Raport o zagrożeniach ESET T2 2022

Ostatnie cztery miesiące były dla wielu z nas na półkuli północnej czasem wakacji. Wygląda na to, że niektórzy operatorzy szkodliwego oprogramowania również wykorzystali ten czas jako okazję do odpoczynku, zmiany koncentracji i ponownej analizy swoich obecnych procedur i działań.

Według naszej telemetrii sierpień był miesiącem wakacyjnym dla operatorów Emotet, najbardziej wpływowa odmiana downloadera. Stojący za nim gang dostosował się również do decyzji Microsoftu o wyłączeniu makr VBA w dokumentach pochodzących z Internetu i skupił się na kampaniach opartych na uzbrojonych plikach Microsoft Office i plikach LNK.

W T2 2022 obserwowaliśmy kontynuację gwałtownego spadku liczby ataków Remote Desktop Protocol (RDP), które prawdopodobnie nadal traciły na sile z powodu wojny rosyjsko-ukraińskiej, a także powrotu do biur po COVID i ogólnej poprawy bezpieczeństwa środowiska korporacyjne.

Mimo spadku liczby rosyjskie adresy IP nadal były odpowiedzialne za największą część ataków RDP. W T1 2022 Rosja była również krajem, który był najczęściej atakowany przez oprogramowanie ransomware, a niektóre ataki były motywowane politycznie lub ideologicznie wojną. Jednak, jak można przeczytać w raporcie ESET Threat Report T2 2022, ta fala haktywizmu zmniejszyła się w T2, a operatorzy oprogramowania ransomware zwrócili swoją uwagę na Stany Zjednoczone, Chiny i Izrael.

Jeśli chodzi o zagrożenia, które dotykają głównie użytkowników domowych, zaobserwowaliśmy sześciokrotny wzrost wykrywalności przynęt phishingowych związanych z wysyłką, w większości przypadków przedstawiających ofiarom fałszywe żądania DHL i USPS o weryfikację adresów wysyłkowych.

Internetowy skimmer znany jako Magecart, który odnotował trzykrotny wzrost w T1 2022, nadal był głównym zagrożeniem związanym z danymi kart kredytowych kupujących online. Spadające kursy wymiany kryptowalut wpłynęły również na zagrożenia online – przestępcy zaczęli kraść kryptowaluty zamiast je wydobywać, co widać po dwukrotnym wzroście przynęt phishingowych związanych z kryptowalutami i rosnącej liczbie kryptowalut.

Ostatnie cztery miesiące były również interesujące pod względem badawczym. Nasi badacze odkryli wcześniej nieznaną Backdoor macOS a później przypisał to ScarCruft, odkrył zaktualizowaną wersję grupy Sandworm APT Program ładujący złośliwe oprogramowanie ArguePatch, odkryto Łazarza ładunki in aplikacje trojanizowanei przeanalizował przypadek Łazarza Kampania Operacja In(inter)cepcja celowanie w urządzenia macOS podczas spearphishingu w kryptowalutach. Odkryli także luki przepełnienia bufora w oprogramowaniu Lenovo UEFI i nowej kampanii za pomocą fałszywa aktualizacja Salesforce jako przynęta.

W ciągu ostatnich kilku miesięcy nadal dzieliliśmy się naszą wiedzą na konferencjach Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon i Bsides Montreal, na których ujawniliśmy nasze ustalenia dotyczące kampanii wdrożonych przez OilRig, APT35, Agrius, Sandworm, Lazarus i POLONIUM. Rozmawialiśmy również o przyszłości zagrożeń UEFI, przeanalizowaliśmy unikalny program ładujący, który nazwaliśmy Wslink, i wyjaśniliśmy, w jaki sposób ESET Research przypisuje złośliwe zagrożenia i kampanie. Na najbliższe miesiące zapraszamy na rozmowy ESET na AVAR, Ekoparty i wielu innych.

Życzę wnikliwej lektury.

Obserwuj Badania ESET na Twitterze aby regularnie otrzymywać aktualne informacje o kluczowych trendach i najważniejszych zagrożeniach.