Звіт про загрози ESET T2 2022

Останні чотири місяці були часом літніх канікул для багатьох із нас у північній півкулі. Схоже, що деякі оператори зловмисного програмного забезпечення також скористалися цим часом як можливістю відпочити, перефокусуватися та повторно проаналізувати свої поточні процедури та дії.

За даними нашої телеметрії, серпень був місяцем відпустки для операторів Емотет, найвпливовіший штам завантажувачів. Група, яка стоїть за нею, також пристосувалася до рішення Microsoft вимкнути макроси VBA в документах, що надходять з Інтернету, і зосередилася на кампаніях, заснованих на файлах Microsoft Office і LNK-файлах із застосуванням зброї.

У T2 2022 ми спостерігали продовження різкого зниження кількості атак на протокол віддаленого робочого столу (RDP), які, ймовірно, продовжували втрачати силу через російсько-українську війну, разом із поверненням до офісів після COVID-XNUMX та загальним покращенням безпеки корпоративне середовище.

Незважаючи на зменшення кількості, російські IP-адреси продовжували відповідати за найбільшу частину атак RDP. У T1 2022 року Росія також була найбільшою мішенню програм-вимагачів, причому деякі атаки були політично чи ідеологічно вмотивовані війною. Однак, як ви прочитаєте у Звіті про загрози ESET T2 2022, ця хвиля хактивізму знизилася в T2, і оператори програм-вимагачів звернули свою увагу на Сполучені Штати, Китай та Ізраїль.

Що стосується загроз, які здебільшого стосуються домашніх користувачів, ми спостерігали шість разів більше виявлення фішингових приманок на тематику доставки, у більшості випадків надаючи жертвам підроблені запити DHL та USPS на перевірку адрес доставки.

Веб-скімер, відомий як Magecart, який зафіксував потрійне збільшення в T1 2022, як і раніше залишався головною загрозою, яка переслідувала дані кредитних карток онлайн-покупців. Стрімке падіння обмінних курсів криптовалюти також вплинуло на онлайн-загрози – злочинці почали крадіжку криптовалют замість того, щоб їх майніти, про що свідчить подвійне збільшення кількості фішингових приманок на тему криптовалюти та зростання кількості криптокрадців.

Останні чотири місяці були цікаві і в дослідницькому плані. Наші дослідники виявили невідомий раніше бекдор macOS і пізніше приписав його ScarCruft, виявив оновлену версію групи Sandworm APT Завантажувач шкідливих програм ArguePatch, розкрив Лазаря payloads in троянські програми, і проаналізував примірник Lazarus Кампанія «Перехоплення». націлювання на пристрої macOS під час фішингу в крипто-водах. Вони також виявили уразливості переповнення буфера у прошивці Lenovo UEFI та нову кампанію за допомогою a підроблене оновлення Salesforce як приманка.

Протягом останніх кількох місяців ми продовжували ділитися своїми знаннями на конференціях з кібербезпеки Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon і BSides Montreal, де ми оприлюднили наші висновки щодо кампаній, розгорнутих OilRig, APT35, Agrius, Sandworm, Lazarus і POLONIUM. Ми також поговорили про майбутнє загроз UEFI, розібрали унікальний завантажувач, який ми назвали Wslink, і пояснили, як ESET Research виконує атрибуцію зловмисних загроз і кампаній. У найближчі місяці ми раді запросити вас на переговори ESET на AVAR, Ekoparty та багатьох інших.

Бажаю вам глибокого читання.

слідувати Дослідження ESET у Twitter для регулярних оновлень про основні тенденції та основні загрози.