ESET-i ohuaruanne T2 2022

Viimased neli kuud olid paljudele meist põhjapoolkeral suvepuhkuste aeg. Näib, et mõned pahavaraoperaatorid kasutasid seda aega ka võimalusena puhata, keskenduda ning oma praeguseid protseduure ja tegevusi uuesti analüüsida.

Meie telemeetria järgi oli august operaatoritele puhkusekuu Emotet, kõige mõjukam allalaadija tüvi. Selle taga olev jõuk kohanes ka Microsofti otsusega keelata Internetist pärinevates dokumentides VBA makrod ja keskendus kampaaniatele, mis põhinesid relvastatud Microsoft Office'i failidel ja LNK-failidel.

2. aasta T2022-s jätkus Remote Desktop Protocol (RDP) rünnakute järsk vähenemine, mis tõenäoliselt jätkas oma hoo kaotamist Venemaa-Ukraina sõja tõttu koos COVID-i järgse naasmisega kontoritesse ja üldise turvalisuse paranemisega. ettevõtte keskkonnad.

Isegi arvukuse vähenemise juures olid Venemaa IP-aadressid jätkuvalt vastutavad suurima osa RDP rünnakute eest. 1. aasta T2022-s oli Venemaa ka lunavara enim sihtmärgiks olnud riik, kusjuures osa rünnakutest oli poliitiliselt või ideoloogiliselt ajendatud sõjast. Kuid nagu saate lugeda ESET Threat Report T2 2022 ohuaruandest, on see häkkimislaine T2 puhul vähenenud ja lunavaraoperaatorid pöörasid oma tähelepanu Ameerika Ühendriikidele, Hiinale ja Iisraelile.

Peamiselt kodukasutajaid mõjutavate ohtude osas nägime laevandusteemaliste andmepüügipeibutiste avastamise arvu kuuekordset kasvu, mis enamasti esitas ohvritele võltsitud DHL-i ja USPS-i tarneaadresside kontrollimise taotlusi.

Magecarti nime all tuntud veebikümber, mis T1 2022 jooksul kasvas kolm korda, oli jätkuvalt peamine oht pärast veebiostlejate krediitkaardiandmeid. Krüptovaluutade vahetuskursi järsult langemine mõjutas ka veebiohtusid – kurjategijad hakkasid kaevandamise asemel krüptovaluutasid varastama, mida nähtub krüptovaluutateemaliste andmepüügipeibutiste kahekordsest kasvust ja krüptovarastajate arvu kasvust.

Möödunud neli kuud olid huvitavad ka teaduslikus mõttes. Meie teadlased avastasid varem tundmatu macOS-i tagauks ja omistas selle hiljem ScarCruftile, avastas Sandworm APT grupi uuendatud versiooni. ArguePatch pahavara laadija, paljastas Laatsarus kasulik koormus in troojastatud rakendusedja analüüsis Laatsaruse näidet Operatsiooni In(ter)ception kampaania macOS-i seadmete sihtimine krüptovetes andmepüügi ajal. Nad avastasid ka puhvri ületäitumise haavatavused Lenovo UEFI püsivara ja uus kampaania, mis kasutab a võlts Salesforce'i värskendus peibutisena.

Viimase paari kuu jooksul oleme jätkanud oma teadmiste jagamist Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon ja BSides Montreal küberjulgeoleku konverentsidel, kus avaldasime oma järeldused OilRigi juurutatud kampaaniate kohta. APT35, Agrius, Sandworm, Lazarus ja POLOONIUM. Rääkisime ka UEFI ohtude tulevikust, lahkasime ainulaadset laadijat, mille nimeks saime Wslink, ja selgitasime, kuidas ESET Research pahatahtlikke ohte ja kampaaniaid omistab. Järgmistel kuudel on meil hea meel kutsuda teid ESET-i kõnelustele AVAR-i, Ekoparty ja paljudele teistele.

Soovin teile põhjalikku lugemist.

järgima ESET-i uuring Twitteris regulaarsete uuenduste jaoks peamiste suundumuste ja peamiste ohtude kohta.