Poročilo o grožnjah ESET T2 2022

Pretekli štirje meseci so bili za mnoge izmed nas na severni polobli čas poletnih počitnic. Zdi se, da so nekateri operaterji zlonamerne programske opreme ta čas vzeli tudi kot priložnost za počitek, ponovno osredotočenje in ponovno analizo svojih trenutnih postopkov in dejavnosti.

Po naši telemetriji je bil avgust dopustniški mesec za operaterje Emotet, najvplivnejši sev prenosnikov. Družba, ki stoji za tem, se je prav tako prilagodila odločitvi Microsofta, da onemogoči makre VBA v dokumentih, ki izvirajo iz interneta, in se osredotočila na kampanje, ki temeljijo na datotekah Microsoft Office in datotekah LNK z orožjem.

V T2 2022 smo bili priča nadaljevanju strmega upada napadov na protokol oddaljenega namizja (RDP), ki so verjetno še naprej izgubljali moč zaradi rusko-ukrajinske vojne, skupaj z vrnitvijo v pisarne po COVID-u in splošno izboljšano varnostjo korporativnih okoljih.

Kljub upadanju števila so ruski naslovi IP še naprej odgovorni za največji del napadov RDP. V T1 2022 je bila Rusija tudi država, ki je bila najbolj tarča izsiljevalske programske opreme, pri čemer so bili nekateri napadi politično ali ideološko motivirani zaradi vojne. Vendar, kot boste prebrali v ESET Threat Report T2 2022, je ta val haktivizma v T2 upadel, operaterji izsiljevalske programske opreme pa so svojo pozornost usmerili proti Združenim državam, Kitajski in Izraelu.

Kar zadeva grožnje, ki večinoma prizadenejo domače uporabnike, smo opazili šestkratno povečanje zaznav vab za lažno predstavljanje na temo pošiljanja, pri čemer so žrtve večinoma predstavljale lažne zahteve DHL in USPS za preverjanje naslovov za pošiljanje.

Spletni skimmer, znan kot Magecart, ki je zabeležil trikratno povečanje v T1 2022, je še naprej vodilna grožnja, ki preganja podatke o kreditnih karticah spletnih kupcev. Padajoči menjalni tečaji kriptovalut so vplivali tudi na spletne grožnje – kriminalci so se zatekli k kraji kriptovalut, namesto da bi jih rudarili, kar je razvidno iz dvakratnega povečanja vab za lažno predstavljanje na temo kriptovalut in vse večjega števila kriptokradcev.

Pretekli štirje meseci so bili zanimivi tudi v raziskovalnem smislu. Naši raziskovalci so odkrili prej neznano zadnja vrata macOS in ga kasneje pripisal ScarCruftu, odkril posodobljeno različico skupine Sandworm APT Nalagalnik zlonamerne programske opreme ArguePatch, je odkril Lazarja nosilnosti in trojanske aplikacije, in analiziral primerek Lazarja Akcija Operacija Prestrezanje ciljanje na naprave macOS med podvodnim lažnim predstavljanjem v kripto vodah. Odkrili so tudi ranljivosti zaradi prekoračitve medpomnilnika v vdelani programski opremi Lenovo UEFI in novo akcijo z uporabo a lažna posodobitev Salesforce kot vaba.

V zadnjih nekaj mesecih smo svoje znanje še naprej delili na konferencah o kibernetski varnosti Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon in BSides Montreal, kjer smo razkrili svoje ugotovitve o kampanjah, ki jih izvaja OilRig, APT35, Agrius, Sandworm, Lazarus in POLONIUM. Govorili smo tudi o prihodnosti groženj UEFI, secirali edinstveni nalagalnik, ki smo ga poimenovali Wslink, in pojasnili, kako ESET Research izvaja pripisovanje zlonamernih groženj in kampanj. V prihodnjih mesecih vas z veseljem vabimo na pogovore ESET na AVAR, Ekoparty in mnoge druge.

Želim vam pronicljivo branje.

Sledite ESET raziskava na Twitterju za redne posodobitve o ključnih trendih in glavnih grožnjah.