Η έκθεση HP Threat Research δείχνει ότι οι εισβολείς εκμεταλλεύονται τις ευπάθειες «ημέρας μηδέν» πριν προλάβουν οι επιχειρήσεις να ενημερώσουν τα συστήματα τους
Η ερευνητική ομάδα απειλών του HP Wolf Security παρατήρησε ότι εγκληματίες του κυβερνοχώρου χρησιμοποιούν επώνυμους παρόχους cloud για τη φιλοξενία κακόβουλου λογισμικού και επιστρατεύουν διαφορετικούς τύπους αρχείων και scripts για να αποφεύγουν τα εργαλεία ανίχνευσης.
Η HP Inc. κυκλοφόρησε την τελευταία της παγκόσμια έκθεση HP Wolf Security Threat Insights, παρέχοντας ανάλυση των πραγματικών επιθέσεων στον κυβερνοχώρο. Απομονώνοντας απειλές που έχουν αποφύγει τα εργαλεία ανίχνευσης και έχουν φτάσει στα τελικά σημεία των χρηστών, το HP Wolf Security έχει μια ολοκληρωμένη εικόνα για τις τελευταίες τεχνικές που χρησιμοποιούνται από τους εγκληματίες του κυβερνοχώρου.
Η ερευνητική ομάδα απειλών του HP Wolf Security ανακάλυψε στοιχεία ότι οι εγκληματίες του κυβερνοχώρου κινητοποιούνται γρήγορα για να αξιοποιήσουν νέες ευπάθειες «ημέρας μηδέν». Οι επιθέσεις με στόχο το zero-day CVE-2021-40444 – μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα που επιτρέπει την κακόβουλη χρήση της μηχανής περιήγησης MSHTML χρησιμοποιώντας έγγραφα του Microsoft Office – καταγράφηκαν για πρώτη φορά από την HP στις 8 Σεπτεμβρίου, μια εβδομάδα πριν από την έκδοση της ενημέρωσης κώδικα στις 14 Σεπτεμβρίου.
Μέχρι τις 10 Σεπτεμβρίου – μόλις τρεις ημέρες μετά τη δημοσίευση των τεχνικών λεπτομερειών της απειλής – η ερευνητική ομάδα απειλών της HP εντόπισε scripts δημοσιευμένα στο GitHub που σχεδιάστηκαν για να επιτίθονται αυτόματα στην αδυναμία. Εφόσον το σύστημα δεν έχει ενημερωθεί, η ευπάθεια επιτρέπει στους εισβολείς να το παραβιάσουν με ελάχιστες ενέργειες από τον χρήστη. Για τη μεταφορά του το κακόβουλο λογισμικό χρησιμοποιεί ένα συμπιεσμένο αρχείο και εγκαθίσταται μέσω ενός εγγράφου του Office. Οι χρήστες δεν χρειάζεται να ανοίξουν το αρχείο ή να ενεργοποιήσουν τις μακροεντολές, η εμφάνιση του απλά στο παράθυρο προεπισκόπησης του File Explorer αρκεί για να ξεκινήσει η επίθεση, την οποία συχνά ο χρήστης δεν αντιλαμβάνεται. Μόλις η συσκευή παραβιαστεί, οι εισβολείς μπορούν να ανοίξουν backdoors στο εταιρικό δίκτυο και στη συνέχεια να πουλήσουν τα στοιχεία πρόσβασης σε ομάδες ransomware.
Άλλες αξιοσημείωτες απειλές που απομονώθηκαν από την ομάδα πληροφοριών απειλών του HP Wolf Security περιλαμβάνουν:
– Αύξηση των εγκληματιών του κυβερνοχώρου που χρησιμοποιούν επώνυμους παρόχους Cloud και ιστοσελίδων για τη φιλοξενία κακόβουλου λογισμικού: Μια πρόσφατη καμπάνια της GuLoader φιλοξενούσε το Remcos Remote Access Trojan (RAT) σε μεγάλες πλατφόρμες όπως το OneDrive για να αποφύγει τα συστήματα ανίχνευσης εισβολών και να περάσει τους ελέγχους έμπιστων συστημάτων. Το HP Wolf Security ανακάλυψε επίσης πολλές οικογένειες κακόβουλων προγραμμάτων που φιλοξενούνται σε πλατφόρμες κοινωνικών μέσων παιχνιδιών όπως το Discord.
