Падчас нядаўняй спам-кампаніі QakBot зламыснікі распаўсюджвалі файлы Excel праз скампраметаваныя ўліковыя запісы электроннай пошты. Злачынцы перахаплялі электронную перапіску і адпраўлялі падробленыя паведамленні ў адказ з прымацаваным шкоднасным файлам Excel (.xlsb). Пасля дастаўкі на прыладу ахвяры, QakBot ўкараняецца ў працэсы АС, каб такім чынам пазбегнуць выяўленні. Шкоднасныя файлы Excel (.xls) таксама выкарыстоўваліся для распаўсюджвання банкаўскага траяна Ursnif сярод італьянамоўных прадпрыемстваў і арганізацый дзяржаўнага сектара пасродкам спаму. Пры гэтым зламыснікі выдавалі сябе за службоўцаў італьянскай кур'ерскай службы BRT. Новыя кампаніі па распаўсюджванні шкоднасных праграм Emotet зараз таксама выкарыстоўваюць Excel замест файлаў JavaScript або Word.

Сярод іншых прыкметных пагроз, выяўленых спецыялістамі па бяспецы HP Wolf Security, можна вылучыць наступныя:

Магчымае вяртанне TA505. Спецыялісты HP выявілі фішынгавую кампанію MirrorBlast, у рамках якой хакеры выкарыстоўвалі тыя ж тактыкі, метады і працэдуры, што і TA505 – група зламыснікаў, вядомая масавымі кампаніямі з рассыланнем шкоднаснага спаму і манетызацыяй доступу да заражаных сістэм з дапамогай праграм-вымагальнікаў. Новая кампанія накіравана на арганізацыі і выкарыстоўвае траян выдаленага доступу FlawedGrace (RAT).

Падробленая гульнявая платформа, якая распаўсюджвае шкоднасны код RedLine. Адмыслоўцамі HP быў знойдзены падроблены вэб-сайт, з кліентам Discord, заражаным кодам RedLine, які выкраў дадзеныя карыстачоў.

Выкарыстанне хакерамі незвычайных тыпаў файлаў усё яшчэ дазваляе абыходзіць сістэмы бяспекі. Група кіберзлачынцаў Aggah выбірае ў якасці ахвяр карэйскамоўныя арганізацыі і выкарыстоўвае шкоднасныя файлы надбудоў PowerPoint (.ppa), замаскіраваныя пад замовы ад кліентаў, каб заражаць сістэмы траянамі выдаленага доступу. Напады праз распаўсюджванне заражаных файлаў PowerPoint з'яўляюцца вельмі непапулярным выбарам і складаюць усяго 1% шкоднасных праграм.

«Выкарыстанне стандартных функцый праграмнага забеспячэння ў злачынных мэтах з'яўляецца звычайнай тактыкай для зламыснікаў, каб пазбегнуць выяўленні - роўна як і выкарыстанне незвычайных тыпаў файлаў, якія здольныя "прасочыцца" праз паштовыя шлюзы, не выявіўшы сябе. Аддзелам бяспекі не варта належыць выключна на тэхналогіі выяўлення ўварванняў: важна ўважліва сачыць за з'яўленнем новых пагроз і якая адпавядае выявай абнаўляць сваю абарону. Так, улічваючы ўсплёск распаўсюджвання шкоднасных файлаў. (Alex Holland), старэйшы аналітык шкоднасных праграм у групе даследавання пагроз HP Wolf Security, HP Inc. - Зламыснікі пастаянна знаходзяць новыя сродкі, якія дазваляюць пазбягаць выяўленні. Менавіта таму важна, каб прадпрыемствы выбудоўвалі і карэктавалі свае сістэмы бяспекі ў залежнасці ад ландшафту пагроз і ад бізнес-патрэб сваіх карыстальнікаў. Зламыснікі сёння актыўна выкарыстоўваюць такія метады нападаў, як перахоп перапіскі ў электроннай пошце, з-за чаго карыстальнікам становіцца яшчэ цяжэй адрозніць калег і партнёраў ад злачынцаў».

Прадстаўленыя ў справаздачы высновы заснаваны на выніках аналізу шматлікіх мільёнаў канчатковых прылад, на якіх працуе праграмнае забеспячэнне HP Wolf Security. Дадзенае ПА ад HP адсочвае шкоднасныя праграмы, адчыняючы загружаныя файлы на ізаляваных мікра-віртуальных машынах (мікра-ВМ), каб вывучыць механіку заражэння. Разуменне паводзін шкоднасных праграм у іх натуральным асяроддзі дазваляе даследнікам і інжынерам HP Wolf Security узмацняць абарону канчатковых прылад і падвышаць стабільнасць сістэмы.

Дзякуючы праграмнаму забеспячэнню HP Wolf Security кліенты змаглі адкрыць больш за 10 мільярдаў укладанняў электроннай пошты, вэб-старонак і загружаных файлаў без якіх-небудзь зафіксаваных уцечак.

Сярод іншых ключавых высноў даследавання:

13% ізаляваных шкоднасных скрыптоў, адпраўленых па электроннай пошце, абышлі хаця б адзін сканер бяспекі на паштовым шлюзе.У спробах заразіць кампутары арганізацый зламыснікі выкарыстоўвалі 136 розных пашырэнняў файлаў.

77% выяўленых шкоднасных праграм былі дастаўлены па электроннай пошце, пры гэтым на загрузку з Інтэрнета прыходзілася толькі 13% з іх.

Найбольш распаўсюджанымі ўкладаннямі, якія выкарыстоўваюцца для дастаўкі шкоднасных праграм, былі дакументы (29%), архівы (28%), файлы .exe (21%) і электронныя табліцы (20%).

Найбольш распаўсюджанымі фішынгавымі прынадамі сталі лісты, звязаныя з Новым годам або бізнес-аперацыямі, напрыклад, з такімі тэмамі як "Заказ", "2021/2022", "Аплата", "Купля", "Заяўка" і "Рахунак".

«Сёння зламыснікі, якія займаюцца нізкаўзроўневымі атакамі, могуць праводзіць утоеныя напады і прадаваць атрыманы доступ арганізаваным групам кіберзлачынцаў, якія выкарыстоўваюць у сваёй дзейнасці праграмы-вымагальнікі. У выніку гэта прыводзіць да маштабных нападаў, якія могуць вывесці з ладу ІТ-сістэмы і прывесці да прыпынку працы ўсёй арганізацыі, - каментуе д-р Ен Пратт (Ian Pratt), глабальны кіраўнік аддзела бяспекі персанальных сістэм, HP Inc. - Арганізацыям варта засяродзіцца на памяншэнні паверхні нападаў і забеспячэнні хуткага аднаўлення працаздольнасці сваіх сістэм у выпадку іх кампраметацыі. Гэта азначае прытрымліванне прынцыпаў Zero Trust і ўвядзенне строгіх сістэм ідэнтыфікацыі, прадастаўленне мінімальных прывілеяў карыстальнікам і ізаляцыі прылад, пачынаючы з апаратнага ўзроўню».

Дадзеныя для даследавання былі сабраны адмыслоўцамі HP Wolf Security з віртуальных машын кліентаў у перыяд з кастрычніка па снежні 2021 гады.

bbabo.Net