WatchGuard аналізує комерційні атаки Adversary-in-the-Middle, набори експлойтів на основі JavaScript і зловмисне програмне забезпечення, пов’язане з Gothic Panda, у Звіті про безпеку в Інтернеті Q3 (ISR). Найбільші загрози надсилалися лише через зашифровані з’єднання HTTPS.
Незадовго до кінця року компанія WatchGuard Technologies опублікувала свій останній звіт про безпеку в Інтернеті (ISR). Тут у звичайний спосіб докладно описано найважливіші тенденції зловмисного програмного забезпечення, а також актуальні методи атак на мережі та кінцеві точки. Висновки дослідників WatchGuard Threat Lab показують, що найбільша загроза зловмисного програмного забезпечення за третій квартал 2022 року надсилалася виключно через зашифровані з’єднання.
Зловмисники використовують HTTPS
Також почастішали атаки на системи ICS та SCADA. Гравці комп’ютерних ігор також знаходяться в зоні ризику, оскільки в чіт-движку Minecraft було виявлено зловмисне корисне навантаження. ISR також містить різноманітну іншу інформацію та приклади поточної загрозливої ситуації.
«Ми не можемо наголосити на важливості перевірки з’єднань HTTPS: організації обов’язково повинні ввімкнути відповідну функцію безпеки, навіть якщо для цього потрібні певні налаштування та правила винятків. Оскільки більшість зловмисного програмного забезпечення надходить через зашифрований HTTPS. Якщо цей вектор атаки залишити без контролю, загрози будь-якого роду широко відкриті», — сказав Корі Нахрайнер, керівник відділу безпеки WatchGuard Technologies. «Також слід приділити більше уваги серверам Exchange або системам управління SCADA. Як тільки для них буде доступний патч, важливо негайно застосувати це оновлення та оновити програму. Зловмисники виграють від будь-якої компанії, яка ще не виправила вразливості».
Ключові висновки звіту про безпеку в Інтернеті за третій квартал
Результати звіту про безпеку в Інтернеті Q3 -ISR (Зображення: WatchGuard).
Переважна більшість шкідливих програм надходить через зашифровані з’єднання
Незважаючи на те, що зловмисне програмне забезпечення Agent.IIQ посідає третє місце в звичайному списку 2022 найпопулярніших зловмисних програм за період з липня по вересень 10 року, воно опинилося на першому місці серед зашифрованих шкідливих програм. Оскільки всі виявлення Agent.IIQ було виявлено в підключеннях HTTPS. Як показує аналіз, 1 відсотки всіх шкідливих програм надходять через безпечні з’єднання, але лише 82 відсотків незашифровані. Якщо трафік HTTPS не перевіряється на Firebox, існує висока ймовірність того, що значна частина зловмисного програмного забезпечення залишиться непоміченою. У цьому випадку компанії можуть лише сподіватися, що ефективний захист кінцевої точки буде реалізовано, щоб принаймні мати шанс перехопити зловмисне програмне забезпечення десь ще в так званому ланцюжку кіберзнищення.
Системи ICS і SCADA залишаються популярними об’єктами атак
Новинкою в списку десяти найпоширеніших мережевих атак третього кварталу 2022 року є атака типу SQL-ін’єкції, яка вразила відразу кількох провайдерів. Однією з таких компаній є Advantech, чий портал WebAccess забезпечує доступ до систем SCADA у різноманітних критичних інфраструктурах. Інша серйозна атака в третьому кварталі, яка також потрапила до 5 найбільших мережевих загроз, торкнулася програмного забезпечення U.motion Builder від Schneider Electric версії 1.2.1 і раніших. Це чітка ознака того, що зловмисники все ще активно намагаються скомпрометувати системи, де це можливо.
Уразливості серверів Exchange продовжують становити небезпеку
Остання вразливість CVE (CVE-2021-26855), виявлена Threat Lab, впливає на віддалене виконання коду Microsoft Exchange Server (RCE) на локальних серверах. Відомо, що цю вразливість RCE, яка отримала оцінку CVE 9,8, використовували. Дата та серйозність цієї вразливості також змушують сісти й звернути увагу, оскільки це вразливість, яку використовує група HAFNIUM. Хоча більшість постраждалих серверів Exchange, можливо, вже виправлено, деякі все ще вразливі та під загрозою.
Зловмисники, націлені на користувачів безкоштовного програмного забезпечення
Подальші висновки Звіту про безпеку в Інтернеті Q3 -ISR (Зображення: WatchGuard).
Троян Fugrafa завантажує зловмисне програмне забезпечення, яке впроваджує шкідливий код. У третьому кварталі 3 року аналітики WatchGuard досліджували варіант, знайдений у чіт-движку для популярної гри Minecraft. Файл, який в основному поширювався на Discord, видається за Minecraft Cheat Engine Vape V2022 Beta, але це ще не все, що він містить. Agent.FZUW має певну схожість із Variant.Fugrafa, однак замість встановлення через чіт-движок сам файл містить зламане програмне забезпечення. У конкретному випадку також були зв’язки з Racoon Stealer: це кампанія злому криптовалюти, яка використовується для викрадення інформації облікових записів із сервісів криптовалюти.
