Raport o najnowszych zagrożeniach malware w 2024 roku - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Artykuły (https://safegroup.pl/forum-24.html) +--- Wątek: Raport o najnowszych zagrożeniach malware w 2024 roku (/thread-12579.html) |
Raport o najnowszych zagrożeniach malware w 2024 roku - tachion - 25.07.2024 Oto przegląd najczęstszych zagrożeń malware i ich wpływu: 1. FrostyGoop: To malware skierowane przeciwko systemom przemysłowym (ICS) atakuje krytyczną infrastrukturę, wykorzystując luki w urządzeniach korzystających z protokołu Modbus. Powoduje poważne zakłócenia, takie jak utrata usług grzewczych w ponad 600 budynkach mieszkalnych przez wysyłanie nieprawidłowych poleceń do kontrolerów. 2. Phemedrone Stealer: Wykorzystując lukę CVE-2023-36025 w Microsoft Defender SmartScreen, ten malware unika wykrycia i kradnie wrażliwe informacje z systemów, w tym dane z przeglądarek internetowych i portfeli kryptowalutowych. Malware używa zaawansowanych technik unikania wykrycia i komunikuje się poprzez bezpieczne kanały jak Telegram. 3. Redline Stealer: Ten malware pozostaje popularny ze względu na swoją skuteczność w kradzieży poświadczeń, informacji finansowych i innych danych osobowych. Działa na modelu malware-as-a-service, co czyni go dostępnym dla szerokiej gamy cyberprzestępców. 4. Remcos i AgentTesla: Oba to zdalne trojany dostępu (RAT), które są popularne ze względu na swoją wszechstronność i ciągłe wsparcie od deweloperów. Są szeroko używane do kradzieży danych, szpiegostwa i zdalnej kontroli zainfekowanych systemów. 5. Androxgh0st i NSPX30: Te nowe zaawansowane rodzaje malware zostały zidentyfikowane ze względu na swoje zaawansowane zdolności zbierania danych i techniki eksploatacji sieci. Podkreślają one potrzebę aktualnych mechanizmów obrony przeciwko wyrafinowanym kampaniom malware, które mogą omijać standardowe protokoły bezpieczeństwa i kompromitować wrażliwe informacje. 6. VexTrio Typ: Traffic Distribution System (TDS) Opis: VexTrio działa jako główny broker dla cyberprzestępców, dystrybuując złośliwe treści poprzez sieć ponad 70 000 przejętych stron internetowych. Działa podobnie do legalnych sieci afiliacyjnych, co utrudnia jego śledzenie i wykrycie. Wpływ: Wspiera ponad 60 afiliantów, zwiększając zasięg i skuteczność różnych cyberataków. 7. Ransomware LockBit3 to wysoce rozpowszechniona grupa ransomware odpowiedzialna za znaczną część ataków na całym świecie. Szyfruje dane ofiar i żąda okupu za ich odszyfrowanie. Wpływ: Znamienne ataki obejmują Subway i Szpital św. Antoniego, a grupa przyznaje się do odpowiedzialności za 20% incydentów ransomware zgłoszonych w styczniu 2024 roku. 8. DarkMe Typ: Malware wykorzystujący CVE-2024-21412 Opis: DarkMe wykorzystuje lukę w obsłudze skrótów internetowych (.URL), aby ominąć środki bezpieczeństwa, takie jak Windows SmartScreen. Dzięki temu może działać bez wykrycia. Wpływ: Ten malware może działać niezauważony, co czyni go poważnym zagrożeniem dla użytkowników i organizacji polegających na SmartScreen dla ochrony. 9. Latrodectus Payload początkowego dostępu Opis: Używany głównie przez aktora zagrożeń TA578, Latrodectus przeprowadza szczegółowe kontrole, aby uniknąć wykrycia i zapewnić, że działa w odpowiednim środowisku. Następnie instaluje się dla trwałości i komunikuje się z serwerami dowodzenia i kontroli w celu uzyskania dalszych instrukcji. Wpływ: Zbiera i szyfruje informacje o systemie, przygotowując grunt pod dalszą eksploatację. 10. Malware ukierunkowany na IoT Opis: Wzrost użycia urządzeń IoT sprawił, że stały się one głównym celem malware ze względu na często słabe środki bezpieczeństwa. Ataki na urządzenia IoT znacznie się nasiliły, z miliardami naruszeń zgłaszanych na całym świecie. Wpływ: Te luki mogą prowadzić do szeroko zakrojonych zakłóceń, ponieważ urządzenia IoT są integralną częścią wielu aspektów życia codziennego i działalności biznesowej. 