Útočníci sú kreatívni a svoje útoky zostavujú v štýle stavebníc, zistila spoločnosť HP

Spoločnosť HP Inc. zverejnila štvrťročnú správu HP Wolf Security Threat Insights Report, ktorá ukazuje, ako útočníci zostavujú rôzne vzory útokov ako detskú stavebnicu, aby sa vyhli detekcii detekčnými nástrojmi.

Vďaka izolácii hrozieb, ktorým sa podarilo obísť detekčné nástroje v počítačoch, má HP Wolf Security podrobný¹ prehľad o najnovších technikách používaných kybernetickými zločincami v rýchlo sa meniacom svete počítačovej kriminality. Zákazníci využívajúci riešenia HP Wolf Security doteraz klikli na viac ako 30 miliárd e-mailových príloh, webových stránok a súborov na stiahnutie bez narušenia bezpečnosti.

Tip redakcie: Mobily, PC, Hry a kancelária za super ceny od overeného obchodníka

Na základe analýzy údajov z miliónov koncových zariadení chránených systémom HP Wolf Security² výskumníci dospeli k nasledujúcim zisteniam:

• Kyberzločinci zostavujú svoje útoky, ako keby sa hrali s detskou stavebnicou: Reťazec, ktorým je útok vedený, často pozostáva z osvedčených, dobre prešliapaných ciest, ktorými sa dostanú k cieľu útoku. V kreatívnych kampaniach QakBot však útočníci použili rôzne stavebné prvky, z ktorých sa takéto útoky skladajú, na vytvorenie jedinečných útočných reťazcov. Striedaním rôznych typov súborov a techník dokázali obísť detekčné nástroje a bezpečnostné politiky. 32 % útočných reťazcov QakBot, ktoré spoločnosť HP analyzovala v druhom štvrťroku, bolo jedinečných.
• Poznajte rozdiel – blogger alebo keylogger: útočníci, ktorí stoja za nedávnymi kampaňami Aggah, infikovali populárnu blogovaciu platformu Blogspot škodlivým kódom. Keďže kód je skrytý v legitímnom zdroji, pre bezpečnostných expertov je ťažšie určiť, či používateľ číta blog alebo vykonáva útok. Útočníci potom využijú svoje znalosti systémov Windows na deaktiváciu určitých antimalvérových funkcií v počítači používateľa a spustia červa XWorm alebo trójskeho koňa AgentTesla Remote Access (RAT), aby sa zmocnili citlivých informácií.
• V rozpore s protokolom spoločnosť HP identifikovala aj ďalšie útoky Aggah, ktoré na infikovanie počítača škodlivým softvérom AgentTesla RAT využívali dotaz na záznam TXT DNS – textový záznam, ktorý sa zvyčajne používa na prístup k základným informáciám o názve domény. Pôvodcovia hrozby vedia, že protokol DNS často nie je monitorovaný alebo chránený bezpečnostnými tímami, čo veľmi sťažuje odhalenie takéhoto útoku.
• Viacjazyčný malvér: Útočníci v poslednom čase používajú viacero programovacích jazykov, aby sa vyhli odhaleniu. Najprv zašifrujú svoj škodlivý kód pomocou šifrovacieho programu napísaného v jazyku Go, čím znemožnia antivírusovému programu jeho skenovanie a inú detekciu. Útok potom pokračuje v jazyku C++, ktorý mu umožňuje komunikovať s operačným systémom obete a vykonávať škodlivý softvér napísaný v jazyku .NET v pamäti – pričom v počítači zanecháva minimálne stopy.

Patrick Schläpfer, hlavný analytik špecializujúci sa na malvér z tímu výskumu hrozieb spoločnosti HP Wolf Security, dodáva:

„Dnešní útočníci sú čoraz organizovanejší a znalejší. Skúmajú a analyzujú vnútorné štruktúry operačného systému, čo im značne uľahčuje zneužitie akýchkoľvek bezpečnostných medzier. Vďaka tomu, že vedia, na ktoré dvere majú pritlačiť, môžu ľahko prechádzať vnútornými systémami a veľmi účinne používať relatívne jednoduché techniky bez toho, aby spustili poplach.“

Správa podrobne opisuje, ako skupiny páchajúce počítačovú kriminalitu diverzifikujú metódy útokov s cieľom obísť bezpečnostné politiky a detekčné nástroje. Medzi hlavné zistenia patria:

• Už piaty štvrťrok po sebe boli archívy najobľúbenejším typom súboru pre doručenie škodlivého softvéru, čo predstavuje 44 % prípadov analyzovaných spoločnosťou HP.
• V 2. štvrťroku došlo v porovnaní s 1. štvrťrokom k 23 % nárastu počtu hrozieb HTML, ktoré spoločnosť HP Wolf Security odstránila.
• Medzi 1. a 2. štvrťrokom sa počet hrozieb v podobe spustiteľných súborov zvýšil o 4 % zo 14 % na 18 %, najmä v dôsledku používania súboru PDFpower.exe, ktorý obsahoval škodlivý softvér na zneužitie zraniteľností prehliadača.
• V prípade škodlivého softvéru v súboroch Excel zaznamenala spoločnosť HP v 1. štvrťroku pokles o 6 percentuálnych bodov v porovnaní so 4. štvrťrokom (z 19 % na 13 %), keďže útočníci prestávajú používať súbory balíka Office, v ktorých sa makrá spúšťajú ťažšie.
• Jeden alebo viac skenerov e-mailových brán obišlo v 2. štvrťroku aspoň 12 % e-mailových hrozieb identifikovaných programom HP Sure Click.
• V 2. štvrťroku boli najčastejším zdrojom hrozieb e-maily (79 %) a stiahnuté súbory z prehliadača (12 %).

Dr. Ian Pratt, globálny riaditeľ pre bezpečnosť osobných systémov v spoločnosti HP Inc., dodáva:

„Hoci sa útočné reťazce môžu v jednotlivých prípadoch líšiť, metódy iniciácie zostávajú rovnaké – nevyhnutne ide o to, že používateľ na niečo klikne. Namiesto toho, aby sa podniky snažili predvídať možnú podobu útočného reťazca, mali by izolovať a obmedziť rizikové činnosti, ako je otváranie príloh e-mailov, klikanie na odkazy a sťahovanie súborov prostredníctvom prehliadača.“

HP Wolf Security spúšťa rizikové úlohy v izolovaných, hardvérovo zabezpečených virtuálnych počítačoch bežiacich na koncovom zariadení, aby chránil používateľov a zabránil negatívnemu vplyvu na ich produktivitu. Zároveň podrobne mapuje pokusy o infikovanie počítača. Technológia izolácie aplikácií vyvinutá spoločnosťou HP zmierňuje hrozby, ktoré by mohli zostať neodhalené inými bezpečnostnými nástrojmi, a poskytuje jedinečný pohľad na nové techniky útokov a správanie útočníkov.

Informácie o spracovaných údajoch

Tieto údaje boli zozbierané anonymne vo virtuálnych počítačoch zákazníkov pomocou HP Wolf Security v období od apríla do júna 2023.

1 Spoločnosť HP má špecifický prehľad o najnovších technikách kyberzločincov vďaka analýze skutočných vzoriek škodlivého softvéru v mikrosystémoch a zachytávaniu podrobných stôp pokusov o infekciu.

2 HP Security je teraz HP Wolf Security. Funkcie zabezpečenia sa líšia podľa platformy, podrobnosti nájdete v technickom liste produktu.