20, октябрь 2021  —  Компания HP Inc. опубликовала глобальный отчет HP Wolf Security Threat Insights Report с анализом кибератак за третий квартал 2021 года . Экспертам удалось выявить методы и инструменты злоумышленников для обхода средств защиты от взлома .

Специалисты из HP Wolf Security изучили участившиеся случаи использования киберпреступниками уязвимостей нулевого дня . Эксплойты CVE-2021-40444 (1) построены на удаленном исполнении вредоносного кода на компьютере жертвы . Эта уязвимость позволяет использовать движок браузера MSHTML в пакете программ Microsoft Office – впервые она была выявлена специалистами по безопасности HP 8 сентября , за неделю до выпуска очередного обновления .

Уже 10 сентября – всего через три дня после публикации первого бюллетеня об угрозе – группа исследователей HP обнаружила на GitHub информацию , предназначенную для автоматизации создания этого эксплойта . В отсутствие обновлений системы данная уязвимость позволяла злоумышленникам взламывать конечные устройства при минимальном взаимодействии с пользователями . Эксплойт использует вредоносный архивный файл , который разворачивает вредоносное ПО через документ Office. При этом пользователям не нужно открывать файл или включать какие - либо макросы для его предварительного просмотра . Открытия проводника достаточно , чтобы инициировать атаку , о которой владелец устройства зачастую даже не будет подозревать . После взлома устройства злоумышленники могут установить в системы бэкдоры , которые могут быть проданы , например , другим преступным группам , использующим вредоносные программы с требованием выкупа .

Среди других заметных угроз , которые выделили специалисты HP Wolf Security, можно отметить :

•  Рост числа киберпреступников , использующих сервисы поставщиков облачного ПО и ресурсы веб - провайдеров для размещения вредоносного ПО : в ходе недавней кампании GuLoader был обнаружен вредоносный код Remcos Remote Access Trojan (RAT) – этот вирус использует удаленный доступ для обхода систем обнаружения угроз , скрываясь под видом обычных файлов на крупнейших платформах , таких как OneDrive. Специалисты HP Wolf Security также обнаружили несколько семейств подобных вредоносных программ , размещенных в социальных сетях и на игровых платформах , таких как Discord.

•  Вредоносные программы на JavaScript, способные обойти средства обнаружения : речь идет о распространении зараженных RAT- программ , написанных на языке JavaScript, через вложения электронной почты . Скрипты на JavaScript сложнее распознать и обнаружить среди всех данных , чем в документах с расширениями Office или в двоичных файлах . Вредоносное ПО RAT становится популярнее в среде злоумышленников , стремящихся украсть учетные данные бизнес - пользователей или получить доступ к криптокошелькам .

•  Обнаружение целевой кампании , в рамках которой преступники выдавали себя за Национальный фонд социального страхования Уганды : злоумышленники использовали технику « типосквоттинга » – создания поддельного веб - адреса , похожего на официальное доменное имя , для заманивания жертв на сайт и последующей загрузки на их компьютер вредоносного документа Word. При этом используются макросы для запуска скрипта PowerShell, блокирующего ведение журнала безопасности и позволяющего обойти сканирование на наличие зараженных программ в Windows Antimalware Scan Interface.

•  Переход на файлы HTA позволяет распространять вредоносный код в один клик : троян Trickbot теперь оказывается на компьютерах жертв после получения файлов HTA ( приложение HTML), распространяющих вредоносное ПО по системе сразу после открытия вложенного документа или архива , содержащего вредоносный код . Поскольку этот тип файлов еще не получил широкого распространения , вредоносный код , скрытый в HTA- файлах , с меньшей долей вероятности будет замечен средствами обнаружения .

« Среднее время , которое требуется компаниям для применения , тестов и внедрения патчей безопасности с соответствующими проверками , составляет 97 дней , что дает киберпреступникам возможность использовать это « окно уязвимости ». Поначалу использовать подобные уязвимости могли только высококвалифицированные хакеры , но появление скриптов для автоматизации написания кода снизило порог вхождения , сделав этот тип атак доступным для менее опытных и технически подготовленных злоумышленников . Это существенно увеличивает риск для бизнеса , поскольку эксплойты нулевого дня превращаются в товар и становятся доступнее для массового рынка , например , в Даркнете , – объясняет Алекс Холланд (Alex Holland), старший аналитик вредоносного ПО из группы исследования угроз безопасности HP Wolf Security, HP Inc. – Подобные новые уязвимости , как правило , не отслеживаются средствами обнаружения , поскольку исходные сигнатуры могут быть несовершенными и быстро устаревать по мере оценки масштабов эксплойта . Мы ожидаем , что эксплуатация кода CVE-2021-40444 станет новым орудием киберпреступников , возможно , даже заменит собой распространенные вредоносные программы , используемые сегодня для первоначального получения доступа к системам , например , те , которые задействуют уязвимость в Equation Editor».

« Мы также видим , что хакеры проводят атаки типа flash in the pan (« однодневки »), используя такие крупные платформы , как OneDrive. Хотя вредоносные программы , размещенные на подобных платформах , как правило , быстро удаляются , это не сдерживает натиск злоумышленников , ведь они зачастую достигают своей цели по доставке вредоносного ПО на компьютеры жертвы даже за те несколько часов , пока активны ссылки , – продолжает Холланд . – Некоторые злоумышленники каждые несколько месяцев меняют скрипт или тип используемых файлов . Вредоносные файлы JavaScript и HTA не являются чем - то новым , но они по - прежнему попадают в почтовые ящики сотрудников , подвергая компании риску . В ходе одной из кампаний злоумышленники использовали червя Vengeance Justice Worm, который может распространяться на другие системы и USB- накопители ».

