Útoky prostredníctvom LNK: Aby ovládli firemné počítače, začínajú kyberzločinci namiesto makier zneužívať súbory zástupcov
Spoločnosť HP Inc. vydala štvrťročnú správu Threat Insights Report, podľa ktorej veľký počet kyberzločincov šíriacich malvér z rodín QakBot, IceID, Emotet a RedLine Stealer prechádza pri rozširovaní malvéru na súbory zástupcov (LNK). Namiesto makier Office, ktoré začínajú byť v predvolenom nastavení v Office blokované, používajú útočníci na preniknutie do podnikových sietí zástupcov, prostredníctvom ktorých užívateľov oklamú a infikujú ich počítače malvérom. Takto získaný prístup môže byť zneužitý na krádež cenných firemných dát alebo predaný skupinám využívajúcim ransomware. To môže viesť k rozsiahlym narušeniam bezpečnosti, ktoré môžu zastaviť prevádzku podniku a vyžiadať si značné náklady na nápravu.
Tip redakcie: Mobily, PC, Hry a kancelária za super ceny od overeného obchodníka
Najnovšia globálna správa Threat Insights Report HP Wolf Security, ktorá poskytuje analýzu reálnych kybernetických útokov, vykazuje 11 % nárast archívnych súborov obsahujúcich malvér vrátane infikovaných súborov LNK. Útočníci často vkladajú súbory zástupcu do príloh správ ako ZIP súbory, aby sa vyhli e-mailovým skenerom. Tím tiež zistil, že na hackerských fórach je možné zakúpiť programy na tvorbu malvéru v podobe súborov LNK, čo kyberzločincom uľahčuje prechod na túto techniku spúšťania kódu bez využitia makier, vytváraním škodlivých súborov zástupcov a ich šírením vo firmách.
„Vzhľadom na fakt, že makrá stiahnuté z webu sú v Office v predvolenom nastavení blokované, sledujeme pozorne alternatívne metódy spúšťania škodlivých kódov testovaných kyberzločincami. Otvorenie súboru zástupcu alebo HTML môže zamestnancovi pripadať neškodné, ale pre podnik môže znamenať veľké riziko,“ vysvetľuje Alex Holland, vedúci analytik malvéru z tímu pre výskum hrozieb HP Wolf Security spoločnosti HP Inc. „Podniky musia na ochranu proti týmto technikám, ktoré útočníci stále častejšie využívajú, prijať adekvátne opatrenia, inak sa v prípade ich rozšírenia vystavia obrovskému riziku. Ak je to možné, odporúčame okamžite zablokovať súbory zástupcu prijaté ako prílohy e-mailov alebo stiahnuté z webu.“
Vďaka izolácii hrozieb, ktoré dokázali na počítačoch obísť detekčné nástroje, má HP Wolf Security detailný prehľad o najnovších technikách používaných kybernetickými zločincami. Okrem nárastu počtu súborov LNK upozornil tím pre výskum hrozieb v tomto štvrťroku na nasledujúce poznatky:
- Počet prípadov vpašovania škodlivého kódu prostredníctvom HTML súborov dosahuje kritické množstvo – Spoločnosť HP zaznamenala niekoľko phishingových kampaní využívajúcich e-maily predstierajúce, že ich odosielateľom je poštová služba v danej krajine alebo – ako spoločnosť HP predpovedala – organizátor významnej akcie, napr. výstavy Expo 2023 v Dohe (na ktorej sa zúčastnia viac ako 3 milióny návštevníkov z celého sveta), ktoré na doručenie malvéru využili vpašovanie škodlivého kódu do HTML súborov. Pomocou tejto techniky je možné do podnikov prepašovať nebezpečné typy súborov, ktoré by inak e-mailové brány zablokovali, a spôsobiť tak infekciu malvérom.
- Útočníci sa chopili príležitosti, ktorú im poskytla zraniteľnosť nultého dňa Follina
(CVE-2022-30190) – Po zverejnení informácií o zraniteľnosti nultého dňa v nástroji MSDT (Microsoft Support Diagnostic Tool), známej tiež pod označením „Follina“, zneužilo túto zraniteľnosť, ešte pred vydaním bezpečnostnej záplaty, niekoľko útočníkov na distribúciu malvéru QakBot, Agent Tesla a Remcos RAT (Remote Access Trojan). Táto zraniteľnosť je obzvlášť nebezpečná, pretože umožňuje útočníkom spustiť ľubovoľný kód a infikovať napadnutý systém malvérom, pričom na napadnutie cieľových počítačov stačí len minimálna interakcia zo strany užívateľa.
