Η Check Point Research αποκάλυψε μια σημαντική καμπάνια malspam για το Trojan Qbot

Η Check Point® Software Technologies Ltd. (NASDAQ: CHKP), κορυφαίος πάροχος λύσεων κυβερνοασφάλειας σε παγκόσμιο επίπεδο, δημοσίευσε τον Παγκόσμιο Δείκτη Απειλών για τον Απρίλιο του 2023. Τον περασμένο μήνα, οι ερευνητές αποκάλυψαν μια σημαντική, κακόβουλη εκστρατεία spam του Qbot που διανεμήθηκε μέσω κακόβουλων αρχείων PDF, τα οποία επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου που εμφανίζονται σε πολλές γλώσσες. Εν τω μεταξύ, το κακόβουλο λογισμικό Internet-of-Things (IoT) Mirai μπήκε στη λίστα για πρώτη φορά μετά από ένα χρόνο, αφού εκμεταλλεύτηκε μια νέα ευπάθεια σε TP-Link routers και η υγειονομική περίθαλψη ανέβηκε στη δεύτερη θέση των κλάδων με τη μεγαλύτερη εκμετάλλευση.

Η εκστρατεία Qbot που είδαμε τον περασμένο μήνα περιλαμβάνει μια νέα μέθοδο παράδοσης, κατά την οποία αποστέλλεται στους στόχους ένα μήνυμα ηλεκτρονικού ταχυδρομείου με συνημμένο αρχείο που περιέχει προστατευμένα αρχεία PDF. Μόλις αυτά μεταφορτωθούν, το κακόβουλο λογισμικό Qbot εγκαθίσταται στη συσκευή. Οι ερευνητές διαπίστωσαν περιπτώσεις αποστολής του κακόβουλου μηνύματος σε πολλές διαφορετικές γλώσσες, πράγμα που σημαίνει ότι οι οργανισμοί μπορούν να αποτελέσουν στόχο παγκοσμίως.

Τον περασμένο μήνα επέστρεψε επίσης το Mirai, ένα από τα πιο δημοφιλή κακόβουλα προγράμματα IoT. Οι ερευνητές ανακάλυψαν ότι εκμεταλλευόταν μια νέα ευπάθεια μηδενικής ημέρας CVE-2023-1380 για να επιτεθεί σε TP-Link routers και να τους προσθέσει στο botnet του, το οποίο χρησιμοποιήθηκε για να διευκολύνει μερικές από τις πιο διασπαστικές, κατανεμημένες επιθέσεις DDoS που έχουν καταγραφεί. Αυτή η τελευταία εκστρατεία ακολουθεί μια εκτεταμένη έκθεση που δημοσίευσε η Check Point Research (CPR) σχετικά με την επικράτηση των επιθέσεων IOT.

Υπήρξε επίσης μια αλλαγή στους κλάδους που επηρεάστηκαν, με την υγειονομική περίθαλψη να ξεπερνά την κυβέρνηση ως ο δεύτερος τομέας με τη μεγαλύτερη εκμετάλλευση τον Απρίλιο. Οι επιθέσεις σε ιδρύματα υγειονομικής περίθαλψης έχουν τεκμηριωθεί επαρκώς και ορισμένες χώρες εξακολουθούν να αντιμετωπίζουν συνεχείς επιθέσεις. Για παράδειγμα, η ομάδα κυβερνοεγκληματιών Medusa εξαπέλυσε πρόσφατα επιθέσεις σε εγκαταστάσεις κατά του καρκίνου στην Αυστραλία. Ο κλάδος παραμένει ένας προσοδοφόρος στόχος για τους χάκερς, καθώς τους παρέχει δυνητική πρόσβαση σε εμπιστευτικά δεδομένα ασθενών και πληροφορίες πληρωμών. Αυτό θα μπορούσε να έχει συνέπειες για τις φαρμακευτικές εταιρείες, καθώς θα μπορούσε να οδηγήσει σε διαρροές σχετικά με κλινικές δοκιμές ή νέα ιατρικά φάρμακα και συσκευές.

“Οι εγκληματίες του κυβερνοχώρου επεξεργάζονται συνεχώς νέες μεθόδους για την παράκαμψη των περιορισμών και αυτές οι εκστρατείες αποτελούν μια ακόμη απόδειξη του τρόπου με τον οποίο το κακόβουλο λογισμικό προσαρμόζεται για να επιβιώσει. Με το Qbot στην επίθεση και πάλι, λειτουργεί ως άλλη μια υπενθύμιση της σημασίας της ύπαρξης ολοκληρωμένης κυβερνοασφάλειας και της δέουσας επιμέλειας όταν πρόκειται να εμπιστευτεί κανείς την προέλευση και την πρόθεση ενός ηλεκτρονικού ταχυδρομείου”, δήλωσε η Maya Horowitz, VP Research στην Check Point Software.

Η CPR αποκάλυψε επίσης ότι η ευπάθεια “Web Servers Malicious URL Directory Traversal” ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 48% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Apache Log4j Remote Code Execution” με 44% και την “HTTP Headers Remote Code Execution” με παγκόσμιο αντίκτυπο 43%.

Κορυφαίες οικογένειες κακόβουλου λογισμικού

*Τα βέλη αφορούν τη μεταβολή της κατάταξης σε σχέση με τον προηγούμενο μήνα.

Το AgentTesla ήταν το πιο διαδεδομένο κακόβουλο λογισμικό τον περασμένο μήνα με αντίκτυπο πάνω από 10% σε παγκόσμιους οργανισμούς αντίστοιχα, ακολουθούμενο από το Qbot και το Formbook με 4% παγκόσμιο αντίκτυπο.

1. ↑ AgentTesla – Το AgentTesla είναι ένα προηγμένο RAT που λειτουργεί ως keylogger και κλέφτης πληροφοριών, το οποίο είναι ικανό να παρακολουθεί και να συλλέγει την εισαγωγή πληκτρολογίου του θύματος, το πληκτρολόγιο του συστήματος, να λαμβάνει στιγμιότυπα οθόνης και να αποσπά διαπιστευτήρια σε διάφορα λογισμικά που είναι εγκατεστημένα στο μηχάνημα του θύματος (συμπεριλαμβανομένων των Google Chrome, Mozilla Firefox και Microsoft Outlook email client).

• ↓ Qbot – Το Qbot AKA Qakbot είναι ένα τραπεζικό Trojan που εμφανίστηκε για πρώτη φορά το 2008. Σχεδιάστηκε για να κλέβει τα τραπεζικά στοιχεία και τις πληκτρολογήσεις ενός χρήστη. Συχνά διανέμεται μέσω spam email, το Qbot χρησιμοποιεί διάφορες τεχνικές anti-VM, anti-debugging και anti-sandbox για να εμποδίσει την ανάλυση και να αποφύγει την ανίχνευση.

• ↔ Formbook – Το Formbook είναι ένα Infostealer που στοχεύει το λειτουργικό σύστημα Windows και εντοπίστηκε για πρώτη φορά το 2016. Διατίθεται στην αγορά ως κακόβουλο λογισμικό ως υπηρεσία (Malware as a Service – MaaS) σε υπόγεια φόρουμ hacking για τις ισχυρές τεχνικές αποφυγής και τη σχετικά χαμηλή τιμή του. Το FormBook συλλέγει διαπιστευτήρια από διάφορα προγράμματα περιήγησης στο διαδίκτυο, συλλέγει στιγμιότυπα οθόνης, παρακολουθεί και καταγράφει τις πληκτρολογήσεις και μπορεί να κατεβάζει και να εκτελεί αρχεία σύμφωνα με εντολές από το C&C του.

Κορυφαίοι υπό επίθεση κλάδοι παγκοσμίως

Τον περασμένο μήνα, η εκπαίδευση/έρευνα παρέμεινε ο κλάδος με τις περισσότερες επιθέσεις παγκοσμίως, ακολουθούμενος από την υγειονομική περίθαλψη και την κυβέρνηση/στρατιωτικό τομέα.

1. Εκπαίδευση/Ερευνα
2. Υγεία
3. Κυβέρνηση/Στρατός

Κορυφαίες ευπάθειες που έχουν γίνει αντικείμενο εκμετάλλευσης

Τον περασμένο μήνα, η ευπάθεια “Web Servers Malicious URL Directory Traversal“ ήταν η ευπάθεια με τη μεγαλύτερη εκμετάλλευση, επηρεάζοντας το 48% των οργανισμών παγκοσμίως, ακολουθούμενη από την “Apache Log4j Remote Code Execution“ με 44% και την “HTTP Headers Remote Code Execution“ με παγκόσμιο αντίκτυπο 43%.

1. ↑ Web Servers Malicious URL Directory Traversal – Υπάρχει μια ευπάθεια παράκαμψης καταλόγου σε διάφορους web servers. Η ευπάθεια οφείλεται σε σφάλμα επικύρωσης εισόδου σε έναν διακομιστή ιστού που δεν καθαρίζει σωστά το URI για τα μοτίβα διάσχισης καταλόγου. Η επιτυχής εκμετάλλευση επιτρέπει σε μη εξουσιοδοτημένους απομακρυσμένους επιτιθέμενους να αποκαλύψουν ή να αποκτήσουν πρόσβαση σε αυθαίρετα αρχεία στον ευάλωτο διακομιστή.

• ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υπάρχει στο Apache Log4j. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο επηρεαζόμενο σύστημα.

• ↓ Remote Code Execution HTTP Headers (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Οι επικεφαλίδες HTTP επιτρέπουν στον πελάτη και τον διακομιστή να διαβιβάζουν πρόσθετες πληροφορίες με ένα αίτημα HTTP. Ένας απομακρυσμένος εισβολέας μπορεί να χρησιμοποιήσει μια ευάλωτη κεφαλίδα HTTP για να εκτελέσει αυθαίρετο κώδικα στο μηχάνημα του θύματος.

Κορυφαία κακόβουλα προγράμματα για κινητά

Τον περασμένο μήνα, το Ahmyth ανέβηκε στην πρώτη θέση ως το πιο διαδεδομένο κακόβουλο λογισμικό για κινητά, ακολουθούμενο από τα Anubis καιHiddad.

1. AhMyth – Το AhMyth είναι ένα Trojan απομακρυσμένης πρόσβασης (RAT) που ανακαλύφθηκε το 2017. Διανέμεται μέσω εφαρμογών Android που μπορούν να βρεθούν σε καταστήματα εφαρμογών και σε διάφορους ιστότοπους. Όταν ένας χρήστης εγκαθιστά μία από αυτές τις μολυσμένες εφαρμογές, το κακόβουλο λογισμικό μπορεί να συλλέξει ευαίσθητες πληροφορίες από τη συσκευή και να εκτελέσει ενέργειες όπως keylogging, λήψη στιγμιότυπων οθόνης, αποστολή μηνυμάτων SMS και ενεργοποίηση της κάμερας.

• Anubis – Το Anubis είναι ένα κακόβουλο τραπεζικό Trojan που έχει σχεδιαστεί για κινητά τηλέφωνα Android. Από τότε που εντοπίστηκε αρχικά, έχει αποκτήσει πρόσθετες λειτουργίες, συμπεριλαμβανομένων λειτουργιών Remote Access Trojan (RAT), keylogger, δυνατοτήτων καταγραφής ήχου και διαφόρων λειτουργιών ransomware. Έχει εντοπιστεί σε εκατοντάδες διαφορετικές εφαρμογές που είναι διαθέσιμες στο Google Store.

• Hiddad – Το Hiddad είναι ένα κακόβουλο λογισμικό Android που επανασυσκευάζει νόμιμες εφαρμογές και στη συνέχεια τις κυκλοφορεί σε ένα κατάστημα τρίτων. Η κύρια λειτουργία του είναι η εμφάνιση διαφημίσεων, αλλά μπορεί επίσης να αποκτήσει πρόσβαση σε βασικές λεπτομέρειες ασφαλείας που είναι ενσωματωμένες στο λειτουργικό σύστημα.

Ο Παγκόσμιος Δείκτης Επιπτώσεων Απειλών της Check Point και το ThreatCloud Map βασίζονται στην ευφυΐα ThreatCloud της Check Point. Το ThreatCloud παρέχει πληροφορίες για απειλές σε πραγματικό χρόνο που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, σε δίκτυα, τερματικά σημεία και κινητά τηλέφωνα. Η νοημοσύνη εμπλουτίζεται με μηχανές βασισμένες στην Τεχνητή Νοημοσύνη και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research, τον βραχίονα νοημοσύνης και έρευνας της Check Point Software Technologies.

Η πλήρης λίστα με τις δέκα κορυφαίες οικογένειες κακόβουλου λογισμικού τον Απρίλιο βρίσκεται στο ιστολόγιο της Check Point.