Zpráva HP Wolf Security (2024 Q1) - aktuálně využívané metody kyberútoků

31. 5. 2024 07:00    Rubrika: Ostatní    Autor: TZ

Společnost HP Inc. zveřejňuje svou čtvrtletní zprávu HP Wolf Security Threat Insights. Ta ukazuje, že útočníci aktuálně zneužívají otevřené přesměrování, falešné faktury a techniky využívající regulérní prostředky systému. Zpráva poskytuje analýzu skutečných kybernetických útoků a pomáhá organizacím držet krok s nejnovějšími metodami, které kyberzločinci používají v rychle se měnícím prostředí.

Na základě analýzy dat z milionů zařízení běžících na HP Wolf Security zjistili výzkumníci HP následující:

• Útočníci využívají otevřené přesměrování uživatele, tzv. "Cat-Phishing": v pokročilé kampani WikiLoader útočníci využili k obcházení detekčních systémů otevřeného přesměrování na webových stránkách. Uživatelé byli nasměrováni na důvěryhodné stránky, často prostřednictvím reklamních formátů, a poté byli přesměrováni na škodlivé stránky – což uživatelům téměř znemožňovalo detekci změny.
• Život v „pozadí“: několik kampaní zneužilo službu Windows Background Intelligent Transfer Service (BITS) – legitimní mechanismus používaný programátory a systémovými administrátory pro stahování nebo nahrávání souborů na webové servery a sdílené složky. Technika "Living-off-the-Land" tak pomohla útočníkům zůstat neodhaleni, protože použili službu BITS k downloadu škodlivých souborů.
• Falešné faktury vedoucí k útokům pomocí HTML: HP identifikovalo útočníky, kteří maskovali malware uvnitř HTML souborů vydávaných za faktury od dodavatelů. Ty po otevření ve webovém prohlížeči spustily řetězec událostí, při nichž byl nasazen open-source malware AsyncRAT. Zajímavé je, že útočníci věnovali malou pozornost designu návnady, což naznačuje, že útok byl vytvořený s minimální investicí času a zdrojů.

Díky Izolací hrozeb, které se vyhnuly detekčním nástrojům, ale stále umožňují bezpečné „odpálení“ malwaru, získává HP Wolf Security konkrétní přehled o nejnovějších technikách používaných kyberzločinci. Dosud uživatelé HP Wolf Security klikli na více než 40 miliard e-mailových příloh, webových stránek a stažených souborů bez hlášených narušení. Zpráva podrobně popisuje, jak kyberzločinci mění metody útoků, aby obešli bezpečnostní politiky a nástroje pro detekci. Aktuální data ukazují že:

• Nejméně 12 % e-mailových hrozeb identifikovaných nástrojem HP Sure Click obešlo jeden nebo více skenerů na e-mailových branách.
• Nejčastějšími vektory hrozeb byly v posledním čtvrtletí přílohy e-mailů (53 %), stahování z prohlížečů (25 %) a další vektory infekce, jako jsou vyměnitelná úložiště (například USB flash disky) a sdílené soubory (22 %).
• V tomto čtvrtletí spoléhalo nejméně 65 % hrozeb spojených s dokumenty na spuštění kódu, nikoli na makra.

HP Wolf Security spouští rizikové úkoly v izolovaných, hardwarem vynucených, jednorázových virtuálních strojích běžících na koncových zařízeních. Dále zachytává podrobné stopy pokusů o infekci. Technologie izolace aplikací od HP zmírňuje hrozby, které se vyhnou jiným bezpečnostním nástrojům, a poskytuje tak vhled do technik narušení a chování útočníků.

Data byla získána od zákazníků (HP Wolf Security kteří s jejich sběrem vyjádřili souhlas) od ledna do března 2024.