HP опубликовала исследование об эксплуатации злоумышленниками уязвимости нулевого дня для атаки на компании

0
52

Компания HP Inc. опубликовала глобальный отчет HP Wolf Security Threat Insights Report с анализом кибератак за третий квартал 2021 г. Экспертам удалось выявить методы и инструменты злоумышленников для обхода средств защиты от взлома.

Специалисты из HP Wolf Security изучили участившиеся случаи использования киберпреступниками уязвимостей нулевого дня. Эксплойты CVE-2021-40444i построены на удаленном исполнении вредоносного кода на компьютере жертвы. Эта уязвимость позволяет использовать движок браузера MSHTML в пакете программ Microsoft Office – впервые она была выявлена специалистами по безопасности HP 8 сентября 2021 г., за неделю до выпуска очередного обновления.

Уже 10 сентября – всего через три дня после публикации первого бюллетеня об угрозе – группа исследователей HP обнаружила на GitHub информацию, предназначенную для автоматизации создания этого эксплойта. В отсутствие обновлений системы данная уязвимость позволяла злоумышленникам взламывать конечные устройства при минимальном взаимодействии с пользователями. Эксплойт использует вредоносный архивный файл, который разворачивает вредоносное ПО через документ Office. При этом пользователям не нужно открывать файл или включать какие-либо макросы для его предварительного просмотра. Открытия проводника достаточно, чтобы инициировать атаку, о которой владелец устройства зачастую даже не будет подозревать. После взлома устройства злоумышленники могут установить в системы бэкдоры, которые могут быть проданы, например, другим преступным группам, использующим вредоносные программы с требованием выкупа.

Среди других заметных угроз, которые выделили специалисты HP Wolf Security, можно отметить рост числа киберпреступников, использующих сервисы поставщиков облачного ПО и ресурсы веб-провайдеров для размещения вредоносного ПО: в ходе недавней кампании GuLoader был обнаружен вредоносный код Remcos Remote Access Trojan (RAT) – этот вирус использует удаленный доступ для обхода систем обнаружения угроз, скрываясь под видом обычных файлов на крупнейших платформах, таких как OneDrive. Специалисты HP Wolf Security также обнаружили несколько семейств подобных вредоносных программ, размещенных в социальных сетях и на игровых платформах, таких как Discord.

Кроме того, эксперты выделяют вредоносные программы на JavaScript, способные обойти средства обнаружения: речь идет о распространении зараженных RAT-программ, написанных на языке JavaScript, через вложения электронной почты. Скрипты на JavaScript сложнее распознать и обнаружить среди всех данных, чем в документах с расширениями Office или в двоичных файлах. Вредоносное ПО RAT становится популярнее в среде злоумышленников, стремящихся украсть учетные данные бизнес-пользователей или получить доступ к криптокошелькам. Также опасен переход на файлы HTA, который позволяет распространять вредоносный код в один клик: троян Trickbot теперь оказывается на компьютерах жертв после получения файлов HTA (приложение HTML), распространяющих вредоносное ПО по системе сразу после открытия вложенного документа или архива, содержащего вредоносный код. Поскольку этот тип файлов еще не получил широкого распространения, вредоносный код, скрытый в HTA-файлах, с меньшей долей вероятности будет замечен средствами обнаружения.

«Среднее время, которое требуется компаниям для применения, тестов и внедрения патчей безопасности с соответствующими проверками, составляет 97 дней, что дает киберпреступникам возможность использовать это «окно уязвимости». Поначалу использовать подобные уязвимости могли только высококвалифицированные хакеры, но появление скриптов для автоматизации написания кода снизило порог вхождения, сделав этот тип атак доступным для менее опытных и технически подготовленных злоумышленников. Это существенно увеличивает риск для бизнеса, поскольку эксплойты нулевого дня превращаются в товар и становятся доступнее для массового рынка, например, в даркнете, – объясняет Алекс Холланд (Alex Holland), старший аналитик вредоносного ПО из группы исследования угроз безопасности HP Wolf Security, HP Inc. – Подобные новые уязвимости, как правило, не отслеживаются средствами обнаружения, поскольку исходные сигнатуры могут быть несовершенными и быстро устаревать по мере оценки масштабов эксплойта. Мы ожидаем, что эксплуатация кода CVE-2021-40444 станет новым орудием киберпреступников, возможно, даже заменит собой распространенные вредоносные программы, используемые сегодня для первоначального получения доступа к системам, например, те, которые задействуют уязвимость в Equation Editor».

В России хотят цифровизировать социальную помощь. Что уже сделано государством? Интеграция

HP опубликовала исследование об эксплуатации злоумышленниками уязвимости нулевого дня для атаки на компании

Программное обеспечение HP Wolf Security отслеживает вредоносные программы, запуская приложения на изолированных микровиртуальных машинах (micro VMs), чтобы зафиксировать и понять всю цепочку заражения, помогая тем самым минимизировать угрозы, которые не были обнаружены другими инструментами безопасности. Это позволило клиентам HP открыть более 10 миллиардов вложений электронной почты, веб-страниц и загрузок без каких-либо утечек или нарушений безопасностиii. Лучше понимая поведение вредоносных программ в реальных условиях, исследователи и инженеры HP Wolf Security получают возможность усилить защиту клиентских устройств и повысить общий уровень устойчивости систем.

Среди основных выводов исследования, основанных на данных, полученных с миллионов устройств, на которых работает HP Wolf Security, можно отметить то, что 12% выявленных вредоносных программ для электронной почты сумели обойти хотя бы один шлюз сетевого сканирования, 89% обнаруженных вредоносных программ были доставлены по электронной почте, в то время как на долю веб-загрузок пришлось 11%, а на другие способы доставки, такие как заражение через внешние устройства хранения – менее 1% зараженного ПО. Наиболее распространенными типами вложений, используемых для доставки вредоносного ПО, были архивные файлы (38% – по сравнению с 17,26% в прошлом квартале), документы Word (23%), электронные таблицы (17%) и файлы .exe (16%), сообщают эксперты. Пять самых распространенных фишинговых атак были связаны с такими бизнес-операциями, как «оформление» и «оплата» заказа, «реклама новых товаров», «предложение» и «спрос».

«Мы уже не можем полагаться только лишь на обнаружение угроз, чей ландшафт слишком динамичен, и, как мы видим из анализа угроз, зафиксированных в наших виртуальных машинах, злоумышленники все лучше умеют уходить от обнаружения, – отмечает Йэн Пратт (Ian Pratt), руководитель отдела безопасности персональных систем в HP Inc. – Организациям необходим многоуровневый подход к безопасности конечных точек, который бы следовал принципам Zero Trust для сдерживания и предотвращения наиболее распространенных направлений атак, в том числе атак через электронную почту, браузеры и загрузки. Это позволит свести к минимуму вероятность атак для целых классов угроз, предоставив организациям необходимый временной зазор для своевременного устранения уязвимостей без вреда для бизнес-процессов».

Данные, используемые в настоящем отчете, были собраны с виртуальных машин пользователей HP Wolf Security в период с июля по сентябрь 2021 г.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь