Skip to main content
9 February 2022 09:44

Η HP ξεσκεπάζει κυβερνοεπιθέσεις μέσω Excel

Η HP Inc. κυκλοφόρησε την πιο πρόσφατη παγκόσμια έκθεση HP Wolf Security Threat Insights, παρέχοντας ανάλυση των πραγματικών επιθέσεων στον κυβερνοχώρο. Απομονώνοντας απειλές που έχουν αποφύγει τα εργαλεία ανίχνευσης και έχουν φτάσει στα τελικά σημεία των χρηστών, το HP Wolf Security έχει συγκεκριμένες πληροφορίες για τις πιο πρόσφατες τεχνικές που χρησιμοποιούνται από εγκληματίες στον κυβερνοχώρο.

Η ερευνητική ομάδα απειλών της HP Wolf Security εντόπισε ένα κύμα επιθέσεων που χρησιμοποιούν πρόσθετα αρχεία Excel για τη διάδοση κακόβουλου λογισμικού, βοηθώντας τους εισβολείς να αποκτήσουν πρόσβαση σε στόχους και εκθέτοντας επιχειρήσεις και άτομα σε κλοπή δεδομένων και καταστροφικές επιθέσεις ransomware. Υπήρξε μια τεράστια εξαπλάσια αύξηση (+588%) στους εισβολείς που χρησιμοποιούσαν κακόβουλα πρόσθετα αρχεία Microsoft Excel (.xll) για να μολύνουν συστήματα σε σύγκριση με το τελευταίο τρίμηνο – μια τεχνική που βρέθηκε ιδιαίτερα επικίνδυνη καθώς απαιτεί μόνο ένα κλικ για να εκτελεστεί το κακόβουλο λογισμικό. Η ομάδα βρήκε επίσης διαφημίσεις για kit δημιουργίας .xll dropper και κακόβουλου λογισμικού σε υπόγειες αγορές, διευκολύνοντας τους άπειρους εισβολείς να ξεκινήσουν καμπάνιες.

Επιπλέον, μια πρόσφατη καμπάνια ανεπιθύμητης αλληλογραφίας QakBot χρησιμοποίησε αρχεία Excel για να εξαπατήσει στόχους, χρησιμοποιώντας παραβιασμένους λογαριασμούς email για να παραβιάσει κόμβους email και να απαντήσει με ένα συνημμένο κακόβουλο αρχείο Excel (.xlsb). Αφού παραδοθεί στα συστήματα, το QakBot εισχωρεί σε νόμιμες διαδικασίες των Windows για να αποφύγει τον εντοπισμό. Κακόβουλα αρχεία Excel (.xls) χρησιμοποιήθηκαν επίσης για τη διάδοση του τραπεζικού Trojan Ursnif σε ιταλόφωνες επιχειρήσεις και οργανισμούς του δημόσιου τομέα μέσω μιας κακόβουλης εκστρατείας ανεπιθύμητης αλληλογραφίας, με τους εισβολείς να παριστάνουν την ιταλική υπηρεσία ταχυμεταφορών BRT. Οι νέες καμπάνιες που διαδίδουν κακόβουλο λογισμικό Emotet χρησιμοποιούν πλέον το Excel αντί για αρχεία JavaScript ή Word.

Άλλες αξιοσημείωτες απειλές που απομονώθηκαν από την ομάδα της HP Wolf Security threat insight αποτελούν:
• Η επιστροφή της ΤΑ505? Η HP εντόπισε μια καμπάνια ηλεκτρονικού “ψαρέματος” μέσω email της MirrorBlast που μοιράζεται πολλές τακτικές, τεχνικές και διαδικασίες (TTP) με την TA505, μια ομάδα απειλών με οικονομικά κίνητρα, γνωστή για τεράστιες καμπάνιες ανεπιθύμητου κακόβουλου λογισμικού και πρόσβαση σε μολυσμένα συστήματα με χρήση ransomware. Η επίθεση στόχευε οργανισμούς με τον FlawedGrace Remote Access Trojan (RAT).
• Η ψεύτικη πλατφόρμα τυχερών παιχνιδιών που μολύνει τα θύματα με RedLine: Ανακαλύφθηκε ένας πλαστός ιστότοπος εγκατάστασης Discord, ο οποίος εξαπατά τους επισκέπτες να κατεβάσουν το RedLine infostealer και να κλέψουν τα διαπιστευτήριά τους.
• Η εναλλαγή ασυνήθιστων τύπων αρχείων εξακολουθεί να παρακάμπτει την ανίχνευση: Η ομάδα απειλών Aggah στόχευε οργανισμούς που μιλούν Κορεάτικα με κακόβουλα πρόσθετα αρχεία PowerPoint (.ppa) μεταμφιεσμένα ως παραγγελίες αγοράς, μολύνοντας συστήματα με Trojans απομακρυσμένης πρόσβασης. Το κακόβουλο λογισμικό PowerPoint είναι ασυνήθιστο, καθώς αποτελεί το 1% του κακόβουλου λογισμικού.

