Онцлох мэдээТехнологи

Монгол руу чиглэсэн “PANDA” нэртэй хортой программаас болгоомжил

Дэлхий даяар тархаад байгаа “COVID 19”  цар тахлын талаар хуурамч сенсаацийг ашигласан кибер халдлага ихэссээр байгааг vertexmon цахим хуудсанд анхааруулжээ.

Pictur1 Монгол руу чиглэсэн "PANDA" нэртэй хортой программаас болгоомжил

Тус цахим хуудсанд  коронавирус (Covid-19)-ын үймээнийг ашигласан Кибер халдлага дэлхий даяар хүчтэй тархаж байна. 2019 оны сүүлээр Хятад Улсын Ухань хотод бүртгэгдсэн COVID-19 вирус дэлхий даяар тархаж, олон хүний эрүүл мэнд, амь насыг эрсдэлд оруулж байгаа билээ. АНУ, Европын орнууд болон дэлхий нийтээр хүчтэй тархаж буй энэхүү вирусыг далимдуулж COVID-19 вирусийн талаар хуурамч мэдээлэл түгээх, энэхүү вирусын мэдээлэл дээр тулгуурлаж хүмүүсийн анхаарлыг татаж залилан хийх Фишинг (Phishing) төрлийн Цахим халдлагууд огцом нэмэгдсээр байна.

Маш олон төрлийн компьютерийн вирус, хортой код агуулсан веб сайтууд шинээр гарч байгаа бөгөөд  Trickbot, Lokibot болон Agent Tesla гэх хортой програм (malware) АНУ, Итали, Украйн болон Иран улсуудад хамгийн их тархалттай байна. Тэд ихэвчлэн Засгийн Газар, ДЭМБ болон тухайн улсын “Эрүүл Мэндийн Яам”-ын нэрийн өмнөөс хуурамч мэдээллийг тарааж, түүгээрээ дамжуулан хэрэглэгчийн мэдээллийг хулгайлж байгаа юм.

Ингээд та бүхэнд 2020 оны 1 сараас эхлэн COVID-19 талаар хуурамч мэдээлэл ашиглан хамгийн их тархаж буй хортой програмуудын талаар товч мэдээллийг хүргэе.

Тайлбар: Сүүлийн 2 сарын турш Recorded Future дээр бүртгэгдсэн халдлагууд

– AZORuIt malware

2020 оны 2 сарын эхээр ProofPoint судалгааны баг илрүүлсэн энэхүү хортой програм нь санхүү, тээвэр, эрүүл мэндийн болон эм үйлдврлэгчидрүү голчлон анхаарч байгаа. Имэйлээр Фишинг документыг хавсралтаар илгээдэг ба хүлээн авагч тухайн документыг нээж үзэх үед AZORult хортой програм хэрэглэгчийн системд суудаг. Мөн AZORult нь Майкрасофт Оффис програм дээр илэрсэн CVE-2017-11882 эмзэг байдлыг ашиглан ажиллаж хэрэглэгчийн системийг бүрэн гартаа оруулж байгаа юм.

– Emotet

2020 оны 1 сард IBM X-Force илрүүлсэн хортой програм нь мөн ижил фишинг мэйлээр дамжуулан VBA Macro болон Powershell скрипт ажиллуулан Emotet trojan програмыг татан авч хэрэглэгчийн системд ажиллуулдаг.

– Cofense

Kaspersky-ээс АНУ-ын CDC буюу Өвчний Хяналт, Урьдчилан Сэргийлэх Төвийн нэрийг барьж хуурамч имэйл илгээж байгааг илрүүлсэн. Голчлон cdc-gov[.]org болон cdcgov[.]org домэйн бүхий мэйл хаяг ашиглан фишинг веб хаягын линк агуулсан мэйл илгээдэг ба хэрэглэгч тухайн веб холбоос дээр дарах үед Microsoft Outlook нэвтрэх хуурамч хуудас гарч ирдэг ба хэрэглэгчийн нэвтрэх нэр, нууц үгийг хулгайлдаг байна.

