ESETin uhkaraportti T2 2022

Viimeiset neljä kuukautta olivat monille meistä pohjoisella pallonpuoliskolla kesälomien aikaa. Näyttää siltä, ​​että jotkut haittaohjelmaoperaattorit käyttivät tämän ajan myös mahdollisuutena levätä, keskittyä uudelleen ja analysoida uudelleen nykyisiä toimintatapojaan ja toimintaansa.

Telemetriamme mukaan elokuu oli vuoden operaattoreille lomakuukausi Emotet, vaikutusvaltaisin latausohjelmakanta. Sen takana oleva jengi mukautui myös Microsoftin päätökseen poistaa VBA-makrot käytöstä Internetistä peräisin olevissa asiakirjoissa ja keskittyi kampanjoihin, jotka perustuivat aseisiin Microsoft Office -tiedostoihin ja LNK-tiedostoihin.

Vuoden 2 T2022:ssa näimme Remote Desktop Protocol (RDP) -hyökkäysten jyrkkä väheneminen jatkuneen. Hyökkäykset todennäköisesti menettivät edelleen voimansa Venäjän ja Ukrainan välisen sodan vuoksi sekä COVIDin jälkeisen palaamisen toimistoihin ja yleisesti parantuneen turvallisuuden vuoksi. yritysympäristöissä.

Vaikka määrät laskivat, venäläiset IP-osoitteet olivat edelleen vastuussa suurimmasta osasta RDP-hyökkäyksiä. Vuonna T1 2022 Venäjä oli myös kiristysohjelmien eniten kohteena oleva maa, ja osa hyökkäyksistä johtui sodasta poliittisesti tai ideologisesti. Kuitenkin, kuten voit lukea ESET Threat Report T2 2022 -uhkaraportista, tämä hacktivismiaalto on kuitenkin vähentynyt T2:ssa, ja kiristyshaittaohjelmien operaattorit käänsivät huomionsa Yhdysvaltoihin, Kiinaan ja Israeliin.

Mitä tulee enimmäkseen kotikäyttäjiin vaikuttaviin uhkiin, havaitsimme kuusinkertaistumisen lähetysaiheisten tietojenkalasteluuistimien havaitsemisessa, ja suurimman osan ajasta uhrit esittivät väärennettyjä DHL- ja USPS-pyyntöjä toimitusosoitteen vahvistamiseksi.

Magecart-nimellä tunnettu verkkokeräilijä, joka kolminkertaistui T1 2022:ssa, oli edelleen johtava uhka verkko-ostajien luottokorttitietojen jälkeen. Kryptovaluuttojen kurssien romahtaminen vaikutti myös online-uhkiin – rikolliset alkoivat varastaa kryptovaluuttoja sen sijaan, että ne louhisivat niitä, mikä näkyy kryptovaluuttaaiheisten tietojenkalasteluuistimien kaksinkertaistuessa ja kryptovarastajien määrässä.

Kuluneet neljä kuukautta olivat mielenkiintoisia myös tutkimuksen kannalta. Tutkijamme löysivät aiemmin tuntemattoman macOS-takaovi ja myöhemmin syynä se ScarCruft, löysi päivitetyn version Sandworm APT -ryhmän ArguePatch haittaohjelmien latausohjelma, paljasti Lasarus hyötykuormat in troijalaisia ​​sovelluksiaja analysoinut Lasaruksen tapauksen Operaatio In(ter)ception -kampanja kohdistaminen macOS-laitteisiin salausvesillä kalastettaessa. He myös löysivät puskurin ylivuodon haavoittuvuudet Lenovon UEFI-laiteohjelmistossa ja uudessa kampanjassa, jossa käytetään a väärennetty Salesforce-päivitys vieheenä.

Viime kuukausien aikana olemme jatkaneet tietämyksemme jakamista Virus Bulletin-, Black Hat USA-, RSA-, CODE BLUE-, SecTor-, REcon-, LABSCon- ja BSides Montrealin kyberturvallisuuskonferensseissa, joissa kerroimme havainnoistamme OilRigin käyttämistä kampanjoista. APT35, Agrius, Sandworm, Lazarus ja POLONIUM. Puhuimme myös UEFI-uhkien tulevaisuudesta, pohdimme ainutlaatuista latausohjelmaa, jonka nimesimme Wslinkiksi, ja selitimme, kuinka ESET Research tunnistaa haitallisia uhkia ja kampanjoita. Tulevina kuukausina kutsumme sinut mielellämme ESET-keskusteluihin AVAR:iin, Ekopartyyn ja moniin muihin.

Toivon sinulle oivaltavaa luettavaa.

seurata ESET-tutkimus Twitterissä päivittää tärkeimmät trendit ja suurimmat uhat säännöllisesti.