«Η κατάχρηση των νόμιμων λειτουργιών του λογισμικού για απόκρυψη από τα εργαλεία ανίχνευσης είναι μια κοινή τακτική για τους εισβολείς, όπως και η χρήση ασυνήθιστων τύπων αρχείων που μπορεί να επιτρέπονται πέρα από τις πύλες ηλεκτρονικού ταχυδρομείου. Οι ομάδες ασφαλείας πρέπει να διασφαλίσουν ότι δεν βασίζονται μόνο στον εντοπισμό και ότι συμβαδίζουν με τις πιο πρόσφατες απειλές, ενημερώνοντας ανάλογα τις άμυνές τους. Για παράδειγμα, με βάση την απότομη αύξηση των κακόβουλων εμφανίσεων .xll που βλέπουμε, προτρέπω τους διαχειριστές του δικτύου να διαμορφώσουν τις πύλες ηλεκτρονικού ταχυδρομείου για να αποκλείουν τα εισερχόμενα συνημμένα .xll, να επιτρέπουν μόνο πρόσθετα υπογεγραμμένα από αξιόπιστους συνεργάτες ή να απενεργοποιούν πλήρως τα πρόσθετα του Excel. » εξηγεί ο Alex Holland, Senior Malware Analyst, HP Wolf Security threat research team της HP Inc.

«Οι εισβολείς καινοτομούν συνεχώς για να βρουν νέες τεχνικές για να αποφύγουν τον εντοπισμό, επομένως είναι ζωτικής σημασίας οι επιχειρήσεις να σχεδιάζουν και να προσαρμόζουν τις άμυνές τους με βάση το τοπίο απειλών και τις επιχειρηματικές ανάγκες των χρηστών τους. Οι φορείς απειλών έχουν επενδύσει σε τεχνικές όπως η πειρατεία μέσω email, καθιστώντας πιο δύσκολο από ποτέ για τους χρήστες να ξεχωρίσουν φίλο από εχθρό.»

Τα ευρήματα βασίζονται σε δεδομένα από πολλά εκατομμύρια τελικά σημεία που εκτελούν το HP Wolf Security. Το HP Wolf Security παρακολουθεί κακόβουλο λογισμικό ανοίγοντας επικίνδυνες εργασίες σε μεμονωμένες, μίκρο-εικονικές μηχανές (micro-VMs) για να κατανοήσει και να καταγράψει την πλήρη αλυσίδα μόλυνσης, συμβάλλοντας στον μετριασμό απειλών που έχουν περάσει από άλλα εργαλεία ασφαλείας. Αυτό επέτρεψε στους πελάτες να κάνουν κλικ σε περισσότερα από 10 δισεκατομμύρια συνημμένα email, ιστοσελίδες και λήψεις χωρίς αναφερόμενες παραβιάσεις. Κατανοώντας καλύτερα τη συμπεριφορά του κακόβουλου λογισμικού στη φύση, οι ερευνητές και οι μηχανικοί του HP Wolf Security μπορούν να ενισχύσουν την προστασία της ασφάλειας τελικού σημείου και τη συνολική ανθεκτικότητα του συστήματος.

Άλλα βασικά ευρήματα στην έκθεση περιλαμβάνουν:
• Το 13% του κακόβουλου λογισμικού email που απομονώθηκε είχε παρακάμψει τουλάχιστον έναν σαρωτή πύλης email.
• Οι απειλές χρησιμοποίησαν 136 διαφορετικές επεκτάσεις αρχείων στις προσπάθειές τους να μολύνουν οργανισμούς.
• Το 77% του κακόβουλου λογισμικού που εντοπίστηκε παραδόθηκε μέσω email, ενώ οι λήψεις ιστού ήταν υπεύθυνες για το 13%.
• Τα πιο συνηθισμένα συνημμένα που χρησιμοποιήθηκαν για την παράδοση κακόβουλου λογισμικού ήταν έγγραφα (29%), αρχεία (28%), εκτελέσιμα αρχεία (21%), υπολογιστικά φύλλα (20%).
• Τα πιο συνηθισμένα θέλγητρα ηλεκτρονικού ψαρέματος σχετίζονταν με πρωτοχρονιάτικες ή επιχειρηματικές συναλλαγές όπως «Παραγγελία», «2021/2022», «Πληρωμή», «Αγορά», «Αίτημα» και «Τιμολόγιο».

«Σήμερα, παράγοντες χαμηλού επιπέδου απειλών μπορούν να πραγματοποιήσουν κρυφές επιθέσεις και να πουλήσουν πρόσβαση σε οργανωμένες ομάδες ransomware, οδηγώντας σε παραβιάσεις μεγάλης κλίμακας που θα μπορούσαν να ακρωτηριάσουν τα συστήματα πληροφορικής και να σταματήσουν τις λειτουργίες», σχολιάζει ο Dr. Ian Pratt, Global Head of Security for Personal Systems, της HP Inc.
«Οι οργανισμοί θα πρέπει να επικεντρωθούν στη μείωση της επιφάνειας της επίθεσης και να επιτρέψουν τη γρήγορη ανάκαμψη σε περίπτωση συμβιβασμού. Αυτό σημαίνει να ακολουθείτε Zero Trust αρχές και να εφαρμόζετε ισχυρή διαχείριση ταυτότητας, λιγότερα προνόμια και απομόνωση από το επίπεδο hardware. Για παράδειγμα, με την απομόνωση κοινών φορέων επίθεσης όπως email, προγράμματα περιήγησης ή λήψεις με χρήση μίκρο-εικονικοποίησης, κάθε πιθανό κακόβουλο λογισμικό ή εκμεταλλεύσεις που κρύβονται μέσα περιορίζονται, καθιστώντας τα αβλαβή».

Τεύχος 5

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