– Agent Tesla Keylogger

Халдлага үйлдэгч этгээдүүд их хэмжээгээр “Attention: List Of Companies Affected With Coronavirus March 02, 2020.” буюу “Анхаараарай: 2020 оны 3 дугаар сарын байдлаар Корона вирусээр халдварлагдсан ажилчидтай компаниудын нэрс” гэсэн хуурамч мэдээлэл бүхий имэйлийг илгээдэг байна. Мэдээж тухайн мэйл дотор нэгэн EXCEL файлыг хавсарган илгээдэг ба тухайн документыг нээх үед Agent Tesla Keylogger татагдан авч суулгагддаг байна.

Аль нэг улсруу чиглэсэн, тухайн улсын хэлээр хуурамч мэдээлэл тарааж түүгээрээ дамжуулан халдлага гүйцэтгэж буй хортой програмуудаас дурдвал:

Монгол – PANDA
Хятад – MUSTANG PANDA, Lokibot
Итали – Trickbot
Өмнөд Солонгос – BabyShark
ОХУ – TrickyMouse
Бразил, Испани, Мексик – Grandoreiro

Домэйн нэр

COVID-19-тэй холбоотэй домэйн нэрүүд шинээр асар ихээр бүртгэгдэж байгаа бөгөөд өсөлт нь үргэлжилсээр байгааг доорх грифкаас харж болно.

Pictue1 Монгол руу чиглэсэн "PANDA" нэртэй хортой программаас болгоомжил

Халдлага үйлдэгчид өөрсдийн бүртгүүлсэн домэйн нэрээрээ дамжуулан хуурамч имэйл илгээх болон веб сайт ажиллуулж буй юм.

Ихэнх халдлагууд Фишинг имэйл болон вебсайтаар дамжуулан хийгдэж байгаа бөгөөд зарим тохиолдолд Microsoft Office програмын эмзэг байдлыг ашиглаж байна. Иймээс гарцын Firewall төхөөрөмж дээр хуурамч веб сайтуудыг блок хийх болон систем дээр ямар нэгэн хортой програм суухаас сэргийлж хэрэглэгчийн системийн давуу эрхийг хураах шаардлагатай.

Халдлагуудтай холбоотой File Hash, хуурамч Web болон IP хаягуудын мэдээлэл:

Indicators of Compromise:

Agent Tesla

hxxps://healing-yui223.com/cd[.]php

hxxps://www.schooluniformtrading[.]com[.]au/cdcgov/files/

hxxps://onthefx[.]com/cd[.]php

hxxps://urbanandruraldesign[.]com[.]au/cdcgov/files

hxxps://gocycle[.]com[.]au/cdcgov/files/

150[.]95[.]52[.]104

118[.]127[.]3[.]247

153[.]120[.]181[.]196

112[.]140[.]180[.]26

13[.]239[.]26[.]132

SAFETY PRECAUTIONS.rar

SAFETY PRECAUTIONS.exe

05adf4a08f16776ee0b1c271713a7880

Ef07feae7c00a550f97ed4824862c459

Postmaster[@]mallinckrodt[.]xyz

brentpaul403[@]yandex[.]ru

Emotet

8C809B4AC6D95CE85A0F04CD04B7A7EA

586FB4A6FFDFEB423F1F1782AAA9BB9F

8800EBD065B52468FA778B4527437F5A

379959D80D0BFC45AAB6437474D1F727

hxxp://109.236.109.159:8080/vnx8v

hxxp://85.96.49.152/6oU9ipBIjTSU1

hxxp://186.10.98.177/faHtH2y

hxxp://erasmus-plius.tomasjs.com/wp-admin/KfesPCcG/

hxxp://easytogets.com/xfxvqq/UXbKAbm/

hxxp://drhuzaifa.com/wp-includes/2i48k7-evv28gw-205510/

hxxp://dewarejeki.info/wp-includes/up58jauc-pum2w-630352/

hxxp://dewakartu.info/wp-includes/BRVMFYvIR/

CDC-Related

cdc-gov.org

Cdcgov.org

CDC-Covid19[@]cdc[.]gov

Trickbot

hxxps://185[.]234.73.125/wMB03o/Wx9u79.php

23[.]19.227.235

45[.]128.134.14

hxxps://45.128.134.14/C821al/vc2Tmy.php?