11. Ataki typu LOLBin (Living Off the Land Binaries, Scripts, and Libraries) Ataki typu LOL polegają na wykorzystywaniu legalnych narzędzi i funkcji systemu operacyjnego do wykonywania złośliwych działań. Atakujący używają wbudowanych zasobów systemowych, takich jak pliki wykonywalne, skrypty i biblioteki, aby uniknąć wykrycia przez tradycyjne rozwiązania antywirusowe i zabezpieczenia. Kluczowe cechy ataków LOLBin: 1. Wykorzystanie legalnych narzędzi: Atakujący wykorzystują narzędzia i funkcje dostępne w systemie operacyjnym (np. PowerShell, Windows Management Instrumentation - WMI, certutil, mshta), które są powszechnie używane w administracji systemami. 2. Unikanie wykrycia: Ponieważ narzędzia te są legalne i często używane w codziennych operacjach IT, tradycyjne rozwiązania zabezpieczające mogą nie uznawać ich użycia za złośliwe, co utrudnia wykrycie i blokowanie ataków. 3. Zminimalizowane ślady: Używanie wbudowanych narzędzi oznacza, że nie jest konieczne pobieranie i uruchamianie zewnętrznego złośliwego oprogramowania, co zmniejsza ryzyko wykrycia przez oprogramowanie antywirusowe. Przykłady narzędzi wykorzystywanych w atakach LOLBin: 1. PowerShell: Skryptowy język i powłoka wiersza poleceń używana do automatyzacji administracji systemami. Atakujący mogą używać PowerShell do pobierania i uruchamiania złośliwego kodu, bez konieczności zapisywania plików na dysku. 2. WMI (Windows Management Instrumentation): Technologia zarządzania systemami, która umożliwia administrację zdalną. Atakujący mogą używać WMI do wykonywania zdalnych komend na zainfekowanych systemach. 3. Certutil: Narzędzie wiersza poleceń używane do zarządzania certyfikatami. Może być używane do pobierania i dekodowania złośliwego oprogramowania ukrytego w certyfikatach. 4. Mshta: Narzędzie do uruchamiania plików HTML aplikacji (HTA). Atakujący mogą używać mshta do uruchamiania złośliwego kodu w plikach HTA. (a to tylko parę przykładów wykorzystywania w ukierunkowanych atakach) Przykładowy scenariusz ataku: 1. Initial Access (Początkowy dostęp): Atakujący uzyskuje dostęp do systemu przez spear-phishing, wykorzystanie luki w zabezpieczeniach lub inne metody. 2. Execution (Wykonanie): Atakujący używa PowerShell do pobrania złośliwego skryptu zdalnie i uruchomienia go w pamięci, omijając systemy wykrywające złośliwe oprogramowanie oparte na plikach. 3. Persistence (Trwałość): Za pomocą WMI, atakujący ustawia zadania, które uruchamiają złośliwy kod przy starcie systemu. 4. Privilege Escalation (Podniesienie uprawnień): Użycie narzędzi takich jak PowerShell do uruchomienia exploitów, które podnoszą uprawnienia atakującego w systemie. 5. Defense Evasion (Unikanie obrony): Unikanie wykrycia przez narzędzia zabezpieczające dzięki użyciu wbudowanych narzędzi i zasobów systemu operacyjnego. 6. Credential Access (Dostęp do poświadczeń): Użycie narzędzi takich jak mimikatz do wykradania poświadczeń z pamięci systemu. 7. Discovery (Odkrywanie): Użycie wbudowanych narzędzi do zmapowania sieci i zidentyfikowania interesujących celów w systemie. 8. Lateral Movement (Ruch boczny): Wykorzystanie narzędzi takich jak WMI do poruszania się w sieci i kompromitowania innych systemów. 9.Collection (Zbieranie danych): Użycie narzędzi systemowych do zbierania wrażliwych danych. 10. Exfiltration (Eksfiltracja danych): Wykorzystanie narzędzi takich jak certutil do szyfrowania i przesyłania zebranych danych do zdalnego serwera. 11. Impact (Wpływ): Użycie narzędzi systemowych do niszczenia danych lub szyfrowania ich w celu wymuszenia okupu. Jak się chronić? Regularne aktualizacje oprogramowania: Instaluj najnowsze łatki bezpieczeństwa dla wszystkich swoich urządzeń i aplikacji. Szkolenia pracowników: Uświadamiaj pracowników o zagrożeniach cybernetycznych i ucz ich, jak rozpoznawać i unikać ataków. Rozwiązania bezpieczeństwa: Inwestuj w skuteczne rozwiązania bezpieczeństwa, takie jak firewalle, systemy wykrywania włamań i oprogramowanie antywirusowe. Kopie zapasowe: Regularnie wykonuj kopie zapasowe swoich danych i przechowuj je w bezpiecznym miejscu. Weryfikacja dostawców: Dokładnie sprawdzaj swoich dostawców oprogramowania i usług pod kątem bezpieczeństwa. RE: Raport o najnowszych zagrożeniach malware w 2024 roku - Quassar - 26.07.2024 No hakerzy ani troche nie zwalniają, coraz więcej i częściej można spotkać wirusy nie tyle co trudne do wykrycia co jeszcze gorsze do usunięcia. |