- Malvér SVCReady používa na svoje spustenie novú techniku a šíri sa pomocou kódu pre príkazový riadok ukrytého v dokumentoch – Spoločnosť HP odhalila kampaň, prostredníctvom ktorej sa šíri nový typ malvéru s názvom SVCReady, vyznačujúci sa neobvyklým spôsobom napadnutia cieľových počítačov – prostredníctvom kódu pre príkazový riadok ukrytom vo vlastnostiach dokumentov Office. Tento malvér, ktorého úlohou je predovšetkým stiahnuť do napadnutých počítačov po zhromaždení systémových informácií a vytvorení snímok obrazovky ďalšie škodlivé súbory, zatiaľ ešte zostáva v ranej fáze vývoja a v ostatných mesiacoch bol niekoľkokrát aktualizovaný.
Tieto zistenia vychádzajú z údajov miliónov koncových zariadení vybavených nástrojom HP Wolf Security. HP Wolf Security spúšťa rizikové úlohy, ako je otváranie e-mailových príloh, sťahovanie súborov a klikanie na odkazy, v izolovaných mikrovirtuálnych počítačoch (micro-VM), aby chránil používateľov a podrobne analyzoval pokusy o infikovanie počítača. Technológia izolácie aplikácií spoločnosti HP zmierňuje hrozby, ktoré môžu zostať nezachytené inými bezpečnostnými nástrojmi, a poskytuje jedinečné informácie o nových technikách napadnutia a správania sa útočníkov. Do tejto chvíle klikli zákazníci HP na viac ako 18 miliárd e mailových príloh, webových stránok a súborov na stiahnutie bez toho, aby nastalo narušenie bezpečnosti.
Ďalšie kľúčové zistenia uvedené v správe:
- Štrnásť percent malvéru, zachyteného nástrojom HP Wolf Security, obišlo aspoň jeden skenovací program e-mailovej brány.
- Pri pokusoch o infikovanie podnikových systémov použili útočníci 593 rôznych rodín malvéru, zatiaľ čo v predchádzajúcom štvrťroku toto číslo predstavovalo 545.
- Najčastejšie infikovanými súbormi boli tabuľky, ale tím pre výskum hrozieb zaznamenal tiež 11 % nárast výskytu infikovaných komprimovaných súborov, čo ukazuje, že útočníci stále častejšie umiestňujú infikované súbory pred ich odoslaním do archívov, aby sa týmto spôsobom vyhli detekcii.
- Šesťdesiatdeväť percent zisteného škodlivého softvéru bolo doručených e-mailom, 17 % pripadá na sťahovanie z webu.
- Najčastejšie phishingové návnady sa objavovali v podobe obchodných transakcií, napr. „Objednávka“, „Platba“, „Nákup“, „Žiadosť“ a „Faktúra“.
„Útočníci skúšajú nové formáty škodlivých súborov alebo zneužitie zraniteľností, aby sa vyhli detekcii, podniky sa preto musia pripraviť na neočakávané. To znamená, že na zabezpečenie koncových zariadení je nutné pristupovať na úrovni architektúry celého systému – napríklad tak, že najčastejšie vektory útoku, ako sú e-maily, prehliadače a sťahované súbory, sú izolované bez ohľadu na to, či ich možno odhaliť alebo nie,“ vysvetľuje Dr. Ian Pratt, globálny riaditeľ zabezpečenia osobných systémov spoločnosti HP Inc. „Tým sa eliminuje cesta útoku pre celé triedy hrozieb, a organizácia zároveň získa čas potrebný na bezpečnú koordináciu inštalácie bezpečnostných záplat bez toho, aby to narušilo jej chod.“
O prieskume
Dáta boli anonymne zhromaždené vo virtuálnych počítačoch zákazníkov HP Wolf Security v období od apríla do júna 2022.
O HP Wolf Security
HP Wolf Security predstavuje nový druh zabezpečenia koncových bodov. Portfólio HP zabezpečenia a bezpečnostných služieb zameraných na koncové body je navrhnuté takým spôsobom, aby pomohlo spoločnostiam chrániť počítače, tlačiarne a pracovníkov pred kybernetickými predátormi. HP Wolf Security poskytuje komplexnú ochranu koncových bodov a odolnosť, ktorá začína na hardvérovej úrovni a rozširuje sa na softvér a služby.