Отчет об угрозах ESET T2, 2022 г.

Прошедшие четыре месяца были временем летних каникул для многих из нас в северном полушарии. Похоже, что некоторые операторы вредоносного ПО также воспользовались этим временем как возможностью отдохнуть, переориентироваться и заново проанализировать свои текущие процедуры и действия.

По нашей телеметрии, август был месяцем отпусков у операторов Emotet, самый влиятельный штамм загрузчиков. Банда, стоящая за этим, также адаптировалась к решению Microsoft отключить макросы VBA в документах, поступающих из Интернета, и сосредоточилась на кампаниях, основанных на вооруженных файлах Microsoft Office и файлах LNK.

В T2 2022 года мы наблюдали продолжение резкого снижения атак протокола удаленного рабочего стола (RDP), которые, вероятно, продолжали терять свою силу из-за российско-украинской войны, наряду с возвращением пост-COVID в офисы и общим улучшением безопасности корпоративные среды.

Несмотря на снижение числа, российские IP-адреса по-прежнему являются причиной наибольшей части RDP-атак. В T1 2022 Россия также была страной, наиболее пострадавшей от программ-вымогателей, причем некоторые атаки были политически или идеологически мотивированы войной. Однако, как вы прочтете в отчете ESET Threat Report T2 2022, эта волна хактивизма в T2 пошла на убыль, и операторы программ-вымогателей обратили свое внимание на США, Китай и Израиль.

Что касается угроз, в основном затрагивающих домашних пользователей, мы наблюдали шестикратное увеличение количества обнаружений фишинговых приманок, связанных с доставкой, в большинстве случаев жертвам предоставлялись поддельные запросы DHL и USPS для проверки адресов доставки.

Веб-скиммер, известный как Magecart, который в 1 году увеличился втрое, по-прежнему остается главной угрозой для данных кредитных карт онлайн-покупателей. Резкое падение обменных курсов криптовалюты также повлияло на онлайн-угрозы — преступники начали воровать криптовалюты вместо их добычи, о чем свидетельствует двукратное увеличение числа фишинговых приманок на криптовалютную тематику и рост числа криптокрадов.

Прошедшие четыре месяца были интересны и в исследовательском плане. Наши исследователи обнаружили ранее неизвестный бэкдор macOS и позже приписал его ScarCruft, обнаружил обновленную версию APT-группы Sandworm. Загрузчик вредоносных программ ArguePatch, раскрыл Лазаря Полезная нагрузка in троянские приложения, и проанализировал экземпляр Lazarus Кампания операции "Перехват" нацеливание на устройства macOS во время целевого фишинга в крипто-водах. Они также обнаружили уязвимости переполнения буфера в прошивке Lenovo UEFI и новой кампании с использованием поддельное обновление Salesforce как приманка.

В течение последних нескольких месяцев мы продолжали делиться своими знаниями на конференциях по кибербезопасности Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon и BSides Montreal, где мы рассказали о наших выводах о кампаниях, развернутых OilRig, APT35, Agrius, Sandworm, Lazarus и POLONIUM. Мы также поговорили о будущем угроз UEFI, проанализировали уникальный загрузчик, который мы назвали Wslink, и объяснили, как ESET Research выполняет атрибуцию вредоносных угроз и кампаний. В ближайшие месяцы мы рады пригласить вас на выступления ESET на AVAR, Ekoparty и многих других.

Желаю вам содержательного чтения.

Подписаться  Исследование ESET в Twitter для регулярных обновлений об основных тенденциях и основных угрозах.