TM_204

10 12|1|2023 #204 WatchGuard: Οι απειλές στο διαδίκτυο σήμερα Στην πρόσφατη έκθεση για την ασφάλεια το υ Διαδικτύου, Internet Security Report, της WatchGuard® Technologies , αναλύ- ονται οι κορυφαίες τάσεις κακόβουλου λογισμικού και οι σημερινές απειλές στην ασφάλεια τελικού σημείου και δικτύου κατά το 3ο τρίμηνο του 2022. Τα βασικά ευρήματα αποκαλύπτουν ότι η κορυφαία απειλή κακόβουλου λογισμικού για το Q3 εντοπίστηκε μέσω αποκρυπτο- γραφημένων συνδέσεων, οι επιθέσεις ICS διατηρούν τη δημοτικότητά τους, το κα- κόβουλο λογισμικό LemonDuck εξελίσσε- ται πέρα από την παράδοση cryptominer, μια μηχανή εξαπάτησης του Minecraft παραδίδει ένα κακόβουλο ωφέλιμο φορ- τίο (payload), και πολλά άλλα. Άλλα βασικά ευρήματα της Έκθεσης Ασφάλειας Διαδικτύου για το Q3 είναι: Η συντριπτική πλειονότητα κακόβου- λου λογισμικού φτάνει μέσω κρυπτο- γραφημένων συνδέσεων: Παρότι το Agent.IIQ κατατάχθηκε στην 3η θέση της λίστας με τα δέκα κορυφαία κακόβουλα προγράμματα για το 3ο τρίμηνο, βρέθη- κε επίσης και στην κορυφή της λίστας με τις κρυπτογραφημένες συνδέσεις, καθώς σχεδόν όλες οι ανιχνεύσεις Agent.IIQ αυ- τού του διαστήματος προέρχονται από κρυπτογραφημένες συνδέσεις. Τα συστήματα ICS και SCADA παρα- μένουν ελκυστικοί στόχοι για επιθέ- σεις: Νέα στη λίστα των δέκα κορυφαί- ων επιθέσεων δικτύου για το Q3 είναι μια επίθεση τύπου SQL injection που επηρέασε αρκετούς προμηθευτές. Μια άλλη σοβαρή εκμετάλλευση στο Q3, η οποία εμφανίστηκε επίσης στις πέντε κορυφαίες επιθέσεις δικτύου κατ' όγκο, αφορούσε τις εκδόσεις λογισμικού U.motion Builder της Schneider Electric 1.2.1 και προγενέστερες. Οι ευπάθειες του Exchange server συ- νεχίζουν να αποτελούν κίνδυνο: Το πιο πρόσφατο CVE (Common Vulnerabilities and Exposures) ανάμεσα στις νέες υπο- γραφές που ανακάλυψε το WatchGuard Threat Lab αυτό το τρίμηνο, CVE-2021- 26855, είναι μια ευπάθεια του Microsoft Exchange Server Remote Code Execution (RCE) και προορίζεται για διακομιστές εσωτερικής εγκατάστασης. Η ευπάθεια αυτού του RCE βαθμολογήθηκε με 9.8 CVE, αφού είναι γνωστό ότι αποτελεί προ- ϊόν εκμετάλλευσης. Καμπανάκι κινδύνου πρέπει να σημάνει η ημερομηνία και η σοβαρότητα του CVE-2021-26855, καθώς θεωρείται ένα από «τα έπαθλα» της ομά- δας HAFNIUM. Φορείς απειλών στοχεύουν όσους ανα- ζητούν δωρεάν λογισμικό: Το Threat Lab εξέτασε για το Q3 ένα δείγμα του, που βρέθηκε σε μια μηχανή εξαπάτησης για το δημοφιλές παιχνίδι Minecraft. Ενώ το αρχείο που μοιράζεται κυρίως μέσω Discord ισχυρίζεται ότι πρόκειται για το Minecraft Vape V4 Beta, φαίνεται ότι δεν περιλαμβάνει μόνο αυτό. Το Agent.FZUW έχει κάποιες ομοιότητες με το Variant. Fugrafa, αλλά