Eρευνητές ανακάλυψαν μια νέα εκστρατεία COVID-19 πίσω από την οποία κρύβονται Κινέζοι χάκερς που εκτελούν APT και εκμεταλλεύονται τον φόβο και την σύγχυση που έχει προκαλέσει η πανδημία του Κορωνοϊού για να μεταφέρουν malware στα Windows. Αυτή η hacking επίθεση που πιστεύεται ότι ξεκίνησε από μία μακρόχρονη ομάδα χάκερς που εκτελεί APT έχοντας ως στόχο διάφορους κυβερνητικούς και ιδιωτικούς φορείς, εκμεταλλεύεται την πανδημία του Κορωνοϊού για να μολύνει τα στοχοποιημένα θύματα. Οι επιτιθέμενοι χρησιμοποιούν επίσης νέα hacking εργαλεία σε αυτήν την εκστρατεία για να πραγματοποιήσουν επίθεση με τα ύποπτα έγγραφα RTF.
Στοιχεία σχετικά με αυτή την επίθεση των χάκερς αποκαλύπτουν ότι τα έγγραφα RTF είναι εξοπλισμένα με το Royal Road, ένα “όπλο” RTF που ονομάστηκε έτσι από την Anomali. Μερικές φορές αποκαλείται “8.t RTF exploit builder” και χρησιμοποιείται κυρίως με στόχο την εκμετάλλευση τυχόν ευπαθειών του επεξεργαστή εξισώσεων του Microsoft Word.
Κάποια από τα κακόβουλα έγγραφα είναι γραμμένα στα μογγολικά. Ένα μάλιστα από αυτά, το οποίο παραπέμπει στο Υπουργείο Εξωτερικών της Μογγολίας, περιέχει πληροφορίες σχετικά με τα νέα κρούσματα Κορωνοϊού. Αξίζει να σημειωθεί ότι αυτή η κυβερνοεπίθεση δεν είχε μόνο ως στόχο το Υπουργείο Εξωτερικών της Μογγολίας, αλλά επεκτάθηκε και σε άλλες χώρες όπως η Ουκρανία, η Ρωσία και η Λευκορωσία.
Πώς λειτουργεί όμως αυτή η επίθεση;
Μόλις το στοχοποιημένο θύμα ανοίξει το κακόβουλο έγγραφο RTF, oι χάκερς θα εκμεταλλευτούν μία ευπάθεια του Microsoft Word των Windows και το νέο αρχείο με το όνομα intel.wll θα εγχυθεί στον φάκελο εκκίνησης του Word.
Μετά από αυτό, όταν εκκινείται το Microsoft Word στον μολυσμένο υπολογιστή, εκκινούν και όλα τα αρχεία DLL με επέκταση WLL στο φάκελο εκκίνησης του Word. Σύμφωνα με το Checkpoint, όπως πολλά κακόβουλα προγράμματα, αυτό κατεβάζει περισσότερα κακόβουλα προγράμματα – στην περίπτωση αυτή κατεβάζει και αποκρυπτογραφεί ένα RAT module, επίσης υπό τη μορφή ενός αρχείου DLL και το φορτώνει στη μνήμη.
To RAT module που χρησιμοποιείται από τους χάκερς σε αυτή την επίθεση μπορεί να κάνει screenshots στην οθόνη του υπολογιστή του θύματος, τα οποία στέλνει στους χάκερς. Μπορεί επίσης να απαριθμήσει αρχεία και καταλόγους, να δημιουργήσει ή να διαγράψει καταλόγους καθώς και να μετακινήσει, να διαγράψει ή να κατεβάσει αρχεία.
