Útočníci zneužívali tzv. „Cat-Phishing“, falešné faktury, či legitimní mechanismus BITS

Zpráva poskytuje analýzu skutečných kybernetických útoků a pomáhá organizacím držet krok s nejnovějšími metodami, které kyberzločinci používají v rychle se měnícím prostředí. Na základě analýzy dat z milionů zařízení běžících na HP Wolf Security zjistili výzkumníci HP následující:

• Útočníci využívají otevřené přesměrování uživatele, tzv. „Cat-Phishing“: v pokročilé kampani WikiLoader útočníci využili k obcházení detekčních systémů otevřeného přesměrování na webových stránkách. Uživatelé byli nasměrováni na důvěryhodné stránky, často prostřednictvím reklamních formátů, a poté byli přesměrováni na škodlivé stránky – což uživatelům téměř znemožňovalo detekci změny.
• Život v „pozadí“: několik kampaní zneužilo službu Windows Background Intelligent Transfer Service (BITS) – legitimní mechanismus používaný programátory a systémovými administrátory pro stahování nebo nahrávání souborů na webové servery a sdílené složky. Technika „Living-off-the-Land“ tak pomohla útočníkům zůstat neodhaleni, protože použili službu BITS k downloadu škodlivých souborů.
• Falešné faktury vedoucí k útokům pomocí HTML: HP identifikovalo útočníky, kteří maskovali malware uvnitř HTML souborů vydávaných za faktury od dodavatelů. Ty po otevření ve webovém prohlížeči spustily řetězec událostí, při nichž byl nasazen open-source malware AsyncRAT. Zajímavé je, že útočníci věnovali malou pozornost designu návnady, což naznačuje, že útok byl vytvořený s minimální investicí času a zdrojů.

Patrick Schläpfer, hlavní výzkumník hrozeb v týmu výzkumu hrozeb společnosti HP Wolf Security, to okomentoval následovně: „Zacílení na firmy pomocí falešných faktur je jedním z nejstarších triků, ale může být stále velmi účinné, a tedy lukrativní. Zaměstnanci finančních oddělení jsou zvyklí přijímat faktury e-mailem, takže je pravděpodobnější, že je otevřou. Pokud jsou útočníci úspěšní, mohou rychle zpeněžit získaný přístup prostřednictvím prodeje kybernetickým brokerům nebo nasazením ransomwaru.“

Díky izolaci hrozeb, které se vyhnuly detekčním nástrojům, ale stále umožňují bezpečné „odpálení“ malwaru, získává HP Wolf Security konkrétní přehled o nejnovějších technikách používaných kyberzločinci. Dosud uživatelé HP Wolf Security klikli na více než 40 miliard e-mailových příloh, webových stránek a stažených souborů bez hlášených narušení. Zpráva podrobně popisuje, jak kyberzločinci mění metody útoků, aby obešli bezpečnostní politiky a nástroje pro detekci. Aktuální data ukazují že:

• Nejméně 12 % e-mailových hrozeb identifikovaných nástrojem HP Sure Click obešlo jeden nebo více skenerů na e-mailových branách.
• Nejčastějšími vektory hrozeb byly v posledním čtvrtletí přílohy e-mailů (53 %), stahování z prohlížečů (25 %) a další vektory infekce, jako jsou vyměnitelná úložiště (například USB flash disky) a sdílené soubory (22 %).
• V tomto čtvrtletí spoléhalo nejméně 65 % hrozeb spojených s dokumenty na spuštění kódu, nikoli na makra.

Ian Pratt globální šéf bezpečnosti osobních systémů v HP Inc., uvedl: „Techniky využívající existující legitimní nástroje odhalují základní nedostatky přístupu spočívajícího ve spoléhání se pouze na detekci. Protože útočníci používají legitimní nástroje, je obtížné odhalit hrozby, aniž by se objevilo mnoho falešných poplachů. Omezení hrozeb poskytuje ochranu i tehdy, když detekce selže; zabraňuje úniku nebo zničení uživatelských dat či přihlašovacích údajů a brání setrvání útočníků v systému. Proto by organizace měly přistupovat k bezpečnosti systematicky a komplexně, izolovat a omezovat vysoce rizikové aktivity, což povede ke zúžení možností pro útočníky.“

Data byla získána od zákazníků (HP Wolf Security kteří s jejich sběrem vyjádřili souhlas) od ledna do března 2024.