Компания HP Inc. опубликовала глобальный отчет HP Wolf Security Threat Insights Report с анализом кибератак за третий квартал 2021 года. Экспертам удалось выявить методы и инструменты злоумышленников для обхода средств защиты от взлома.
Специалисты из HP Wolf Security изучили участившиеся случаи использования киберпреступниками уязвимостей нулевого дня. Эксплойты CVE-2021-40444i построены на удаленном исполнении вредоносного кода на компьютере жертвы. Эта уязвимость позволяет использовать движок браузера MSHTML в пакете программ Microsoft Office – впервые она была выявлена специалистами по безопасности HP 8 сентября, за неделю до выпуска очередного обновления.
Уже 10 сентября – всего через три дня после публикации первого бюллетеня об угрозе – группа исследователей HP обнаружила на GitHub информацию, предназначенную для автоматизации создания этого эксплойта. В отсутствие обновлений системы данная уязвимость позволяла злоумышленникам взламывать конечные устройства при минимальном взаимодействии с пользователями. Эксплойт использует вредоносный архивный файл, который разворачивает вредоносное ПО через документ Office. При этом пользователям не нужно открывать файл или включать какие-либо макросы для его предварительного просмотра. Открытия проводника достаточно, чтобы инициировать атаку, о которой владелец устройства зачастую даже не будет подозревать. После взлома устройства злоумышленники могут установить в системы бэкдоры, которые могут быть проданы, например, другим преступным группам, использующим вредоносные программы с требованием выкупа.
Среди других заметных угроз, которые выделили специалисты HP Wolf Security, можно отметить:
«Среднее время, которое требуется компаниям для применения, тестов и внедрения патчей безопасности с соответствующими проверками, составляет 97 дней, что дает киберпреступникам возможность использовать это «окно уязвимости». Поначалу использовать подобные уязвимости могли только высококвалифицированные хакеры, но появление скриптов для автоматизации написания кода снизило порог вхождения, сделав этот тип атак доступным для менее опытных и технически подготовленных злоумышленников. Это существенно увеличивает риск для бизнеса, поскольку эксплойты нулевого дня превращаются в товар и становятся доступнее для массового рынка, например, в Даркнете, – объясняет Алекс Холланд (Alex Holland), старший аналитик вредоносного ПО из группы исследования угроз безопасности HP Wolf Security, HP Inc. – Подобные новые уязвимости, как правило, не отслеживаются средствами обнаружения, поскольку исходные сигнатуры могут быть несовершенными и быстро устаревать по мере оценки масштабов эксплойта. Мы ожидаем, что эксплуатация кода CVE-2021-40444 станет новым орудием киберпреступников, возможно, даже заменит собой распространенные вредоносные программы, используемые сегодня для первоначального получения доступа к системам, например, те, которые задействуют уязвимость в Equation Editor».
«Мы также видим, что хакеры проводят атаки типа flash in the pan («однодневки»), используя такие крупные платформы, как OneDrive. Хотя вредоносные программы, размещенные на подобных платформах, как правило, быстро удаляются, это не сдерживает натиск злоумышленников, ведь они зачастую достигают своей цели по доставке вредоносного ПО на компьютеры жертвы даже за те несколько часов, пока активны ссылки, – продолжает Холланд. – Некоторые злоумышленники каждые несколько месяцев меняют скрипт или тип используемых файлов. Вредоносные файлы JavaScript и HTA не являются чем-то новым, но они по-прежнему попадают в почтовые ящики сотрудников, подвергая компании риску. В ходе одной из кампаний злоумышленники использовали червя Vengeance Justice Worm, который может распространяться на другие системы и USB-накопители».
Программное обеспечение HP Wolf Security отслеживает вредоносные программы, запуская приложения на изолированных микровиртуальных машинах (micro VMs), чтобы зафиксировать и понять всю цепочку заражения, помогая тем самым минимизировать угрозы, которые не были обнаружены другими инструментами безопасности. Это позволило клиентам HP открыть более 10 миллиардов вложений электронной почты, веб-страниц и загрузок без каких-либо утечек или нарушений безопасностиii. Лучше понимая поведение вредоносных программ в реальных условиях, исследователи и инженеры HP Wolf Security получают возможность усилить защиту клиентских устройств и повысить общий уровень устойчивости систем.
Среди основных выводов исследования, основанных на данных, полученных с миллионов устройств, на которых работает HP Wolf Security, можно отметить следующие:
«Мы уже не можем полагаться только лишь на обнаружение угроз, чей ландшафт слишком динамичен, и, как мы видим из анализа угроз, зафиксированных в наших виртуальных машинах, злоумышленники все лучше умеют уходить от обнаружения, – комментирует д-р Йэн Пратт (Ian Pratt), руководитель отдела безопасности персональных систем в HP Inc. – Организациям необходим многоуровневый подход к безопасности конечных точек, который бы следовал принципам Zero Trust для сдерживания и предотвращения наиболее распространенных направлений атак, в том числе атак через электронную почту, браузеры и загрузки. Это позволит свести к минимуму вероятность атак для целых классов угроз, предоставив организациям необходимый временной зазор для своевременного устранения уязвимостей без вреда для бизнес-процессов».