Techniky skrytého útoku a stále častejšie malwarové útoky prostredníctvom programu Excel umožňujú gangom útočiacim ransomwarom zasiahnuť stále viac obetí

Spoločnosť HP Inc. publikovala svoju najnovšiu globálnu správu HP Wolf Security Threat Insights Report, ktorá prináša analýzu kybernetických útokov a zraniteľností zistených v reálnom prostredí. Vďaka izolácii hrozieb, ktoré dokázali obísť detekčné nástroje a prenikli až na koncové zariadenia používateľov, má HP Wolf Security detailný prehľad o najnovších technikách používaných kybernetickými zločincami.

Tím pre výskum hrozieb HP Wolf Security odhalil vlnu útokov zneužívajúcich na šírenie malwaru doplnky programu Excel. Tieto súbory umožňujú útočníkom ovládnuť cieľové zariadenia a vystavujú firmy aj jednotlivcov nebezpečenstvu krádeže dát a ničivých ransomwarových útokov. V porovnaní s minulým štvrťrokom došlo k obrovskému, takmer šesťnásobnému nárastu (+ 588 %) počtu útokov využívajúcich na napadnutie systému infikované súbory doplnku programu Microsoft Excel (.xll). Táto technika sa ukázala ako obzvlášť nebezpečná, pretože na spustenie malwaru stačí jediné kliknutie. Tím tiež našiel reklamy na droppery .xll a sady na tvorbu malwaru na nelegálnych trhoviskách na darknete, ktoré umožňujú ľahko začať útočnú kampaň aj neskúseným útočníkom. 

Nedávna spamová kampaň QakBot navyše používala na oklamanie adresátov súbory programu Excel, pričom útok prebiehal nasledovne: útočníci prostredníctvom napadnutých e-mailových účtov vstupovali do prebiehajúcej konverzácie a v odpovedi zasielali v prílohe infikovaný súbor pre aplikáciu Excel (.xlsb). QakBot sa po preniknutí do systému maskuje ako legitímny proces systému Windows, aby sa tým vyhol odhaleniu. Napadnuté excelové súbory (.xls) boli použité aj na šírenie bankového trójskeho koňa Ursnif medzi talianskymi firmami a organizáciami verejného sektora prostredníctvom škodlivej spamovej kampane, pričom útočníci sa vydávali za taliansku kuriérnu službu BRT. Nové kampane šíriace malware Emotet teraz používajú namiesto súborov JavaScript alebo Word aj súbory vo formáte Excel.

Medzi ďalšie významné hrozby, ktoré tím HP Wolf Security odhalil, patria:

  • Návrat TA505: Spoločnosť HP odhalila e-mailovú phishingovú kampaň MirrorBlast, ktorá využíva mnoho taktík, techník a postupov (TTP), ktorými je známa skupina TA505 zameriavajúca sa na finančne motivované útoky. Tá sa neslávne preslávila masívnymi spamovými kampaňami šíriacimi malware, s cieľom vydierať prevádzkovateľov infikovaných systémov prostredníctvom ransomwaru. Útočníci na napadnutie svojich obetí využívali trójskeho koňa na vzdialený prístup (RAT) FlawedGrace.
  • Falošná herná platforma infikuje obete pomocou nástroja RedLine: Bola objavená podvrhnutá webová stránka s inštalačnými súbormi Discord, ktorá sa návštevníkov snaží prinútiť k tomu, aby si stiahli infostealer RedLine, a vzápätí scudzí ich prihlasovacie údaje.
  • ●       Využívanie neobvyklých typov súborov na obchádzanie detekcie: Zločinecká skupina Aggah sa zamerala na kórejské firmy, ktoré sa snažila napadnúť prostredníctvom škodlivých doplnkov pre aplikáciu PowerPoint (.ppa), ktoré boli maskované ako objednávky a infikovali systémy trójskymi koňmi pre vzdialený prístup. Malware cieliaci na PowerPoint sa vyskytuje zriedkavo, tvorí iba 1 % všetkého malwaru.

„Zneužívanie legitímnych funkcií softvéru na skrytie pred detekčnými nástrojmi je bežnou taktikou útočníkov, rovnako ako používanie neobvyklých typov súborov, ktoré môžu bez povšimnutia prejsť cez e-mailové brány. Bezpečnostné tímy sa nesmú spoliehať iba na detekciu, musia sledovať najnovšie hrozby a zodpovedajúcim spôsobom aktualizovať obranné mechanizmy. Na základe nárastu výskytu škodlivých súborov .xll by som napríklad správcom siete odporučil nakonfigurovať e-mailové brány tak, aby blokovali prichádzajúce prílohy .xll, prepúšťali iba doplnky podpísané dôveryhodnými partnermi alebo úplne zakázali doplnky programu Excel,“ vysvetľuje Alex Holland, samostatný malwarový analytik výskumného tímu kybernetických hrozieb divízie HP Wolf Security spoločnosti HP Inc.

„Útočníci neustále inovujú svoje metódy a hľadajú nové techniky, ako sa vyhnúť detekcii, preto je nevyhnutné, aby podniky plánovali a upravovali svoje obranné mechanizmy na základe vývoja kybernetických hrozieb a obchodných potrieb svojich používateľov. Pôvodcovia kybernetických hrozieb investovali do techník, ako je napríklad preniknutie do e-mailovej konverzácie, takže je pre používateľov teraz oveľa ťažšie rozoznať priateľa od nepriateľa.“

Tieto zistenia vychádzajú z údajov z mnohých miliónov koncových zariadení vybavených systémom HP Wolf Security. Ten pátra po existencii malwaru spúšťaním rizikových úloh v izolovaných virtuálnych počítačoch (micro-VM), aby pochopil a zachytil celý reťazec infekcie a prispel k zmierneniu hrozieb, ktoré unikli pozornosti ostatných bezpečnostných nástrojov. Vďaka tomu mohli zákazníci kliknúť na viac ako 10 miliárd e-mailových príloh, webových stránok a súborov na stiahnutie bez toho, aby došlo k narušeniu bezpečnosti.[1] Vplyvom lepšieho pochopenia správania malwaru v reálnom prostredí môžu výskumníci a inžinieri divízie HP Wolf Security posilniť ochranu koncových zariadení a celkovú odolnosť systému.

Ďalšie kľúčové zistenia správy:

  • ●       13 % izolovaného e-mailového malwaru obišlo aspoň jeden skenovací program e-mailovej brány.
  • V snahe o infikovanie firemných počítačov bolo použitých 136 rôznych prípon súborov.
  • 77 % zisteného škodlivého softvéru bolo doručených e-mailom, 13 % pripadá na sťahovanie z webu.
  • Najčastejšími prílohami používanými na doručenie malwaru boli dokumenty (29 %), archívy (28 %), spustiteľné súbory (21 %) a tabuľky (20 %).
  • Najčastejšie phishingové návnady sa objavovali v súvislosti s Novým rokom alebo s obchodnými transakciami, napr. „Objednávka“, „2021/2022“, „Platba“, „Nákup“, „Žiadosť“ a „Faktúra“.

„V súčasnej dobe môžu pôvodcovia nízkoúrovňových hrozieb vykonávať skryté útoky a predávať prístup organizovaným skupinám vytvárajúcim ransomware, čo vedie k prípadom rozsiahleho narušenia bezpečnosti, ktoré môže ochromiť IT systémy a zastaviť všetku prevádzku,“ dodáva Dr. Ian Pratt, globálny riaditeľ pre oblasť zabezpečenia osobných systémov spoločnosti HP Inc.


[1] Predpoklady založené na internej analýze HP.

Značky: