Η ερευνητική ομάδα απειλών του HP Wolf Security ανακάλυψε στοιχεία ότι οι εγκληματίες του κυβερνοχώρου κινητοποιούνται γρήγορα για να αξιοποιήσουν νέες ευπάθειες «ημέρας μηδέν». Οι επιθέσεις με στόχο το zero-day CVE-2021-40444 – μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα που επιτρέπει την κακόβουλη χρήση της μηχανής περιήγησης MSHTML χρησιμοποιώντας έγγραφα του Microsoft Office – καταγράφηκαν για πρώτη φορά από την HP στις 8 Σεπτεμβρίου, μια εβδομάδα πριν από την έκδοση της ενημέρωσης κώδικα στις 14 Σεπτεμβρίου.
Μέχρι τις 10 Σεπτεμβρίου – μόλις τρεις ημέρες μετά τη δημοσίευση των τεχνικών λεπτομερειών της απειλής – η ερευνητική ομάδα απειλών της HP εντόπισε scripts δημοσιευμένα στο GitHub που σχεδιάστηκαν για να επιτίθονται αυτόματα στην αδυναμία. Εφόσον το σύστημα δεν έχει ενημερωθεί, η ευπάθεια επιτρέπει στους εισβολείς να το παραβιάσουν με ελάχιστες ενέργειες από τον χρήστη. Για τη μεταφορά του το κακόβουλο λογισμικό χρησιμοποιεί ένα συμπιεσμένο αρχείο και εγκαθίσταται μέσω ενός εγγράφου του Office. Οι χρήστες δεν χρειάζεται να ανοίξουν το αρχείο ή να ενεργοποιήσουν τις μακροεντολές, η εμφάνιση του απλά στο παράθυρο προεπισκόπησης του File Explorer αρκεί για να ξεκινήσει η επίθεση, την οποία συχνά ο χρήστης δεν αντιλαμβάνεται. Μόλις η συσκευή παραβιαστεί, οι εισβολείς μπορούν να ανοίξουν backdoors στο εταιρικό δίκτυο και στη συνέχεια να πουλήσουν τα στοιχεία πρόσβασης σε ομάδες ransomware.
Άλλες αξιοσημείωτες απειλές που απομονώθηκαν από την ομάδα πληροφοριών απειλών του HP Wolf Security περιλαμβάνουν:
- Αύξηση των εγκληματιών του κυβερνοχώρου που χρησιμοποιούν επώνυμους παρόχους Cloud και ιστοσελίδων για τη φιλοξενία κακόβουλου λογισμικού: Μια πρόσφατη καμπάνια της GuLoader φιλοξενούσε το Remcos Remote Access Trojan (RAT) σε μεγάλες πλατφόρμες όπως το OneDrive για να αποφύγει τα συστήματα ανίχνευσης εισβολών και να περάσει τους ελέγχους έμπιστων συστημάτων. Το HP Wolf Security ανακάλυψε επίσης πολλές οικογένειες κακόβουλων προγραμμάτων που φιλοξενούνται σε πλατφόρμες κοινωνικών μέσων παιχνιδιών όπως το Discord.
- Κακόβουλο λογισμικό JavaScript που διαφεύγει από προηγούμενα εργαλεία ανίχνευσης: Μια καμπάνια που διαδίδει διάφορα JavaScript RATs εξαπλώνεται μέσω κακόβουλων συνημμένων ηλεκτρονικού ταχυδρομείου. Τα προγράμματα λήψης JavaScript επιτυγχάνουν χαμηλότερα ποσοστά ανίχνευσης από τα προγράμματα λήψης του Office ή τα δυαδικά αρχεία. Τα RATs είναι όλο και πιο συνηθισμένα καθώς οι επιτιθέμενοι στοχεύουν να κλέψουν διαπιστευτήρια εταιρικών λογαριασμών ή πορτοφόλια κρυπτονομισμάτων.
- Στοχευμένη καμπάνια βρέθηκε να παριστάνει το ταμείο Εθνικής Κοινωνικής Ασφάλισης της Ουγκάντα: Οι επιτιθέμενοι χρησιμοποίησαν το “typosquatting” – χρησιμοποιώντας μια πλαστή διεύθυνση ιστού παρόμοια με την επίσημη σελίδα του φορέα – για να προσελκύσουν θύματα σε έναν ιστότοπο που περιείχε ένα κακόβουλο έγγραφο του Word. Στη συνέχεια χρησιμοποιώντας μακροεντολές εκτελούσαν ένα PowerShell script που διέκοπτε την καταγραφή ασφαλείας και απέφευγε τη δυνατότητα ανίχνευσης του Windows Antimalware Scan.
