يوجد داخل الأرشيف المضغوط محتوى قابل للتنفيذ ينشئ اتصالاً بخادم الأوامر لتلقي أوامر إضافية وتحقيق أهداف أخرى للمهاجمين.

يتميز Parallax RAT بوظيفة مماثلة ، والتي توزع ملفًا يسمى "جديد مصاب CORONAVIRUS sky 02/03 / 2020.pif" والذي يقوم بتثبيت برنامج ضار يتفاعل مع خادم الأوامر الخاص به عبر بروتوكول DNS. ستساعد أدوات الأمان من فئة EDR ، مثل Cisco AMP for Endpoints ، في محاربة برامج الوصول عن بعد ، ويمكن أن تساعد NGFW (على سبيل المثال ، Cisco Firepower ) أو أدوات مراقبة DNS (على سبيل المثال ، Cisco Umbrella ) في مراقبة الاتصالات مع خوادم الأوامر .

في المثال أدناه ، تم تثبيت برامج الوصول عن بعد الضارة على كمبيوتر الضحية ، والتي تم شراؤها لسبب غير معروف من خلال إعلان يشير إلى أن برنامج مكافحة الفيروسات العادي المثبت على جهاز الكمبيوتر يمكن أن يحمي ضد COVID-19 الحقيقي. وبعد كل شيء ، تم دفع شخص ما إلى مثل هذه النكتة على ما يبدو.

ولكن من بين البرامج الخبيثة هناك أشياء غريبة حقًا. على سبيل المثال ، نكتة الملفات التي تحاكي عمل التشفير. في إحدى الحالات ، اكتشف قسم Cisco Talos ملفًا يسمى CoronaVirus.exe يقوم بتأمين الشاشة في وقت التشغيل ويبدأ مؤقتًا ورسالة "حذف جميع الملفات والمجلدات الموجودة على هذا الكمبيوتر هي فيروسات كورونا".

في نهاية العد التنازلي ، أصبح الزر في الأسفل نشطًا وعندما تم الضغط عليه ، تم عرض الرسالة التالية التي تقول أن كل هذا كان نكتة ويجب الضغط على Alt + F12 لإنهاء البرنامج.

يمكن أتمتة حملات مكافحة البرامج الضارة ، على سبيل المثال ، باستخدام Cisco E-mail Security، الذي يسمح لك باكتشاف ليس فقط المحتوى الضار في المرفقات ، ولكن أيضًا تتبع روابط التصيد والنقر عليها. ولكن حتى في هذه الحالة ، لا تنس تدريب المستخدم والسلوك المنتظم لمحاكاة التصيد والهجمات السيبرانية التي ستعد المستخدمين للحيل المختلفة لمجرمي الإنترنت ضد المستخدمين. خاصة إذا كانوا يعملون عن بعد ومن خلال بريدهم الشخصي ، يمكن أن تخترق التعليمات البرمجية الضارة شبكة الشركة أو الإدارة. هنا يمكنني أن أوصي بحل أداة التوعية الأمنية من Cisco الجديد ، والذي لا يسمح فقط بإجراء تدريب دقيق ونانو للموظفين على قضايا أمن المعلومات ، ولكن أيضًا تنظيم محاكاة التصيد لهم.

ولكن إذا كنت غير مستعد لسبب ما لاستخدام مثل هذه الحلول ، فيجب عليك على الأقل تنظيم قوائم بريدية منتظمة لموظفيك مع تذكير بخطر التصيد الاحتيالي وأمثلة عليه وقائمة بقواعد السلوك الآمن (الشيء الرئيسي هو أن المهاجمين لا يتنكرون بأنفسهم ) بالمناسبة ، أحد المخاطر المحتملة في الوقت الحالي هو رسائل التصيد الاحتيالي ، المقنعة في شكل رسائل من إدارتك ، والتي يزعم أنها تتحدث عن قواعد وإجراءات جديدة للعمل عن بعد ، وبرامج إلزامية يجب تثبيتها على أجهزة الكمبيوتر البعيدة ، إلخ. ولا تنس أنه بالإضافة إلى البريد الإلكتروني ، يمكن لمجرمي الإنترنت استخدام المراسلات الفورية والشبكات الاجتماعية.

يمكن أن تتضمن القائمة البريدية أو برنامج زيادة الوعي المثال الكلاسيكي لخريطة عدوى فيروسات تاجية وهمية ، والتي كانت مشابهة لتلك التي أطلقتها جامعة جونز هوبكنز. كان الاختلاف في البطاقة الضارة هو أنه عند الوصول إلى موقع التصيد الاحتيالي ، تم تثبيت برامج ضارة على جهاز الكمبيوتر الخاص بالمستخدم ، مما سرق أوراق اعتماد المستخدم وأرسل إلى المجرمين الإلكترونيين. كما قام أحد أصناف هذا البرنامج بإنشاء اتصالات RDP للوصول البعيد إلى كمبيوتر الضحية.

