Štvrťročná správa HP Wolf Security Threat Insights Report ukazuje, ako útočníci zostavujú rôzne vzory útokov štýlom detskej stavebnice, aby sa vyhli detekcii. Vďaka izolácii hrozieb, ktorým sa podarilo obísť detekčné nástroje v počítačoch, má HP Wolf Security podrobný prehľad o najnovších technikách používaných kybernetickými zločincami v rýchlo sa meniacom svete počítačovej kriminality.
Na základe analýzy údajov z miliónov koncových zariadení chránených systémom HP Wolf Security 2 výskumníci dospeli k nasledujúcim zisteniam:
● Kyberzločinci zostavujú svoje útoky, ako keby sa hrali s detskou stavebnicou: Reťazec vedenia útoku často pozostáva z osvedčených, dobre prešliapaných ciest, ktorými sa dostanú k cieľu útoku. V kreatívnych kampaniach QakBot však útočníci použili rôzne stavebné prvky, z ktorých sa takéto útoky skladajú, na vytvorenie jedinečných útočných reťazcov. Striedaním rôznych typov súborov a techník dokázali obísť detekčné nástroje a bezpečnostné politiky. 32 % útočných reťazcov QakBot, ktoré spoločnosť HP analyzovala v druhom štvrťroku, bolo jedinečných.
● Poznajte rozdiel - blogger alebo keylogger: útočníci, ktorí stoja za nedávnymi kampaňami Aggah, infikovali populárnu blogovaciu platformu Blogspot škodlivým kódom. Keďže kód je skrytý v legitímnom zdroji, pre bezpečnostných expertov je ťažšie určiť, či používateľ číta blog alebo vykonáva útok. Útočníci potom využijú svoje znalosti systémov Windows na deaktiváciu určitých antimalvérových funkcií v počítači používateľa a spustia červa XWorm alebo trójskeho koňa AgentTesla Remote Access (RAT), aby sa zmocnili citlivých informácií.
● V rozpore s protokolom spoločnosť HP identifikovala aj ďalšie útoky Aggah, ktoré na infikovanie počítača škodlivým softvérom AgentTesla RAT využívali dotaz na záznam TXT DNS - textový záznam, ktorý sa zvyčajne používa na prístup k základným informáciám o názve domény. Pôvodcovia hrozby vedia, že protokol DNS často nie je monitorovaný alebo chránený bezpečnostnými tímami, čo veľmi sťažuje odhalenie takéhoto útoku.
● Viacjazyčný malvér: Útočníci v poslednom čase používajú viacero programovacích jazykov, aby sa vyhli odhaleniu. Najprv zašifrujú svoj škodlivý kód pomocou šifrovacieho programu napísaného v jazyku Go, čím znemožnia antivírusovému programu jeho skenovanie a inú detekciu. Útok potom pokračuje v jazyku C++, ktorý mu umožňuje komunikovať s operačným systémom obete a vykonávať škodlivý softvér napísaný v jazyku .NET v pamäti - pričom v počítači zanecháva minimálne stopy.
Správa podrobne opisuje, ako skupiny páchajúce počítačovú kriminalitu diverzifikujú metódy útokov s cieľom obísť bezpečnostné politiky a detekčné nástroje. Medzi hlavné zistenia patria:
● Už piaty štvrťrok po sebe boli archívy najobľúbenejším typom súboru na doručenie škodlivého softvéru, čo predstavuje 44 % prípadov analyzovaných spoločnosťou HP.
● V 2. štvrťroku došlo v porovnaní s 1. štvrťrokom k 23 % nárastu počtu hrozieb HTML, ktoré spoločnosť HP Wolf Security odstránila.
● Medzi 1. a 2. štvrťrokom sa počet hrozieb v podobe spustiteľných súborov zvýšil o 4 % zo 14 % na 18 %, najmä v dôsledku používania súboru PDFpower.exe, ktorý obsahoval škodlivý softvér na zneužitie zraniteľností prehliadača.
● V prípade škodlivého softvéru v súboroch Excel zaznamenala spoločnosť HP v 1. štvrťroku pokles o 6 percentuálnych bodov v porovnaní so 4. štvrťrokom (z 19 % na 13 %), keďže útočníci prestávajú používať súbory balíka Office, v ktorých sa makrá spúšťajú ťažšie.
● Jeden alebo viac skenerov mailových brán obišlo v 2. štvrťroku aspoň 12 % mailových hrozieb identifikovaných programom HP Sure Click.
● V 2. štvrťroku boli najčastejším zdrojom hrozieb maily (79 %) a stiahnuté súbory z prehliadača (12 %).