SafeGroup
Raport o najnowszych zagrożeniach malware w 2024 roku - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Publikacje (https://safegroup.pl/forum-27.html)
+--- Dział: Artykuły (https://safegroup.pl/forum-24.html)
+--- Wątek: Raport o najnowszych zagrożeniach malware w 2024 roku (/thread-12579.html)



Raport o najnowszych zagrożeniach malware w 2024 roku - tachion - 25.07.2024

Oto przegląd najczęstszych zagrożeń malware i ich wpływu:

1. FrostyGoop: To malware skierowane przeciwko systemom przemysłowym (ICS) atakuje krytyczną infrastrukturę, wykorzystując luki w urządzeniach korzystających z protokołu Modbus. Powoduje poważne zakłócenia, takie jak utrata usług grzewczych w ponad 600 budynkach mieszkalnych przez wysyłanie nieprawidłowych poleceń do kontrolerów.

2. Phemedrone Stealer: Wykorzystując lukę CVE-2023-36025 w Microsoft Defender SmartScreen, ten malware unika wykrycia i kradnie wrażliwe informacje z systemów, w tym dane z przeglądarek internetowych i portfeli kryptowalutowych. Malware używa zaawansowanych technik unikania wykrycia i komunikuje się poprzez bezpieczne kanały jak Telegram.

3. Redline Stealer: Ten malware pozostaje popularny ze względu na swoją skuteczność w kradzieży poświadczeń, informacji finansowych i innych danych osobowych. Działa na modelu malware-as-a-service, co czyni go dostępnym dla szerokiej gamy cyberprzestępców.

4. Remcos i AgentTesla: Oba to zdalne trojany dostępu (RAT), które są popularne ze względu na swoją wszechstronność i ciągłe wsparcie od deweloperów. Są szeroko używane do kradzieży danych, szpiegostwa i zdalnej kontroli zainfekowanych systemów.

5. Androxgh0st i NSPX30: Te nowe zaawansowane rodzaje malware zostały zidentyfikowane ze względu na swoje zaawansowane zdolności zbierania danych i techniki eksploatacji sieci. Podkreślają one potrzebę aktualnych mechanizmów obrony przeciwko wyrafinowanym kampaniom malware, które mogą omijać standardowe protokoły bezpieczeństwa i kompromitować wrażliwe informacje.

6. VexTrio
Typ: Traffic Distribution System (TDS)
Opis: VexTrio działa jako główny broker dla cyberprzestępców, dystrybuując złośliwe treści poprzez sieć ponad 70 000 przejętych stron internetowych. Działa podobnie do legalnych sieci afiliacyjnych, co utrudnia jego śledzenie i wykrycie.
Wpływ: Wspiera ponad 60 afiliantów, zwiększając zasięg i skuteczność różnych cyberataków.

7. Ransomware LockBit3
to wysoce rozpowszechniona grupa ransomware odpowiedzialna za znaczną część ataków na całym świecie. Szyfruje dane ofiar i żąda okupu za ich odszyfrowanie.
Wpływ: Znamienne ataki obejmują Subway i Szpital św. Antoniego, a grupa przyznaje się do odpowiedzialności za 20% incydentów ransomware zgłoszonych w styczniu 2024 roku.

8. DarkMe
Typ: Malware wykorzystujący CVE-2024-21412
Opis: DarkMe wykorzystuje lukę w obsłudze skrótów internetowych (.URL), aby ominąć środki bezpieczeństwa, takie jak Windows SmartScreen. Dzięki temu może działać bez wykrycia.
Wpływ: Ten malware może działać niezauważony, co czyni go poważnym zagrożeniem dla użytkowników i organizacji polegających na SmartScreen dla ochrony.

9. Latrodectus
Payload początkowego dostępu
Opis: Używany głównie przez aktora zagrożeń TA578, Latrodectus przeprowadza szczegółowe kontrole, aby uniknąć wykrycia i zapewnić, że działa w odpowiednim środowisku. Następnie instaluje się dla trwałości i komunikuje się z serwerami dowodzenia i kontroli w celu uzyskania dalszych instrukcji.
Wpływ: Zbiera i szyfruje informacje o systemie, przygotowując grunt pod dalszą eksploatację.

10. Malware ukierunkowany na IoT
Opis: Wzrost użycia urządzeń IoT sprawił, że stały się one głównym celem malware ze względu na często słabe środki bezpieczeństwa. Ataki na urządzenia IoT znacznie się nasiliły, z miliardami naruszeń zgłaszanych na całym świecie.
Wpływ: Te luki mogą prowadzić do szeroko zakrojonych zakłóceń, ponieważ urządzenia IoT są integralną częścią wielu aspektów życia codziennego i działalności biznesowej.

11. Ataki typu LOLBin (Living Off the Land Binaries, Scripts, and Libraries)
Ataki typu LOL polegają na wykorzystywaniu legalnych narzędzi i funkcji systemu operacyjnego do wykonywania złośliwych działań. Atakujący używają wbudowanych zasobów systemowych, takich jak pliki wykonywalne, skrypty i biblioteki, aby uniknąć wykrycia przez tradycyjne rozwiązania antywirusowe i zabezpieczenia.