– Κακόβουλο λογισμικό JavaScript που διαφεύγει από προηγούμενα εργαλεία ανίχνευσης: Μια καμπάνια που διαδίδει διάφορα JavaScript RATs εξαπλώνεται μέσω κακόβουλων συνημμένων ηλεκτρονικού ταχυδρομείου. Τα προγράμματα λήψης JavaScript επιτυγχάνουν χαμηλότερα ποσοστά ανίχνευσης από τα προγράμματα λήψης του Office ή τα δυαδικά αρχεία. Τα RATs είναι όλο και πιο συνηθισμένα καθώς οι επιτιθέμενοι στοχεύουν να κλέψουν διαπιστευτήρια εταιρικών λογαριασμών ή πορτοφόλια κρυπτονομισμάτων.
– Στοχευμένη καμπάνια βρέθηκε να παριστάνει το ταμείο Εθνικής Κοινωνικής Ασφάλισης της Ουγκάντα: Οι επιτιθέμενοι χρησιμοποίησαν το “typosquatting” – χρησιμοποιώντας μια πλαστή διεύθυνση ιστού παρόμοια με την επίσημη σελίδα του φορέα – για να προσελκύσουν θύματα σε έναν ιστότοπο που περιείχε ένα κακόβουλο έγγραφο του Word. Στη συνέχεια χρησιμοποιώντας μακροεντολές εκτελούσαν ένα PowerShell script που διέκοπτε την καταγραφή ασφαλείας και απέφευγε τη δυνατότητα ανίχνευσης του Windows Antimalware Scan.
Η αλλαγή σε αρχεία HTA επιτρέπει τη διάδοση κακόβουλου λογισμικού με ένα μόνο κλικ: Το Trickbot Trojan μεταφέρεται πλέον μέσω αρχείων HTA (HTML application), τα οποία αναπτύσσουν το κακόβουλο λογισμικό μόλις ανοίξει το συνημμένο ή το συμπιεσμένο αρχείο που το περιέχει. Ως ασυνήθιστος τύπος αρχείου, τα κακόβουλα αρχεία HTA είναι λιγότερο πιθανό να εντοπιστούν από εργαλεία ανίχνευσης. «Ο μέσος χρόνος για μια επιχείρηση να εφαρμόσει, να δοκιμάσει και να αναπτύξει πλήρως τις ενημερώσεις κώδικα με τους κατάλληλους ελέγχους είναι 97 ημέρες, δίνοντας στους εγκληματίες του κυβερνοχώρου την ευκαιρία να εκμεταλλευτούν αυτό το «παράθυρο ευπάθειας». Ενώ αρχικά μόνο οι εξαιρετικά ικανοί χάκερ θα μπορούσαν να το εκμεταλλευτούν, τα αυτοματοποιημένα scripts έχουν μειώσει τον πήχη δυσκολίας, καθιστώντας αυτόν τον τύπο επίθεσης προσιτό σε παράγοντες απειλών με λιγότερες γνώσεις και πόρους. Αυτό αυξάνει σημαντικά τον κίνδυνο για τις επιχειρήσεις, καθώς οι ευπάθειες «ημέρας μηδέν» εμπορευματοποιούνται και διατίθενται στη μαζική αγορά σε χώρους όπως υπόγεια φόρουμ», εξηγεί ο Alex Holland, Senior Malware Analyst της ερευνητικής ομάδας απειλών του HP Wolf Security, της HP Inc. «Αυτά τα πρωτοποριακά εργαλεία επιθέσεων τείνουν να είναι αποτελεσματικά στην αποφυγή εργαλείων ανίχνευσης, καθώς οι υπογραφές εντοπισμού μπορεί να είναι ελλιπείς και να ξεπερνούνται γρήγορα λόγω των μεταβολών στο εύρος λειτουργικότητας τους. Αναμένουμε από τους φορείς απειλών να υιοθετήσουν το CVE-2021-40444 ως μέρος του οπλοστασίου τους και ενδεχομένως να αντικαταστήσουν ακόμη και κοινά εργαλεία που χρησιμοποιούνται για την απόκτηση αρχικής πρόσβασης σε συστήματα σήμερα, όπως για παράδειγμα αυτά που στοχεύουν το Equation Editor».
