HP опубликовала исследование об эксплуатации злоумышленниками уязвимости нулевого дня для атаки на компании

Компания HP Inc. опубликовала глобальный отчет HP Wolf Security Threat Insights Report с анализом кибератак за третий квартал 2021 года. Экспертам удалось выявить методы и инструменты злоумышленников для обхода средств защиты от взлома.

Специалисты из HP Wolf Security изучили участившиеся случаи использования киберпреступниками уязвимостей нулевого дня. Эксплойты CVE-2021-40444 построены на удаленном исполнении вредоносного кода на компьютере жертвы. Эта уязвимость позволяет использовать движок браузера MSHTML в пакете программ Microsoft Office – впервые она была выявлена специалистами по безопасности HP 8 сентября, за неделю до выпуска очередного обновления.

Уже 10 сентября – всего через три дня после публикации первого бюллетеня об угрозе – группа исследователей HP обнаружила на GitHub информацию, предназначенную для автоматизации создания этого эксплойта. В отсутствие обновлений системы данная уязвимость позволяла злоумышленникам взламывать конечные устройства при минимальном взаимодействии с пользователями. Эксплойт использует вредоносный архивный файл, который разворачивает вредоносное ПО через документ Office. При этом пользователям не нужно открывать файл или включать какие-либо макросы для его предварительного просмотра. Открытия проводника достаточно, чтобы инициировать атаку, о которой владелец устройства зачастую даже не будет подозревать. После взлома устройства злоумышленники могут установить в системы бэкдоры, которые могут быть проданы, например, другим преступным группам, использующим вредоносные программы с требованием выкупа.

Среди других заметных угроз, которые выделили специалисты HP Wolf Security, можно отметить:

• Рост числа киберпреступников, использующих сервисы поставщиков облачного ПО и ресурсы веб-провайдеров для размещения вредоносного ПО: в ходе недавней кампании GuLoader был обнаружен вредоносный код Remcos Remote Access Trojan (RAT) – этот вирус использует удаленный доступ для обхода систем обнаружения угроз, скрываясь под видом обычных файлов на крупнейших платформах, таких как OneDrive. Специалисты HP Wolf Security также обнаружили несколько семейств подобных вредоносных программ, размещенных в социальных сетях и на игровых платформах, таких как Discord.
• Вредоносные программы на JavaScript, способные обойти средства обнаружения: речь идет о распространении зараженных RAT-программ, написанных на языке JavaScript, через вложения электронной почты. Скрипты на JavaScript сложнее распознать и обнаружить среди всех данных, чем в документах с расширениями Office или в двоичных файлах. Вредоносное ПО RAT становится популярнее в среде злоумышленников, стремящихся украсть учетные данные бизнес-пользователей или получить доступ к криптокошелькам.
• Обнаружение целевой кампании, в рамках которой преступники выдавали себя за Национальный фонд социального страхования Уганды: злоумышленники использовали технику «типосквоттинга» – создания поддельного веб-адреса, похожего на официальное доменное имя, для заманивания жертв на сайт и последующей загрузки на их компьютер вредоносного документа Word. При этом используются макросы для запуска скрипта PowerShell, блокирующего ведение журнала безопасности и позволяющего обойти сканирование на наличие зараженных программ в Windows Antimalware Scan Interface.
• Переход на файлы HTA позволяет распространять вредоносный код в один клик: троян Trickbot теперь оказывается на компьютерах жертв после получения файлов HTA (приложение HTML), распространяющих вредоносное ПО по системе сразу после открытия вложенного документа или архива, содержащего вредоносный код. Поскольку этот тип файлов еще не получил широкого распространения, вредоносный код, скрытый в HTA-файлах, с меньшей долей вероятности будет замечен средствами обнаружения.