Kluczowe cechy ataków LOLBin:

1. Wykorzystanie legalnych narzędzi:
Atakujący wykorzystują narzędzia i funkcje dostępne w systemie operacyjnym (np. PowerShell, Windows Management Instrumentation - WMI, certutil, mshta), które są powszechnie używane w administracji systemami.

2. Unikanie wykrycia:
Ponieważ narzędzia te są legalne i często używane w codziennych operacjach IT, tradycyjne rozwiązania zabezpieczające mogą nie uznawać ich użycia za złośliwe, co utrudnia wykrycie i blokowanie ataków.

3. Zminimalizowane ślady:
Używanie wbudowanych narzędzi oznacza, że nie jest konieczne pobieranie i uruchamianie zewnętrznego złośliwego oprogramowania, co zmniejsza ryzyko wykrycia przez oprogramowanie antywirusowe.



Przykłady narzędzi wykorzystywanych w atakach LOLBin:

1. PowerShell:
Skryptowy język i powłoka wiersza poleceń używana do automatyzacji administracji systemami. Atakujący mogą używać PowerShell do pobierania i uruchamiania złośliwego kodu, bez konieczności zapisywania plików na dysku.

2. WMI (Windows Management Instrumentation):
Technologia zarządzania systemami, która umożliwia administrację zdalną. Atakujący mogą używać WMI do wykonywania zdalnych komend na zainfekowanych systemach.

3. Certutil:
Narzędzie wiersza poleceń używane do zarządzania certyfikatami. Może być używane do pobierania i dekodowania złośliwego oprogramowania ukrytego w certyfikatach.

4. Mshta:
Narzędzie do uruchamiania plików HTML aplikacji (HTA). Atakujący mogą używać mshta do uruchamiania złośliwego kodu w plikach HTA.
(a to tylko parę przykładów wykorzystywania w ukierunkowanych atakach)



Przykładowy scenariusz ataku:
1. Initial Access (Początkowy dostęp):
Atakujący uzyskuje dostęp do systemu przez spear-phishing, wykorzystanie luki w zabezpieczeniach lub inne metody.

2. Execution (Wykonanie):
Atakujący używa PowerShell do pobrania złośliwego skryptu zdalnie i uruchomienia go w pamięci, omijając systemy wykrywające złośliwe oprogramowanie oparte na plikach.

3. Persistence (Trwałość):
Za pomocą WMI, atakujący ustawia zadania, które uruchamiają złośliwy kod przy starcie systemu.

4. Privilege Escalation (Podniesienie uprawnień):
Użycie narzędzi takich jak PowerShell do uruchomienia exploitów, które podnoszą uprawnienia atakującego w systemie.

5. Defense Evasion (Unikanie obrony):
Unikanie wykrycia przez narzędzia zabezpieczające dzięki użyciu wbudowanych narzędzi i zasobów systemu operacyjnego.

6. Credential Access (Dostęp do poświadczeń):
Użycie narzędzi takich jak mimikatz do wykradania poświadczeń z pamięci systemu.

7. Discovery (Odkrywanie):
Użycie wbudowanych narzędzi do zmapowania sieci i zidentyfikowania interesujących celów w systemie.

8. Lateral Movement (Ruch boczny):
Wykorzystanie narzędzi takich jak WMI do poruszania się w sieci i kompromitowania innych systemów.

9.Collection (Zbieranie danych):
Użycie narzędzi systemowych do zbierania wrażliwych danych.

10. Exfiltration (Eksfiltracja danych):
Wykorzystanie narzędzi takich jak certutil do szyfrowania i przesyłania zebranych danych do zdalnego serwera.

11. Impact (Wpływ):
Użycie narzędzi systemowych do niszczenia danych lub szyfrowania ich w celu wymuszenia okupu.


Jak się chronić?
Regularne aktualizacje oprogramowania: Instaluj najnowsze łatki bezpieczeństwa dla wszystkich swoich urządzeń i aplikacji.
Szkolenia pracowników: Uświadamiaj pracowników o zagrożeniach cybernetycznych i ucz ich, jak rozpoznawać i unikać ataków.
Rozwiązania bezpieczeństwa: Inwestuj w skuteczne rozwiązania bezpieczeństwa, takie jak firewalle, systemy wykrywania włamań i oprogramowanie antywirusowe.
Kopie zapasowe: Regularnie wykonuj kopie zapasowe swoich danych i przechowuj je w bezpiecznym miejscu.
Weryfikacja dostawców: Dokładnie sprawdzaj swoich dostawców oprogramowania i usług pod kątem bezpieczeństwa.


RE: Raport o najnowszych zagrożeniach malware w 2024 roku - Quassar - 26.07.2024

No hakerzy ani troche nie zwalniają, coraz więcej i częściej można spotkać wirusy nie tyle co trudne do wykrycia co jeszcze gorsze do usunięcia.