«Παρατηρούμε επίσης ότι μεγάλες πλατφόρμες όπως το OneDrive επιτρέπουν στους χάκερ να διεξάγουν επιθέσεις «flash in the pan». Παρόλο που σε γενικές γραμμές το κακόβουλο λογισμικό που φιλοξενείται σε αυτές τις πλατφόρμες διαγράφεται γρήγορα, αυτό δεν αποθαρρύνει τους επιτιθέμενους επειδή συχνά μπορούν να επιτύχουν τον στόχο τους να παραδώσουν κακόβουλο λογισμικό στις λίγες ώρες που είναι ζωντανοί οι σύνδεσμοι», συνεχίζει ο Holland. «Κάποιοι παράγοντες απειλών αλλάζουν το script ή τον τύπο αρχείου που χρησιμοποιούν κάθε λίγους μήνες. Τα κακόβουλα αρχεία JavaScript και HTA δεν είναι κάτι νέο, αλλά εξακολουθούν να φτάνουν στα εισερχόμενα των εργαζομένων, θέτοντας την επιχείρηση σε κίνδυνο. Μια εκστρατεία διέδωσε το Vengeance Justice Worm, το οποίο μπορεί να εξαπλωθεί σε άλλα συστήματα στο τοπικό δίκτυο και σε μονάδες USB».
Τα ευρήματα βασίζονται σε δεδομένα από εκατομμύρια τερματικά σημεία που εκτελούν το HP Wolf Security. Το HP Wolf Security παρακολουθεί τα κακόβουλα λογισμικά εκτελώντας επικίνδυνες εργασίες σε μεμονωμένες, μικρο εικονικές μηχανές (micro VMs) για να κατανοήσει και να καταγράψει την πλήρη αλυσίδα μόλυνσης, συμβάλλοντας στην απομόνωση των απειλών που διαφεύγουν από άλλα εργαλεία ασφαλείας. Αυτό επέτρεψε στους πελάτες να κάνουν κλικ σε πάνω από 10 δισεκατομμύρια συνημμένα email, ιστοσελίδες και λήψεις χωρίς αναφερόμενες παραβιάσεις. Κατανοώντας καλύτερα τη συμπεριφορά του κακόβουλου λογισμικού στην πράξη, οι ερευνητές και οι μηχανικοί του HP Wolf Security μπορούν να ενισχύσουν την προστασία της ασφάλειας των τελικών σημείων και τη συνολική ανθεκτικότητα των συστημάτων.
Τα βασικά ευρήματα της έκθεσης περιλαμβάνουν:
- Το 12% του κακόβουλου λογισμικού email που απομονώθηκε είχε παρακάμψει τουλάχιστον έναν σαρωτή πύλης εισόδου.
- Το 89% του εντοπισμένου κακόβουλου λογισμικού παραδόθηκε μέσω ηλεκτρονικού ταχυδρομείου, ενώ οι λήψεις ιστού ήταν υπεύθυνες για το 11%, και άλλα μέσα όπως αφαιρούμενες συσκευές αποθήκευσης για λιγότερο από 1%.
- Τα πιο κοινά συνημμένα που χρησιμοποιήθηκαν για την παράδοση κακόβουλου λογισμικού ήταν συμπιεσμένα αρχεία (38% – από 17,26% του προηγούμενου τριμήνου), έγγραφα Word (23%), υπολογιστικά φύλλα (17%) και εκτελέσιμα αρχεία (16%).
- Οι κορυφαίες πέντε πιο κοινές παγίδες phishing σχετίζονταν με επιχειρηματικές συναλλαγές όπως «παραγγελίες», «πληρωμές», «νέα», «προσφορές» και «αιτήματα».
- Η αναφορά διαπίστωσε ότι το 12% του κακόβουλου λογισμικού που καταγράφηκε ήταν προηγουμένως άγνωστο.
«Δεν μπορούμε να συνεχίσουμε να βασιζόμαστε μόνο στην ανίχνευση. Το τοπίο των απειλών είναι πολύ δυναμικό και, όπως μπορούμε να δούμε από την ανάλυση των απειλών που καταγράφονται στα VM μας, οι εισβολείς γίνονται ολοένα και πιο ικανοί στο να αποφεύγουν τον εντοπισμό», σχολιάζει ο Dr. Ian Pratt, Global Head of Security for Personal Systems, της HP Inc. «Οι οργανισμοί πρέπει να ακολουθήσουν μια προσέγγιση πολλών επιπέδων για την ασφάλεια των τελικών σημείων, ακολουθώντας τις αρχές μηδενικής εμπιστοσύνης ώστε να περιορίσουν και να απομονώσουν τους πιο κοινούς φορείς επίθεσης, όπως email, προγράμματα περιήγησης και λήψεις. Αυτό θα εκμηδενίσει την επιφάνεια επίθεσης για ολόκληρες κατηγορίες απειλών, ενώ θα δώσει στους οργανισμούς τον απαραίτητο χώρο για τον ασφαλή συντονισμό των κύκλων ενημερώσεων του λογισμικού τους χωρίς διακοπή των υπηρεσιών τους», επισημαίνει χαρακτηριστικά η έκθεση της Ηwelett Ρackard.