αντί να εγκαθίσταται μέσω ενός cheat engine, το ίδιο το αρχείο προ- σποιείται ότι έχει παραβιάσει λογισμικό. Το Threat Lab ανακάλυψε ότι αυτό το συγκεκριμένο δείγμα έχει συνδέσεις με το Racoon Stealer, μια καμπάνια hacking κρυπτονομισμάτων που χρησιμοποιείται για την κλοπή πληροφοριών λογαρια- σμού από υπηρεσίες ανταλλαγής κρυ- πτονομισμάτων. Το κακόβουλο λογισμικό LemonDuck εξελίσσεται πέρα από την παράδοση cryptominer: Ακόμη και με μια πτώση στους συνολικά αποκλεισμένους ή πα- ρακολουθούμενους τομείς κακόβουλου λογισμικού για το Q3 του 2022, είναι εύ- κολο να διαπιστωθεί ότι οι επιθέσεις σε ανυποψίαστους χρήστες εξακολουθούν να είναι υψηλές. Με τρεις νέες προσθή- κες στη λίστα κορυφαίων domains κα- κόβουλου λογισμικού – εκ των οποίων δύο ήταν πρώην domain του κακόβου- λου λογισμικού LemonDuck και του Emotet – το Q3 ανέδειξε περισσότερα κακόβουλα λογισμικά και ιστοτόπους με κακόβουλα λογισμικά. Η κρυπτογράφηση της JavaScript σε kit εκμετάλλευσης: Η υπογρα- φή 1132518, μια γενική ευπάθεια για τον εντοπισμό επιθέσεων συσκότισης JavaScript εναντίον προγραμμάτων περι- ήγησης, ήταν η μόνη νέα προσθήκη στη λίστα με τις πιο διαδεδομένες υπογραφές επιθέσεων δικτύου αυτό το τρίμηνο. Η JavaScript είναι ένας κοινός φορέας για επιθέσεις σε χρήστες και οι παράγοντες απειλών χρησιμοποιούν kit εκμετάλλευ- σης που βασίζονται σε αυτή – για επιθέ- σεις όπως είναι η κακόβουλη διαφήμιση, το watering hole και το phishing. Όσο τα προγράμματα περιήγησης βελτιώνουν συνεχώς τα τείχη προστασίας τους, τόσο και οι εισβολείς ισχυροποιούν την ικανό- τητά τους να κρυπτογραφούν τον κακό- βουλο κώδικα JavaScript. Ανατομία εμπορευματοποιημένων επιθέσεων adversary-in-the-middle: Οι αντίπαλοι στον κυβερνοχώρο το έχουν καταστήσει σαφές με την τα- χεία άνοδο και την εμπορευματοποί- ηση των επιθέσεων adversary-in-the- middle (AitM) και η βαθιά κατάδυση του Threat Lab στο EvilProxy, το κορυ- φαίο περιστατικό ασφαλείας του Q3, δείχνει πόσο οι κακόβουλοι παράγο- ντες αρχίζουν να περιστρέφονται σε πιο εξελιγμένες τεχνικές AitM. Όπως η προσφορά Ransomware ως Υπηρεσία, που έγινε δημοφιλής τα τελευταία χρό- νια, η κυκλοφορία του AitM Toolkit τον Σεπτέμβριο του 2022 με την ονομασία EvilProxy μείωσε σημαντικά το φράγμα εισόδου για αυτό που προηγουμένως ήταν μια εξελιγμένη τεχνική επίθεσης. Νέες ομάδες ransomware και εισβο- λέων: Επιπρόσθετα για το Q3, το Threat Lab ανακοινώνει μια νέα, συντονισμένη προσπάθεια παρακολούθησης των τρε- χουσών ομάδων εισβολέων ransomware και δημιουργίας των δυνατοτήτων πλη- ροφοριών απειλών για την παροχή πε- ρισσότερων πληροφοριών σχετικά με ransomware σε μελλοντικές αναφορές.