يتحدث عن RDP. هذا ناقل آخر للهجمات التي بدأ المهاجمون في استخدامها بشكل أكثر فاعلية خلال جائحة الفيروس التاجي. عند التبديل إلى العمل عن بعد ، تستخدم العديد من الشركات خدمات مثل RDP ، والتي ، إذا كانت غير صحيحة بسبب الاندفاع إلى التهيئة ، يمكن أن تؤدي إلى اختراق مجرمي الإنترنت على كل من أجهزة الكمبيوتر البعيدة للمستخدم وداخل البنية التحتية للشركة. علاوة على ذلك ، حتى مع التكوين الصحيح ، في العديد من تطبيقات RDP قد تكون هناك نقاط ضعف يستخدمها المهاجمون. على سبيل المثال ، اكتشف Cisco Talosتم اكتشاف ثغرات متعددة في FreeRDP ، والثغرة الحرجة CVE-2019-0708 في خدمة سطح المكتب البعيد Miscrosoft في مايو من العام الماضي ، مما سمح بتنفيذ تعليمات برمجية عشوائية على كمبيوتر الضحية ، لإدخال البرامج الضارة ، وما إلى ذلك. تم توزيع نشرة إخبارية عنها حتى من قبل NCCA ، على سبيل المثال ، نشرت Cisco Talos توصيات للحماية ضدها.

هناك مثال آخر على استغلال موضوع الفيروس التاجي - التهديد الحقيقي لإصابة عائلة الضحية في حالة رفض دفع الفدية بالبيتكوين. لتعزيز التأثير ، ولإعطاء أهمية الرسالة ولخلق إحساس بالقدرة على انتشار برامج الفدية ، تم إدخال كلمة مرور الضحية من أحد حساباته المستلمة من قواعد البيانات المتاحة بشكل عام لتسجيلات الدخول وكلمات المرور في نص الرسالة.

في أحد الأمثلة أعلاه ، عرضت رسالة تصيد احتيالي من منظمة الصحة العالمية. وإليك مثال آخر يُطلب فيه من المستخدمين المساعدة المالية لمكافحة COVID-19 (على الرغم من أن الخطأ في كلمة "DONATIONTION" واضح على الفور في العنوان في نص الرسالة. ويطلبون المساعدة في عملات البيتكوين للحماية من تتبع العملة المشفرة.

ومثل هذه الأمثلة هناك العديد من المستخدمين الذين يستغلون تعاطف المستخدمين اليوم:

ترتبط Bitcoins بـ COVID-19 بطريقة مختلفة ، على سبيل المثال ، هذه هي الطريقة التي تتلقاها الرسائل البريدية التي يتلقاها العديد من مواطني المملكة المتحدة الذين يجلسون في المنزل ولا يستطيعون كسب المال (في روسيا ، سيصبح هذا مناسبًا الآن).

تتنكر هذه الرسائل الإخبارية ، التي تتنكر في الصحف والمواقع الإخبارية المعروفة ، من خلال المال السهل - استخراج العملات المشفرة في مواقع خاصة. في الواقع ، بعد مرور بعض الوقت تتلقى رسالة تفيد بأنه يمكن سحب المبلغ الذي كسبته إلى حساب خاص ، ولكنك بحاجة إلى تحويل مبلغ صغير من الضرائب قبل ذلك. من الواضح أنه بعد استلام هذه الأموال ، لا يقوم المحتالون بتحويل أي شيء استجابة لذلك ، ويفقد المستخدم الساذج الأموال المحولة.

هناك تهديد آخر لمنظمة الصحة العالمية. اخترق المتسللون إعدادات DNS الخاصة بأجهزة توجيه D-Link و Linksys ، والتي غالبًا ما يستخدمها المستخدمون المنزليون والشركات الصغيرة ، من أجل إعادة توجيههم إلى موقع ويب مزيف مع تحذير منبثق حول الحاجة إلى تثبيت تطبيق WHO ، والذي سيسمح لك دائمًا بمواكبة أحدث الأخبار حول فيروسات التاجية. في الوقت نفسه ، احتوى التطبيق نفسه على برنامج Oski الضار ، وسرقة المعلومات.

كما تستغل CovidLock Android Trojan فكرة مشابهة مع التطبيق الذي يحتوي على حالة الإصابة COVID-19 الحالية ، ويتم توزيعها من خلال تطبيق يفترض أنه "معتمد" من قبل وزارة التعليم الأمريكية ومنظمة الصحة العالمية ومركز مكافحة الأوبئة ونشرها (CDC).

