TM_393

12 15|11|2023 #393 Η HP κ υκλοφόρησε την τριμηνιαία έκ- θεση HP Wolf Security Threat Insights Report , η οποία δείχνει ότι οι ακμάζου- σες αγορές κυβερνοεγκληματιών προ- σφέρουν στους κυβερνοεγκληματίες χαμηλού επιπέδου τα εργαλεία που χρει- άζονται για να παρακάμψουν την ανί- χνευση και να μολύνουν τους χρήστες. Με βάση δεδομένα από εκατομμύρια τελικά σημεία που εκτελούν το HP Wolf Security, τα βασικά ευρήματα περιλαμ- βάνουν: Η τελευταία πράξη του Houdini: Μια νέα εκστρατεία στόχευε σε επιχειρήσεις με πλαστά έγγραφα αποστολής που έκρυβαν κακόβουλο λογισμικό Vjw0rm JavaScript. Ο συγκεκαλυμμένος κώδικάς του, επέτρεψε στο κακόβουλο λογισμικό να ξεφύγει από τις άμυνες του ηλεκτρο- νικού ταχυδρομείου και να φτάσει στα τελικά σημεία. Η επίθεση που αναλύθηκε παρέδωσε το Houdini, ένα RAT VBScript 10 ετών. Αυτό δείχνει ότι, με τα κατάλλη- λα προσυσκευασμένα εργαλεία από τις αγορές ηλεκτρονικού εγκλήματος, οι χά- κερς μπορούν ακόμα να χρησιμοποιούν αποτελεσματικά κακόβουλο λογισμικό παλαιάς τεχνολογίας κάνοντας κατάχρη- ση των χαρακτηριστικών scripting που είναι ενσωματωμένα στα λειτουργικά συστήματα. Οι εγκληματίες του κυβερνοχώ- ρου αναπτύσσουν επιθέσεις τύπου "Jekyll and Hyde": Η HP ανακάλυψε μια εκστρατεία Parallax RAT που εκκινεί δύο νήματαόταν ο χρήστης ανοίγει ένα κακόβουλο σαρωμένο τιμολόγιο, σχε- διασμένο για να ξεγελάσει τους χρή- στες. Το νήμα "Jekyll" ανοίγει ένα παρα- πλανητικό τιμολόγιο που αντιγράφεται από ένα νόμιμο ηλεκτρονικό πρότυπο, μειώνοντας την υποψία, ενώ το νήμα "Hyde" εκτελεί το κακόβουλο λογισμι- κό στο παρασκήνιο. Αυτή η επίθεση θα ήταν εύκολο να πραγματοποιηθεί από φορείς απειλών, καθώς προσυσκευα- σμένα κιτ Parallax έχουν διαφημιστεί σε φόρουμ hacking για 65 δολάρια ανά μήνα. Ο Alex Holland, Senior Malware Analyst στην ομάδα έρευνας απειλών της HP Wolf Security, σχολίασε σχετικά: «Οι δρά- στες απειλών σήμερα μπορούν εύκολα να αγοράσουν προσυσκευασμένα, φιλι- κά προς τον χρήστη πακέτα κακόβουλου λογισμικού, τα οποία μολύνουν τα συ- στήματα με ένα μόνο κλικ. Αντί να δημι- ουργούν τα δικά τους εργαλεία, οι εγκλη- ματίες του κυβερνοχώρου χαμηλού επιπέδου μπορούν να έχουν πρόσβαση σε κιτ που χρησιμοποιούν εγχώριες τα- κτικές. Αυτές οι μυστικές επιθέσεις στη μνήμη είναι συχνά πιο δύσκολο να εντο- πιστούν λόγω των εξαιρέσεων των εργα- λείων ασφαλείας για χρήση από διαχειρι- στές, όπως η αυτοματοποίηση». Η HP Wolf Security εκτελεί επικίνδυνες εργασίες σε απομονωμένες, ενισχυμένες με hardware virtual μηχανές που εκτε- λούνται στο τελικό σημείο για την προ- στασία των χρηστών, χωρίς να επηρεάζε- ται η παραγωγικότητά τους. Καταγράφει επίσης λεπτομερή ίχνη των προσπαθειών μόλυνσης. Η τεχνολογία απομόνωσης εφαρμογών της HP μετριάζει τις απειλές που ξεφεύγουν από άλλα εργαλεία ασφα- λείας και παρέχει μοναδικές πληροφορίες σχετικά με τις τεχνικές εισβολής και τη συμπεριφορά των απειλών. Κυβερνητικοί φορείς στη Μέση Ανατολή είναι ο νέος στόχος νέων εκστρατειών phishing που έχουν σχεδιαστεί για να παρα- δώσουν το κακόβουλο πρόγραμμα IronWind. Η δραστηριότητα, η οποία έχει εντοπιστεί αρκετές φορές μετα- ξύ Ιουλίου και Οκτωβρίου, αποδόθηκε από την εταιρεία κυβερ- νοασφάλειας Proofpoint στον φορέα απειλών TA402, ο οποίος είναι επίσης γνωστός ως Molerats, Gaza Cyber Gang, και μοιρά- ζεται πολλά κοινά χαρακτηριστικά με την ομάδα hacker, APT- C-23 (γνωστή και ως Arid Viper), που υποστηρίζει τη Χαμάς. «Όταν πρόκειται για παράγοντες απειλής που είναι προσκεί- μενοι σε κρατικές οντότητες, η Βόρεια Κορέα, η Ρωσία, η Κίνα και το Ιράν συγκεντρώνουν γενικά τη μερίδα του λέοντος της προσοχής», δήλωσε ο Joshua Miller, ερευνητής απειλών στην Proofpoint στο The Hacker News. «Όμως η TA402, μια ομάδα προηγμένης επίμονης απειλής (APT) της Μέσης Ανατολής, η οποία ιστορικά δραστηριοποιείται ως προς το συμφέρον των Παλαιστινίων, έχει αποδειχθεί σταθερά ότι είναι ένας φορέας απειλής ικανός για εξαιρετικά εξελιγμένη κατασκοπεία στον κυ- βερνοχώρο με έμφαση στη συλλογή πληροφοριών». Η χρήση του IronWind αποτελεί μια καινοτομία σε σχέση με προηγούμενες επιθέσεις, οι οποίες συνδέονταν με τη διάδο- ση μιας «κερκόπορτας» με την ονομασία NimbleMamba σε εισβολές που στόχευαν κυβερνήσεις της Μέσης Ανατολής και think tanks. Καμπάνια phishing στο φόντο του πολέμου Η HP για τις σύγχρονες τάσεις κυβερνοασφάλειας