Программное обеспечение HP Wolf Security отслеживает вредоносные программы , запуская приложения на изолированных микровиртуальных машинах (micro VMs), чтобы зафиксировать и понять всю цепочку заражения , помогая тем самым минимизировать угрозы , которые не были обнаружены другими инструментами безопасности . Это позволило клиентам HP открыть более 10 миллиардов вложений электронной почты , веб - страниц и загрузок без каких - либо утечек или нарушений безопасности (2). Лучше понимая поведение вредоносных программ в реальных условиях , исследователи и инженеры HP Wolf Security получают возможность усилить защиту клиентских устройств и повысить общий уровень устойчивости систем .

Среди основных выводов исследования , основанных на данных , полученных с миллионов устройств , на которых работает HP Wolf Security, можно отметить следующие :

•  12% выявленных вредоносных программ для электронной почты сумели обойти хотя бы один шлюз сетевого сканирования .

•  89% обнаруженных вредоносных программ были доставлены по электронной почте , в то время как на долю веб - загрузок пришлось 11%, а на другие способы доставки , такие как заражение через внешние устройства хранения – менее 1% зараженного ПО .

•  Наиболее распространенными типами вложений , используемых для доставки вредоносного ПО , были архивные файлы (38% – по сравнению с 17,26% в прошлом квартале ), документы Word (23%), электронные таблицы (17%) и файлы .exe (16%).

•  Пять самых распространенных фишинговых атак были связаны с такими бизнес - операциями , как « оформление » и « оплата » заказа , « реклама новых товаров », « предложение » и « спрос ».

•  Согласно отчету , 12% обнаруженного вредоносного кода не были ранее известны специалистам по безопасности (3).

« Мы уже не можем полагаться только лишь на обнаружение угроз , чей ландшафт слишком динамичен , и , как мы видим из анализа угроз , зафиксированных в наших виртуальных машинах , злоумышленники все лучше умеют уходить от обнаружения , – комментирует д - р Йэн Пратт (Ian Pratt), руководитель отдела безопасности персональных систем в HP Inc. – Организациям необходим многоуровневый подход к безопасности конечных точек , который бы следовал принципам Zero Trust для сдерживания и предотвращения наиболее распространенных направлений атак , в том числе атак через электронную почту , браузеры и загрузки . Это позволит свести к минимуму вероятность атак для целых классов угроз , предоставив организациям необходимый временной зазор для своевременного устранения уязвимостей без вреда для бизнес - процессов ».

Подробнее о данных

Данные , используемые в настоящем отчете , были собраны с виртуальных машин пользователей HP Wolf Security в период с июля по сентябрь 2021 года .

О компании HP Inc.

HP Inc. создает технологии , которые делают жизнь лучше — для всех и повсюду . Возможности , которые открывают перед пользователями наши персональные системы , ИТ - услуги , принтеры и решения для 3D- печати , поражают воображение . С дополнительной информацией о компании HP Inc. можно ознакомиться на сайте http://www.hp.ru/

О HP Wolf Security

HP Wolf Security — новое поколение средств защиты конечных устройств от производителя самых защищённых в мире компьютеров (4) и принтеров (5). Портфель аппаратных средств защиты HP и сервисов безопасности , ориентированных на конечные устройства , призван помочь организациям защитить ПК , принтеры и сотрудников от сетевых злоумышленников . HP Wolf Security обеспечивает комплексную защиту конечных устройств и повышает отказоустойчивость , охватывая все уровни инфраструктуры , от оборудования до ПО и сервисов (6).

(1) Microsoft благодарит исследователей безопасности Рика Коула (Rick Cole) из MSTIC, Дханеша Кижаккинана (Dhanesh Kizhakkinan) из Mandiant, Хайфея Ли (Haifei Li) из EXPMON и Брюса Абдо (Bryce Abdo) из Mandiant за обнаружение уязвимостей нулевого дня.

(2) Заявления основаны на внутреннеманализе HP , выполненном по отчетам клиентов, а также исходя из установленной пользовательской базы.

(3) На основе впервые зафиксированных данных от различныхантивирусных движков.

(4) Исходя из уникальных и комплексных возможностей безопасности HP, доступных без дополнительной оплаты на компьютерах HPElitePCs под управлением операционной системы Windows на базе процессоров Intel® от 8-го поколения и новее или процессоров AMDRyzen™ 4000 и выше; HPProDesk 600 G6 на базе процессоров Intel® 10-го поколения и выше и на HP ProBook 600 с процессорами AMDRyzen™ 4000 или Intel® 11-го поколения и выше.

(5) Самые передовые встроенные функции безопасности HP доступны на устройствах HPEnterprise и HPManaged с установленной прошивкой HP FutureSmart 4.5 или более поздней версии. Заявление основано на обзоре HP опубликованных в 2021 году характеристик аналогичных принтеров этого класса. Только HP предлагает комбинацию функций безопасности для автоматического обнаружения, остановки работы и восстановления после атак с поддержкой перезагрузки с возможностью самовосстановления в соответствии с рекомендациями NISTSP 800-193 в отношении киберустойчивости устройств. Список совместимых продуктов можно найти на сайте hp.com/go/PrintersThatProtect. Для получения дополнительной информации посетите hp.com/go/ PrinterSecurityClaims .