insiderppe[.]cloudapp.net

F21678535239.doc

F21678535350.doc

3461B78384C000E3396589280A34D871C1DE3AE266

334412202D4A6A85D02439

88eb57a3b520881b1f3fd0073491da6c50b7284dd8e

66099c172d80ba33a5032f

Lokibot

Customer Advisory.PDF.exe

906EFF4AC2F5244A59CC5E318469F2894F8CED406F

1E0E48E964F90D1FF9FD88

kbfvzoboss.bid/alien/fre.php

198.23.200[.]241

hxxp://198.23.200[.]241/~power13/.xoiaspxo/fre.php

TrickyMouse

2dfb086bc73c259cac18a9cb1f9dbbc8

6c73d338ec64e0e44bd54ea61b6988b2

Коронавірусна інфекція COVID-19.rar

Коронавірусна інфекція COVID-19.doc

cloud-security.ggpht[.]ml

cloud-security.ggpht[.]ml

123.161.61[.]55

145.239.23[.]7

Registered Domains

coronavirusoutbreakmap[.]com

www.coronavirusoutbreakmap[.]com

corona-virus[.]healthcare

coronavirusprotectionmasks[.]org

www[.]coronavirusprotectionmasks[.]org

coronavirus[.]1point3acres[.]com

coronavirus[.]dev

wuhancoronavirus[.]blogspot[.]com

coronavirusdata[.]org

www[.]coronavirusdata[.]org

coronamap[.]live

coronamap[.]site

coronatoken[.]org

bestcoronavirusprotect[.]tk

coronavirusnigeria[.]ng4n[.]com

corona[.]yagi[.]news

info-coronavirus[.]be

www[.]info-coronavirus[.]be

coronavirusnews[.]world

coronavirus[.]app

endcoronavirus[.]org

coronavirus-reports[.]com

coronavirus-map[.]com

www[.]endcoronavirus[.]org

coronavirusreport[.]buzz

www[.]coronavirusreport[.]buzz

coronavirusupdates[.]eu

coronavirus-monitor[.]ru

coronavirus123[.]com

coronavirusstatus[.]space

coronaviruszone[.]com

coronavirusofficialnews[.]com

flashnewscoronavirus[.]blogspot[.]com

coronatracker[.]com

survivecoronavirus[.]org

corona[.]help

coronaboard-env[.]csgy3mxprm[.]eu-west-1[.]elasticbeanstalk[.]com

coronavirusinformationforus[.]blogspot[.]com

www[.]coronatracker[.]com

blogcoronacl[.]canalcero[.]digital

virus-corona[.]org

coronavirusupdates[.]online

coronavirus[.]zone

coronavirusthermometer[.]com

coronavirusawerness[.]blogspot[.]com

coronavirustoday[.]com

coronavirus[.]cc

corona-virus[.]tokyo

www[.]coronavirustoday[.]com

coronavirus-testing[.]com

stopcorona[.]org

coronavirusecuador[.]com

viruscorona[.]co[.]uk

coronastop28[.]com

coronavirusepidemia[.]blogspot[.]com

coronanow[.]kr

corona[.]kpwashingtonresearch[.]org

coronaviruses[.]com[.]au

mycoronavirus[.]world

coronavirus-in[.]space

coronawatch[.]eu

coronavirus[.]cms[.]am

www[.]coronawatch[.]eu

trackcorona[.]net

coronavirustechhandbook[.]com

coronavirus[.]tghn[.]org

coronawatch[.]now[.]sh

trackcorona[.]live

coronavirusupdate[.]tk

corona[.]kompa[.]ai

whereisthecoronavirus[.]com

thecoronaviruslive[.]info

coronastats[.]net

coronalive[.]just-shared[.]top

coronavirus19news[.]com

coronavirus[.]page

coronavirusdefense[.]com

www[.]thecoronaviruslive[.]info

coronavirusaware[.]xyz

corwhatcoronavirus[.]com

wuhan-virus-coronavirus-advice[.]blogspot[.]com

corona[.]sums[.]ac[.]ir

Эх сурвалж: vertexmon.соm

ХОЛБООТОЙ МЭДЭЭ

Сэтгэгдэл

Таны сэтгэгдэл

Back to top button
Close