- Η αλλαγή σε αρχεία HTA επιτρέπει τη διάδοση κακόβουλου λογισμικού με ένα μόνο κλικ: Το Trickbot Trojan μεταφέρεται πλέον μέσω αρχείων HTA (HTML application), τα οποία αναπτύσσουν το κακόβουλο λογισμικό μόλις ανοίξει το συνημμένο ή το συμπιεσμένο αρχείο που το περιέχει. Ως ασυνήθιστος τύπος αρχείου, τα κακόβουλα αρχεία HTA είναι λιγότερο πιθανό να εντοπιστούν από εργαλεία ανίχνευσης.
«Ο μέσος χρόνος για μια επιχείρηση να εφαρμόσει, να δοκιμάσει και να αναπτύξει πλήρως τις ενημερώσεις κώδικα με τους κατάλληλους ελέγχους είναι 97 ημέρες, δίνοντας στους εγκληματίες του κυβερνοχώρου την ευκαιρία να εκμεταλλευτούν αυτό το «παράθυρο ευπάθειας». Ενώ αρχικά μόνο οι εξαιρετικά ικανοί χάκερ θα μπορούσαν να το εκμεταλλευτούν, τα αυτοματοποιημένα scripts έχουν μειώσει τον πήχη δυσκολίας, καθιστώντας αυτόν τον τύπο επίθεσης προσιτό σε παράγοντες απειλών με λιγότερες γνώσεις και πόρους. Αυτό αυξάνει σημαντικά τον κίνδυνο για τις επιχειρήσεις, καθώς οι ευπάθειες «ημέρας μηδέν» εμπορευματοποιούνται και διατίθενται στη μαζική αγορά σε χώρους όπως υπόγεια φόρουμ», εξηγεί ο Alex Holland, Senior Malware Analyst της ερευνητικής ομάδας απειλών του HP Wolf Security, της HP Inc. «Αυτά τα πρωτοποριακά εργαλεία επιθέσεων τείνουν να είναι αποτελεσματικά στην αποφυγή εργαλείων ανίχνευσης, καθώς οι υπογραφές εντοπισμού μπορεί να είναι ελλιπείς και να ξεπερνούνται γρήγορα λόγω των μεταβολών στο εύρος λειτουργικότητας τους. Αναμένουμε από τους φορείς απειλών να υιοθετήσουν το CVE-2021-40444 ως μέρος του οπλοστασίου τους και ενδεχομένως να αντικαταστήσουν ακόμη και κοινά εργαλεία που χρησιμοποιούνται για την απόκτηση αρχικής πρόσβασης σε συστήματα σήμερα, όπως για παράδειγμα αυτά που στοχεύουν το Equation Editor».
«Παρατηρούμε επίσης ότι μεγάλες πλατφόρμες όπως το OneDrive επιτρέπουν στους χάκερ να διεξάγουν επιθέσεις «flash in the pan». Παρόλο που σε γενικές γραμμές το κακόβουλο λογισμικό που φιλοξενείται σε αυτές τις πλατφόρμες διαγράφεται γρήγορα, αυτό δεν αποθαρρύνει τους επιτιθέμενους επειδή συχνά μπορούν να επιτύχουν τον στόχο τους να παραδώσουν κακόβουλο λογισμικό στις λίγες ώρες που είναι ζωντανοί οι σύνδεσμοι», συνεχίζει
ο Holland. «Κάποιοι παράγοντες απειλών αλλάζουν το script ή τον τύπο αρχείου που χρησιμοποιούν κάθε λίγους μήνες. Τα κακόβουλα αρχεία JavaScript και HTA δεν είναι κάτι νέο, αλλά εξακολουθούν να φτάνουν στα εισερχόμενα των εργαζομένων, θέτοντας την επιχείρηση σε κίνδυνο. Μια εκστρατεία διέδωσε το Vengeance Justice Worm, το οποίο μπορεί να εξαπλωθεί σε άλλα συστήματα στο τοπικό δίκτυο και σε μονάδες USB».
Τα ευρήματα βασίζονται σε δεδομένα από εκατομμύρια τερματικά σημεία που εκτελούν το HP Wolf Security. Το HP Wolf Security παρακολουθεί τα κακόβουλα λογισμικά εκτελώντας επικίνδυνες εργασίες σε μεμονωμένες, μικρο εικονικές μηχανές (micro VMs) για να κατανοήσει και να καταγράψει την πλήρη αλυσίδα μόλυνσης, συμβάλλοντας στην απομόνωση των απειλών που διαφεύγουν από άλλα εργαλεία ασφαλείας. Αυτό επέτρεψε στους πελάτες να κάνουν κλικ σε πάνω από 10 δισεκατομμύρια συνημμένα email, ιστοσελίδες και λήψεις χωρίς αναφερόμενες παραβιάσεις. Κατανοώντας καλύτερα τη συμπεριφορά του κακόβουλου λογισμικού στην πράξη, οι ερευνητές και οι μηχανικοί του HP Wolf Security μπορούν να ενισχύσουν την προστασία της ασφάλειας των τελικών σημείων και τη συνολική ανθεκτικότητα των συστημάτων.