Зловмисне програмне забезпечення LemonDuck тепер більше, ніж криптомайнер
Хоча кількість заблокованих або відстежуваних доменів зловмисного програмного забезпечення зменшилася в третьому кварталі 2022 року, легко помітити, що кількість атак, націлених на нічого не підозрюючих користувачів, залишається високою. З трьома новими доповненнями до списку найпопулярніших доменів зловмисного програмного забезпечення — два належать до колишніх доменів зловмисного програмного забезпечення LemonDuck, а третій є частиною класифікованого домену Emotet — нових сайтів зі шкідливим програмним забезпеченням стало більше, ніж зазвичай. Очікується, що ця тенденція продовжуватиме посилюватися, коли мова йде про криптовалютний ландшафт, оскільки зловмисники шукатимуть нові способи обдурити користувачів. Ефективною протидією є активний захист на рівні DNS. Це може контролювати системи користувачів і запобігати запровадженню хакерами зловмисного програмного забезпечення чи інших серйозних проблем у компанії.
Обфускація JavaScript у наборах експлойтів
Сигнатура 1132518 — індикатор атак з обфускацією JavaScript на браузери — була єдиним новим доповненням до списку найпоширеніших сигнатур мережевих атак. JavaScript вже давно є поширеним вектором атак, і кіберзлочинці постійно використовують набори експлойтів на основі JavaScript, зокрема для шкідливої реклами та фішингових атак. Оскільки захист веб-переглядача покращується, зловмисники активізують свої зусилля з обфускації шкідливого коду JavaScript.
Анатомія стандартизованих атак противника посередині
Багатофакторна автентифікація (MFA), безсумнівно, є надзвичайно важливим заходом у сфері ІТ-безпеки, але вона також не є панацеєю. Найкращим прикладом цього є швидке зростання та комерціалізація атак Adversary-in-the-Middle (AitM). Розслідування Threat Lab показує, як зловмисники переходять на все більш складні методи AitM. Подібно до дедалі популярнішої пропозиції програми-вимагача як послуги, випуск набору інструментів AitM під назвою EvilProxy у вересні 2022 року значно знизив бар’єр для входу для відповідних складних атак. Єдиний спосіб захиститися від них – поєднання технічних інструментів і підвищення обізнаності користувачів.
Сімейство шкідливих програм, пов’язане з Gothic Panda
Уже у звіті Threat Lab за другий квартал 2022 року мова лягла на Gothic Panda – групу кібершпигунства, яка має тісні зв’язки з міністерством державної безпеки Китаю. Цікаво, що в списку найпопулярніших зашифрованих шкідливих програм за третій квартал увійшло сімейство шкідливих програм під назвою Taidoor, яке не тільки було розроблено Gothic Panda, але й використовувалося лише зловмисниками відповідного китайського походження. Хоча пов’язане зловмисне програмне забезпечення зазвичай було зосереджено на цілі в Японії та Тайвані на сьогоднішній день, проаналізований зразок Generic.Taidoor був здебільшого націлений на організації у Франції, що, можливо, є чітким свідченням конкретної кібератаки, спонсорованої державою.
Нові програми-вимагачі та групи здирників у дикій природі
Головний спеціаліст із безпеки (CSO), WatchGuard Technologies (Зображення: WatchGuard).
Відтепер лабораторія WatchGuard Threat Lab ще більше займається виявленням програм-вимагачів. З цією метою базові параметри аналізу загроз були спеціально розширені. У третьому кварталі 2022 року LockBit очолює список із понад 200 відповідними інцидентами — майже в чотири рази більше, ніж група програм-вимагачів Basta, яка була другою за популярністю з липня по вересень 2022 року.
Щоквартальні звіти WatchGuard про дослідження базуються на деідентифікованих даних Firebox Feed з активних Fireboxів WatchGuard, власники яких вирішили надавати дані для прямої підтримки дослідження Threat Lab. У третьому кварталі WatchGuard заблокував понад 17,3 мільйона варіантів шкідливого програмного забезпечення (211 на пристрій) і понад 2,3 мільйона мережевих загроз (28 на пристрій). У повному звіті детально описано інше зловмисне програмне забезпечення та мережеві тенденції за 3 квартал 2022 року, рекомендовані стратегії безпеки, основні поради щодо захисту для організацій усіх розмірів і галузей тощо.
Більше на watchguard.com
Про охорону WatchGuard Technologies є одним із провідних постачальників у сфері ІТ-безпеки. Велике портфоліо продуктів варіюється від високорозвинених UTM (Unified Threat Management) і платформ брандмауера наступного покоління до багатофакторної аутентифікації та технологій для комплексного захисту WLAN і захисту кінцевих точок, а також інших спеціальних продуктів і інтелектуальних послуг, пов’язаних з ІТ-безпекою. Понад 250.000 XNUMX клієнтів у всьому світі довіряють складним механізмам захисту на корпоративному рівні,