يوجد العديد من المستخدمين اليوم في عزلة ، ولا يريدون أو لا يعرفون كيفية الطهي ، يستخدمون بنشاط خدمات توصيل الطعام أو الطعام أو السلع الأخرى ، مثل ورق التواليت. أتقن المهاجمون هذا الناقل لأغراضهم الخاصة. على سبيل المثال ، هذه هي الطريقة التي يبدو بها الموقع الضار كمورد قانوني ينتمي إلى Canada Post. يؤدي الرابط من الرسائل القصيرة التي تلقتها الضحية إلى الموقع الإلكتروني ، الذي يفيد بأنه لا يمكن تسليم البضائع المطلوبة ، حيث لا يوجد سوى 3 دولارات مفقودة ، والتي يجب دفعها. في هذه الحالة ، يتم توجيه المستخدم إلى الصفحة حيث تحتاج إلى تحديد تفاصيل بطاقتك الائتمانية ... مع كل العواقب المترتبة على ذلك.

في الختام ، أود أن أعطي مثالين آخرين على التهديدات السيبرانية المرتبطة بـ COVID-19. على سبيل المثال ، يتم تضمين المكونات الإضافية "COVID-19 Coronavirus - Live Map WordPress Plugin" أو "Coronavirus Spread Prediction Graphs" أو "Covid-19" في مواقع على محرك WordPress الشهير ، بالإضافة إلى عرض خريطة توزيع الفيروس التاجي ، تحتوي أيضًا على البرنامج الضار WP-VCD. وأصبحت شركة Zoom ، التي ، في أعقاب العدد المتزايد من الأحداث عبر الإنترنت ، تحظى بشعبية كبيرة جدًا مع ما أطلق عليه الخبراء "Zoombombing". المهاجمون ، وفي الواقع المتصيدون الإباحيون العاديون ، مرتبطون بالمحادثات والاجتماعات عبر الإنترنت وأظهروا العديد من مقاطع الفيديو الفاحشة. بالمناسبة ، تواجه الشركات الروسية تهديدًا مشابهًا اليوم.

أعتقد أن معظمنا يفحص بانتظام مختلف الموارد ، الرسمية وغير الرسمية على حد سواء ، ليخبرنا عن الوضع الحالي للوباء. يستغل المهاجمون هذا الموضوع ، ويقدمون لنا "أحدث" معلومات حول الفيروس التاجي ، بما في ذلك المعلومات "التي تخفيها السلطات عنك". ولكن حتى المستخدمين العاديين العاديين غالبًا ما يساعدون المهاجمين مؤخرًا عن طريق إرسال حقائق مؤكدة من "المعارف" و "الأصدقاء". يقول علماء النفس أن مثل هذا النشاط من مستخدمي "الإنذارات" الذين يرسلون كل ما يقع في مجال رؤيتهم (خاصة في الشبكات الاجتماعية والمرسلين الذين ليس لديهم آليات حماية ضد هذه التهديدات) يسمح لهم بالشعور في مكافحة التهديد العالمي و ، حتى ، أشعر بأن الأبطال ينقذون العالم من فيروس كورونا. ولكن ، لسوء الحظ ، يؤدي نقص المعرفة المتخصصة إلىأن هذه النوايا الحسنة "تقود الجميع إلى الجحيم" ، مما يخلق تهديدات جديدة للأمن السيبراني وزيادة عدد الضحايا.

في الواقع ، لا يزال بإمكاني الاستمرار في أمثلة التهديدات السيبرانية المرتبطة بالفيروس التاجي ؛ علاوة على ذلك ، فإن المجرمين الإلكترونيين لا يقفون مكتوفي الأيدي ويخرجون بطرق جديدة أكثر فأكثر لاستغلال العواطف البشرية. ولكن أعتقد أنه يمكنك التوقف عند هذا الحد. إن الصورة واضحة بالفعل وتخبرنا أنه في المستقبل القريب سيزداد الوضع سوءًا. بالأمس ، نقلت سلطات موسكو المدينة التي يبلغ عدد سكانها عشرة ملايين إلى العزلة الذاتية. وقد فعلت الشيء نفسه سلطات منطقة موسكو والعديد من المناطق الأخرى في روسيا ، وكذلك أقرب جيراننا في الفضاء السوفيتي السابق. وهذا يعني أن عدد الضحايا المحتملين الذين سيتم توجيه جهود مجرمي الإنترنت عليهم سيتزايد عدة مرات. لذلك ، من الجدير ليس فقط مراجعة إستراتيجيتك الأمنية ، حتى التركيز مؤخرًا على حماية شبكة الشركة أو الإدارة فقط ، وتقييمهاما هي وسائل الحماية التي تفتقدها ، ولكن ضع في اعتبارك أيضًا الأمثلة في برنامج توعية موظفيك ، والذي أصبح جزءًا مهمًا من نظام أمن المعلومات للعاملين عن بُعد. وسيسكو على استعداد لمساعدتك في ذلك!

التهديد. أثناء إعداد هذه المواد ، استخدمنا مواد من Cisco Talos و Naked Security و Antiphishing و Malwarebytes Lab و ZoneAlarm و Reason Security and RiskIQ ووزارة العدل الأمريكية و Bleeping Computer و SecurityAffairs وما إلى ذلك. ص.

استغلال موضوع الفيروس التاجي في تهديدات داعش

دقيقة العناية UFO

نحثك على انتقاد أي معلومات منشورة.

More articles: