Η Check Point Software Technologies, κορυφαίος πάροχος λύσεων κυβερνοασφάλειας παγκοσμίως, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Οκτώβριο του 2023. Τον περασμένο μήνα το Trojan Remote Access (RAT) NJRat, το οποίο είναι γνωστό ότι στοχεύει κυβερνητικές υπηρεσίες και οργανισμούς σε όλη τη Μέση Ανατολή, μετακινήθηκε τέσσερις θέσεις από την έκτη στη δεύτερη. Οι ερευνητές ανέφεραν επίσης, μια νέα mal-spam εκστρατεία που περιλαμβάνει προηγμένο RAT AgentTesla και πως η εκπαίδευση παρέμεινε ο πιο στοχευμένος κλάδος.
Τον περασμένο μήνα, το AgentTesla εθεάθη να διανέμεται μέσω αρχείων αρχειοθέτησης που περιείχαν ένα κακόβουλο extension Microsoft Compiled HTML Help (.CHM). Τα αρχεία παραδόθηκαν μέσω ηλεκτρονικού ταχυδρομείου ως .GZ ή .zip συνημμένα χρησιμοποιώντας ονόματα που σχετίζονται με πρόσφατες παραγγελίες και αποστολές, όπως – po-#######.gz / shipping documents.gz, σχεδιασμένα να δελεάζουν στόχους για τη λήψη του κακόβουλου λογισμικού. Μόλις εγκατασταθεί, το AgentTesla είναι ικανό να καταγράφει δεδομένα από το πρόχειρο, να αποκτά πρόσβαση στο σύστημα αρχείων και να μεταφέρει κρυφά κλεμμένα δεδομένα σε διακομιστή εντολών και ελέγχου (C&C).
«Δεν έχουμε την πολυτέλεια να μας ξεφεύγουν οι τακτικές που χρησιμοποιούν οι χάκερ για τη διανομή κακόβουλου λογισμικού, όπως η πλαστοπροσωπία γνωστών εμπορικών σημάτων ή η αποστολή κακόβουλων αρχείων μέσω ηλεκτρονικού ταχυδρομείου», δήλωσε η Maya Horowitz, VP Research στην Check Point Software. «Καθώς μπαίνουμε στην έντονη αγοραστική περίοδο του Νοεμβρίου, είναι σημαντικό να παραμείνουμε σε εγρήγορση και να θυμόμαστε ότι οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται ενεργά το αυξημένο ενδιαφέρον μας για διαδικτυακές αγορές και αποστολές».
Η CPR αποκάλυψε επίσης ότι το “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ήταν η πιο εκμεταλλευόμενη ευπάθεια, επηρεάζοντας το 42% των οργανισμών παγκοσμίως, ακολουθούμενη από το “Command Injection Over HTTP” που επηρεάζει το 42% των οργανισμών παγκοσμίως. Το “Web Servers Malicious URL Directory Traversal” ήταν η τρίτη πιο χρησιμοποιούμενη ευπάθεια, με παγκόσμιο αντίκτυπο 42%.
Κορυφαίες οικογένειες malware
Το Formbook ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο 3% σε παγκόσμιους οργανισμούς, ακολουθούμενο από το NJRat με παγκόσμιο αντίκτυπο 2% και το Remcos με παγκόσμιο αντίκτυπο 2%.
- ↔ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (Malware as a Service – MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το Formbook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.
- ↑ NJRat – To NJRat είναι ένα Trojan απομακρυσμένης πρόσβασης, που στοχεύει κυρίως κυβερνητικές υπηρεσίες και οργανισμούς στη Μέση Ανατολή. To Trojan εμφανίστηκε για πρώτη φορά το 2012 και έχει πολλαπλές δυνατότητες: λήψη πληκτρολογήσεων, πρόσβαση στην κάμερα του θύματος, κλοπή διαπιστευτηρίων που είναι αποθηκευμένα σε προγράμματα περιήγησης, μεταφόρτωση και λήψη αρχείων, εκτέλεση χειρισμών διαδικασιών και αρχείων και προβολή της επιφάνειας εργασίας του θύματος. Το NJRat μολύνει τα θύματα μέσω επιθέσεων ηλεκτρονικού ψαρέματος (phishing) και λήψεων μέσω drive-by και διαδίδεται μέσω μολυσμένων κλειδιών USB ή δικτυωμένων μονάδων δίσκου, με την υποστήριξη λογισμικού διακομιστή εντολών και ελέγχου (C&C).
- ↓ Remcos – Το Remcos είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που πρωτοεμφανίστηκε στη φύση το 2016. Το Remcos διανέμεται μέσω κακόβουλων εγγράφων του Microsoft Office, τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου SPAM, και έχει σχεδιαστεί για να παρακάμπτει την ασφάλεια UAC των Microsoft Windows και να εκτελεί κακόβουλο λογισμικό με υψηλού επιπέδου προνόμια.
Οι Κλάδοι με τις Περισσότερες Επιθέσεις Παγκοσμίως
Τον περασμένο μήνα η Εκπαίδευση/Έρευνα παρέμεινε στην πρώτη θέση ως ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από τις Επικοινωνίες και την Κυβέρνηση/Στρατιωτικό τομέα.
- Εκπαίδευση/Ερευνα
- Επικοινωνίες
- Κυβέρνηση/Στρατός
Οι πλέον εκμεταλλεύσιμες ευπάθειες
Τον περασμένο μήνα, το “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 47% των οργανισμών παγκοσμίως, ακολουθούμενη από το “Command Injection Over HTTP“ με 42% και το “Web Servers Malicious URL Directory Traversal” με 42% επίσης.
- ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Υπάρχει ευπάθεια εισχώρησης εντολών στο Zyxel ZyWALL. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επέτρεπε στους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετες εντολές λειτουργικού συστήματος στο σύστημα που επηρεάζεται.
- ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – A command Injection over HTTP vulnerability has been reported. A remote attacker can exploit this issue by sending a specially crafted request to the victim. Successful exploitation would allow an attacker to execute arbitrary code on the target machine.
- ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Υπάρχει μια ευπάθεια στο directory traversal σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.
Top Mobile Malwares
Τον περασμένο μήνα το Anubis παρέμεινε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα AhMyth και Hiddad.
- Anubis – Το Anubis είναι ένα τραπεζικό κακόβουλο λογισμικό Trojan σχεδιασμένο για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, συμπεριλαμβανομένων λειτουργιών Remote Access Trojan (RAT), keylogger, δυνατοτήτων καταγραφής ήχου και διαφόρων λειτουργιών ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.
- AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας, η οποία συνήθως χρησιμοποιείται για την κλοπή ευαίσθητων πληροφοριών.
- Hiddad – Το Hiddad είναι ένα κακόβουλο λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις απελευθερώνει σε κατάστημα τρίτου μέρους. Η κύρια λειτουργία του είναι η προβολή διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.
Ο Παγκόσμιος Δείκτης Επιπτώσεων Απειλών (Global Threat Impact Index) της Check Point και το ThreatCloud Map τροφοδοτούνται από την τεχνολογία ThreatCloud της Check Point. Το ThreatCloud παρέχει πληροφορίες για απειλές σε πραγματικό χρόνο που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, σε δίκτυα, τερματικά σημεία και κινητά τηλέφωνα. Η νοημοσύνη εμπλουτίζεται με μηχανές βασισμένες στην τεχνητή νοημοσύνη και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, τον βραχίονα νοημοσύνης και έρευνας της Check Point Software Technologies. Ο πλήρης κατάλογος με τις δέκα οικογένειες κακόβουλου λογισμικού που κατέλαβαν την πρώτη θέση τον Οκτώβριο βρίσκεται στο ιστολόγιο της Check Point.