Báo cáo Đe doạ của ESET T2 2022

Bốn tháng vừa qua là thời gian nghỉ hè đối với nhiều người trong chúng ta ở Bắc bán cầu. Có vẻ như một số nhà khai thác phần mềm độc hại cũng đã coi thời gian này như một cơ hội để có thể nghỉ ngơi, tập trung lại và phân tích lại các quy trình và hoạt động hiện tại của họ.

Theo kết quả đo từ xa của chúng tôi, tháng XNUMX là tháng nghỉ phép cho các nhà điều hành của Emotet, chủng người tải xuống có ảnh hưởng nhất. Băng nhóm đứng sau nó cũng điều chỉnh theo quyết định của Microsoft là vô hiệu hóa macro VBA trong các tài liệu có nguồn gốc từ internet và tập trung vào các chiến dịch dựa trên các tệp Microsoft Office được vũ khí hóa và tệp LNK.

Vào năm T2 2022, chúng ta đã thấy sự tiếp tục giảm mạnh của các cuộc tấn công Giao thức Máy tính Từ xa (RDP), vốn có khả năng tiếp tục mất hút do chiến tranh Nga-Ukraine, cùng với việc COVID trở lại các văn phòng và cải thiện an ninh tổng thể của môi trường công ty.

Ngay cả khi số lượng ngày càng giảm, các địa chỉ IP của Nga vẫn tiếp tục là nguyên nhân gây ra phần lớn các cuộc tấn công RDP. Vào năm T1 2022, Nga cũng là quốc gia bị ransomware nhắm mục tiêu nhiều nhất, với một số cuộc tấn công có động cơ chính trị hoặc ý thức hệ do chiến tranh. Tuy nhiên, như bạn sẽ đọc trong Báo cáo về mối đe dọa của ESET T2 2022, làn sóng hacktivism này đã giảm trong T2 và các nhà khai thác ransomware đã chuyển sự chú ý của họ sang Hoa Kỳ, Trung Quốc và Israel.

Về các mối đe dọa chủ yếu ảnh hưởng đến người dùng gia đình, chúng tôi đã thấy sự gia tăng gấp sáu lần số lần phát hiện các chiêu trò lừa đảo theo chủ đề vận chuyển, hầu hết thời gian đưa ra cho nạn nhân các yêu cầu giả mạo của DHL và USPS để xác minh địa chỉ giao hàng.

Một trình duyệt web có tên Magecart, đã tăng gấp ba lần trong T1 2022, tiếp tục là mối đe dọa hàng đầu sau khi chi tiết thẻ tín dụng của người mua sắm trực tuyến. Tỷ giá hối đoái tiền điện tử giảm mạnh cũng ảnh hưởng đến các mối đe dọa trực tuyến - bọn tội phạm chuyển sang đánh cắp tiền điện tử thay vì khai thác chúng, như đã thấy trong sự gia tăng gấp hai lần các chiêu dụ lừa đảo theo chủ đề tiền điện tử và số lượng người khai thác tiền điện tử ngày càng tăng.

Bốn tháng qua cũng rất thú vị về mặt nghiên cứu. Các nhà nghiên cứu của chúng tôi đã phát hiện ra một cửa hậu macOS và sau đó quy nó cho ScarCruft, đã phát hiện ra một phiên bản cập nhật của nhóm Sandworm APT Trình tải phần mềm độc hại ArguePatch, Lazarus được phát hiện trọng tải in ứng dụng trojanizedvà phân tích một ví dụ về Lazarus Chiến dịch trong (ter) ception chiến dịch nhắm mục tiêu các thiết bị macOS trong khi kinh doanh thương mại trong nước tiền điện tử. Họ cũng phát hiện ra lỗ hổng tràn bộ đệm trong chương trình cơ sở Lenovo UEFI và một chiến dịch mới sử dụng bản cập nhật Salesforce giả mạo như một sự thu hút.

Trong vài tháng qua, chúng tôi đã tiếp tục chia sẻ kiến ​​thức của mình tại các hội nghị về an ninh mạng của Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon và BSides Montreal, nơi chúng tôi tiết lộ những phát hiện của mình về các chiến dịch do OilRig triển khai, APT35, Agrius, Sandworm, Lazarus và POLONIUM. Chúng tôi cũng đã nói về tương lai của các mối đe dọa UEFI, phân tích trình tải duy nhất mà chúng tôi đặt tên là Wslink và giải thích cách ESET Research thực hiện phân bổ các mối đe dọa và chiến dịch độc hại. Trong những tháng sắp tới, chúng tôi rất vui được mời bạn tham gia các buổi nói chuyện về ESET tại AVAR, Ekoparty và nhiều nơi khác.

Tôi muốn bạn đọc một cái nhìn sâu sắc.

Theo Nghiên cứu ESET trên Twitter để cập nhật thường xuyên về các xu hướng chính và các mối đe dọa hàng đầu.