Средства автоматизации упрощают киберпреступникам эксплуатацию уязвимостей нулевого дня

25 октябрь, 2021 - 16:15Євген Куліков

Компания HP представила отчет Wolf Security Threat Insights Report с анализом кибератак за третий квартал. Данные для него были собраны с виртуальных машин пользователей HP Wolf Security в период с июля по сентябрь. В отчете эксперты описывают выявленные методы и инструменты злоумышленников для обхода средств защиты от взлома (PDF, EN).

Средства автоматизации упрощают киберпреступникам эксплуатацию уязвимостей нулевого дня

В частности, специалисты HP Wolf Security изучили участившиеся случаи использования уязвимостей нулевого дня. Эксплойты CVE-2021-40444i построены на удаленном исполнении вредоносного кода на компьютере жертвы. Эта уязвимость позволяет использовать движок браузера MSHTML в пакете программ Microsoft Office – впервые она была выявлена специалистами по безопасности 8 сентября, за неделю до выпуска очередного обновления.

Уже 10 сентября – всего через три дня после публикации первого бюллетеня об угрозе – группа исследователей HP обнаружила на GitHub информацию, предназначенную для автоматизации создания этого эксплойта. В отсутствие обновлений системы данная уязвимость позволяла злоумышленникам взламывать конечные устройства при минимальном взаимодействии с пользователями. Эксплойт использует вредоносный архивный файл, который разворачивает вредоносное ПО через документ Office. При этом пользователям не нужно открывать файл или включать какие-либо макросы для его предварительного просмотра. Открытия проводника достаточно, чтобы инициировать атаку, о которой владелец устройства зачастую даже не будет подозревать. После взлома устройства злоумышленники могут установить в системы бэкдоры, которые могут быть проданы, например, другим преступным группам, использующим вредоносные программы с требованием выкупа.

Среди других угроз можно отметить рост числа киберпреступников, использующих сервисы поставщиков облачного ПО и ресурсы веб-провайдеров для размещения вредоносного ПО. К примпру, в ходе недавней кампании GuLoader был обнаружен вредоносный код Remcos Remote Access Trojan (RAT) – этот вирус использует удаленный доступ для обхода систем обнаружения угроз, скрываясь под видом обычных файлов на крупнейших платформах, таких как OneDrive. Специалисты HP Wolf Security также обнаружили несколько семейств подобных вредоносных программ, размещенных в социальных сетях и на игровых платформах, таких как Discord.

Средства автоматизации упрощают киберпреступникам эксплуатацию уязвимостей нулевого дня

Кроме того, эксперты выделяют вредоносные программы на JavaScript, способные обойти средства обнаружения: речь идет о распространении зараженных RAT-программ, написанных на языке JavaScript, через вложения электронной почты. Скрипты на JavaScript сложнее распознать и обнаружить среди всех данных, чем в документах с расширениями Office или в двоичных файлах. Вредоносное ПО RAT становится популярнее в среде злоумышленников, стремящихся украсть учетные данные бизнес-пользователей или получить доступ к криптокошелькам. Также опасен переход на файлы HTA, который позволяет распространять вредоносный код в один клик: троян Trickbot теперь оказывается на компьютерах жертв после получения файлов HTA (приложение HTML), распространяющих вредоносное ПО по системе сразу после открытия вложенного документа или архива, содержащего вредоносный код. Поскольку этот тип файлов еще не получил широкого распространения, вредоносный код, скрытый в HTA-файлах, с меньшей долей вероятности будет замечен средствами обнаружения.

«Среднее время, которое требуется компаниям для применения, тестов и внедрения патчей безопасности с соответствующими проверками, составляет 97 дней, что дает киберпреступникам возможность использовать это «окно уязвимости». Поначалу использовать подобные уязвимости могли только высококвалифицированные хакеры, но появление скриптов для автоматизации написания кода снизило порог вхождения, сделав этот тип атак доступным для менее опытных и технически подготовленных злоумышленников. Это существенно увеличивает риск для бизнеса, поскольку эксплойты нулевого дня превращаются в товар и становятся доступнее для массового рынка, например, в даркнете, – объясняет Алекс Холланд (Alex Holland), старший аналитик вредоносного ПО из группы исследования угроз безопасности HP Wolf Security. – Подобные новые уязвимости, как правило, не отслеживаются средствами обнаружения, поскольку исходные сигнатуры могут быть несовершенными и быстро устаревать по мере оценки масштабов эксплойта. Мы ожидаем, что эксплуатация кода CVE-2021-40444 станет новым орудием киберпреступников, возможно, даже заменит собой распространенные вредоносные программы, используемые сегодня для первоначального получения доступа к системам, например, те, которые задействуют уязвимость в Equation Editor».

Среди ключевых выводов исследования, основанных на данных, полученных с миллионов устройств, на которых работает HP Wolf Security, можно отметить то, что 12% выявленных вредоносных программ для электронной почты сумели обойти хотя бы один шлюз сетевого сканирования, 89% обнаруженных вредоносных программ были доставлены по электронной почте, в то время как на долю веб-загрузок пришлось 11%, а на другие способы доставки, такие как заражение через внешние устройства хранения – менее 1% зараженного ПО. Наиболее распространенными типами вложений, используемых для доставки вредоносного ПО, были архивные файлы (38% – по сравнению с 17,26% в прошлом квартале), документы Word (23%), электронные таблицы (17%) и файлы .EXE (16%), сообщают эксперты. Пять самых распространенных фишинговых атак были связаны с такими бизнес-операциями, как «оформление» и «оплата» заказа, «реклама новых товаров», «предложение» и «спрос».

«В современных условиях организациям необходим многоуровневый подход к безопасности конечных точек, который бы следовал принципам Zero Trust для сдерживания и предотвращения наиболее распространенных направлений атак, в том числе атак через электронную почту, браузеры и загрузки. Это позволит свести к минимуму вероятность атак для целых классов угроз, предоставив организациям необходимый временной зазор для своевременного устранения уязвимостей без вреда для бизнес-процессов», – считает Йэн Пратт (Ian Pratt), руководитель отдела безопасности персональных систем в HP.