TM_391

8 13|11|2023 #391 Η Check Point Software Technologies Ltd. δ ημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Οκτώβριο του 2023. Τον περασμένο μήνα το Trojan Remote Access (RAT) NJRat, το οποίο είναι γνω- στό ότι στοχεύει κυβερνητικές υπηρε- σίες και οργανισμούς σε όλη τη Μέση Ανατολή, μετακινήθηκε τέσσερις θέσεις από την έκτη στη δεύτερη. Οι ερευνητές ανέφεραν επίσης, μια νέα mal-spam εκ- στρατεία που περιλαμβάνει προηγμένο RAT AgentTesla και πως η εκπαίδευση παρέμεινε ο πιο στοχευμένος κλάδος. Τον περασμένο μήνα, το AgentTesla εθε- άθη να διανέμεται μέσω αρχείων αρχει- οθέτησης που περιείχαν ένα κακόβουλο extension Microsoft Compiled HTML Help (.CHM). Τα αρχεία παραδόθηκαν μέσω ηλεκτρονικού ταχυδρομείου ως .GZ ή .zip συνημμένα χρησιμοποιώντας ονόματα που σχετίζονται με πρόσφατες παραγγελίες και αποστολές, όπως – po- #######.gz / shipping documents.gz, σχεδιασμένα να δελεάζουν στόχους για τη λήψη του κακόβουλου λογισμικού. Μόλις εγκατασταθεί, το AgentTesla είναι ικανό να καταγράφει δεδομένα από το πρόχειρο, να αποκτά πρόσβαση στο σύ- στημα αρχείων και να μεταφέρει κρυφά κλεμμένα δεδομένα σε διακομιστή εντο- λών και ελέγχου (C&C). Όσον αφορά στις κορυφαίες οικογέ- νειες malware η Check Point επιση- μαίνει τα εξής: • Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (Malware as a Service - MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το Formbook συλλέγει διαπιστευτή- ρια από διάφορα προγράμματα περιήγη- σης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατε- βάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του. • To NJRat είναι ένα Trojan απομακρυ- σμένης πρόσβασης, που στοχεύει κυρί- ως κυβερνητικές υπηρεσίες και οργα- νισμούς στη Μέση Ανατολή. To Trojan εμφανίστηκε για πρώτη φορά το 2012 και έχει πολλαπλές δυνατότητες: λήψη πληκτρολογήσεων, πρόσβαση στην κά- μερα του θύματος, κλοπή διαπιστευτη- ρίων που είναι αποθηκευμένα σε προ- γράμματα περιήγησης, μεταφόρτωση και λήψη αρχείων, εκτέλεση χειρισμών διαδικασιών και αρχείων και προβολή της επιφάνειας εργασίας του θύματος. Το NJRat μολύνει τα θύματα μέσω επιθέσε- ων ηλεκτρονικού ψαρέματος (phishing) και λήψεων μέσω drive-by και διαδίδεται μέσω μολυσμένων κλειδιών USB ή δικτυ- ωμένων μονάδων δίσκου, με την υπο- στήριξη λογισμικού διακομιστή εντολών και ελέγχου (C&C). • Το Remcos είναι ένα Trojan απομακρυ- σμένης πρόσβασης (RAT) που πρωτοεμ- φανίστηκε στη φύση το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγρά- φων του Microsoft Office, τα οποία επι- συνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM, και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windows και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέ- δου προνόμια. Οι πιο «χτυπημένοι» κλάδοι: Τον πε- ρασμένο μήνα η Εκπαίδευση/Έρευνα παρέμεινε στην πρώτη θέση ως ο κλά- δος με τις περισσότερες επιθέσεις πα- γκοσμίως, ακολουθούμενος από τις Επικοινωνίες και την Κυβέρνηση/ Στρατιωτικό τομέα . Οι πλέον εκμεταλλεύσιμες ευπάθειες: Zyxel ZyWALL Command Injection: Υπάρχει ευπάθεια εισχώρησης εντολών στο Zyxel ZyWALL. Η επιτυχής εκμετάλ- λευση αυτής της ευπάθειας θα επέτρεπε στους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες εντολές λειτουρ- γικού συστήματος στο σύστημα που επηρεάζεται. Command Injection Over HTTP: Έχει αναφερθεί μια ευπάθεια command Injection μέσω HTTP. Ένας απομακρυ- σμένος επιτιθέμενος μπορεί να εκμεταλ- λευτεί αυτό το πρόβλημα στέλνοντας ένα ειδικά διαμορφωμένο αίτημα στο θύμα. Η επιτυχής εκμετάλλευση θα επέ- τρεπε στον «εισβολέα» να εκτελέσει αυ- θαίρετο κώδικα στον στόχο του. Web Servers Malicious URL Directory Traversal: Υπάρχει μια ευπάθεια στο directory traversal σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλ- μα επικύρωσης εισόδου σε έναν διακο- μιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμέ- νους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή. Τα πιο διαδεδομένα κακόβουλα λογι- σμικά στα κινητά: Τον περασμένο μήνα το Anubis παρέμεινε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογι- σμικό για κινητά, ακολουθούμενο από τα AhMyth και Hiddad . Check Point Τα πιο διαδεδομένα κακόβουλα λογισμικά του Οκτωβρίου