«Среднее время, которое требуется компаниям для применения, тестов и внедрения патчей безопасности с соответствующими проверками, составляет 97 дней, что дает киберпреступникам возможность использовать это «окно уязвимости». Поначалу использовать подобные уязвимости могли только высококвалифицированные хакеры, но появление скриптов для автоматизации написания кода снизило порог вхождения, сделав этот тип атак доступным для менее опытных и технически подготовленных злоумышленников. Это существенно увеличивает риск для бизнеса, поскольку эксплойты нулевого дня превращаются в товар и становятся доступнее для массового рынка, например, в Даркнете, – объясняет Алекс Холланд (Alex Holland), старший аналитик вредоносного ПО из группы исследования угроз безопасности HP Wolf Security, HP Inc. –  Подобные новые уязвимости, как правило, не отслеживаются средствами обнаружения, поскольку исходные сигнатуры могут быть несовершенными и быстро устаревать по мере оценки масштабов эксплойта. Мы ожидаем, что эксплуатация кода CVE-2021-40444 станет новым орудием киберпреступников, возможно, даже заменит собой распространенные вредоносные программы, используемые сегодня для первоначального получения доступа к системам, например, те, которые задействуют уязвимость в Equation Editor».

«Мы также видим, что хакеры проводят атаки типа flash in the pan («однодневки»), используя такие крупные платформы, как OneDrive. Хотя вредоносные программы, размещенные на подобных платформах, как правило, быстро удаляются, это не сдерживает натиск злоумышленников, ведь они зачастую достигают своей цели по доставке вредоносного ПО на компьютеры жертвы даже за те несколько часов, пока активны ссылки, – продолжает Холланд. – Некоторые злоумышленники каждые несколько месяцев меняют скрипт или тип используемых файлов. Вредоносные файлы JavaScript и HTA не являются чем-то новым, но они по-прежнему попадают в почтовые ящики сотрудников, подвергая компании риску. В ходе одной из кампаний злоумышленники использовали червя Vengeance Justice Worm, который может распространяться на другие системы и USB-накопители».

Программное обеспечение HP Wolf Security отслеживает вредоносные программы, запуская приложения на изолированных микровиртуальных машинах (micro VMs), чтобы зафиксировать и понять всю цепочку заражения, помогая тем самым минимизировать угрозы, которые не были обнаружены другими инструментами безопасности. Это позволило клиентам HP открыть более 10 миллиардов вложений электронной почты, веб-страниц и загрузок без каких-либо утечек или нарушений безопасности. Лучше понимая поведение вредоносных программ в реальных условиях, исследователи и инженеры HP Wolf Security получают возможность усилить защиту клиентских устройств и повысить общий уровень устойчивости систем.

Среди основных выводов исследования, основанных на данных, полученных с миллионов устройств, на которых работает HP Wolf Security, можно отметить следующие:

• 12% выявленных вредоносных программ для электронной почты сумели обойти хотя бы один шлюз сетевого сканирования.
• 89% обнаруженных вредоносных программ были доставлены по электронной почте, в то время как на долю веб-загрузок пришлось 11%, а на другие способы доставки, такие как заражение через внешние устройства хранения – менее 1% зараженного ПО.
• Наиболее распространенными типами вложений, используемых для доставки вредоносного ПО, были архивные файлы (38% – по сравнению с 17,26% в прошлом квартале), документы Word (23%), электронные таблицы (17%) и файлы .exe (16%).
• Пять самых распространенных фишинговых атак были связаны с такими бизнес-операциями, как «оформление» и «оплата» заказа, «реклама новых товаров», «предложение» и «спрос».
• Согласно отчету, 12% обнаруженного вредоносного кода не были ранее известны специалистам по безопасности.

«Мы уже не можем полагаться только лишь на обнаружение угроз, чей ландшафт слишком динамичен, и, как мы видим из анализа угроз, зафиксированных в наших виртуальных машинах, злоумышленники все лучше умеют уходить от обнаружения, – комментирует д-р Йэн Пратт (Ian Pratt), руководитель отдела безопасности персональных систем в HP Inc. – Организациям необходим многоуровневый подход к безопасности конечных точек, который бы следовал принципам Zero Trust для сдерживания и предотвращения наиболее распространенных направлений атак, в том числе атак через электронную почту, браузеры и загрузки. Это позволит свести к минимуму вероятность атак для целых классов угроз, предоставив организациям необходимый временной зазор для своевременного устранения уязвимостей без вреда для бизнес-процессов».