Prim Hírek

A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat kutatórészlege, a Check Point Research (CPR) kiadta legújabb, 2022 áprilisára vonatkozó Global Threat Index elemzését. Továbbra is a fejlett, önmagát hirdető, moduláris trójai, az Emotet maradt a leggyakrabban előforduló kártékony program, világszerte a szervezetek 6%-ánál jelent meg. Ezzel együtt, a listán szereplő többi kártékony program között volt mozgás: a Tofsee és a Nanocore lekerültek, helyüket a Formbook és a Lokibot vette át, előbbi a második, utóbbi a hatodik leggyakoribb kártékony program volt a hónapban. 

Az Emotet márciusi magasabb jelenlétét (10%) elsősorban a húsvét-tematikájú scam-ek okozták, de az áprilisi csökkenés részben magyarázható a Microsoft azon döntésével is, miszerint bizonyos, Office file-okhoz köthető makrókat letiltottak, ami hatással volt arra, ahogyan az Emotet hagyományosan terjed. Ugyanakkor bizonyos jelentések szerint, az Emotet újabb terjesztési módot talált; OneDrive URL-t tartalmazó adathalász e-mailekre alapoz. A gép védelmi vonalán sikeresen átjutva, az Emotet számos módon használható: a kifinomult terjedési és asszimilációs módszereinek köszönhetően, a dark web fórumokon más kártékony programokat is ajánl a cyber-bűnözőknek, köztük banki trójai és zsaroló programokat, botneteket, és így tovább. Tehát, ha az Emotet egyszer bejut a rendszerbe, a következmények attól függenek, hogy milyen kártékony program jut be segítségével. 

A Global Threat Index listájára visszakerült a Lokibot, egy nagy hatású spam kampányt követően a hatodik helyen áll: a kampány legitim számlának tűnő xlsx file-ként terjesztette a kártékony programot. Ennek és a Formbook előretörésének nyomán más kártékony programok háttérbe kerültek, így például az AgentTesla továbbfejlesztett RAT (távoli hozzáférés trójai) a másodikról a harmadik helyre csúszott vissza. 

Még március végén egy Spring4Shell néven elhíresült, kritikus sérülékenységeket találtak a Java Spring Framework-ben: ezt kihasználva számos fenyegetés bukkant fel, és terjesztette a hónap kilencedik leggyakoribb kártékony programját, a Mirai-t.

„A cyber fenyegetések folyamatosan alakuló közege mellett, amire olyan nagyvállalatok, mint a Microsoft is hatással vannak, a fenyegetéseket indító bűnözőknek egyre kreatívabb módszereket kell találniuk a kártékony programok terjesztésére; ennek egyértelmű példája az Emotet által alkalmazott új terjesztési módszer,” – mondta Maya Horowtitz, a Check Point kutatásért felelős elnök-helyettese. „Ráadásul ebben a hónapban tanúi voltunk annak, ahogyan a Spring4Shell sérülékenység a címlapokon szerepelt. Azzal együtt, hogy még nem került fel a sérülékenységek top tízes listájára, fontos megjegyezni, hogy egyetlen hónap alatt világszerte a szervezetek 35%-ára volt hatással. Ennek alapján arra számítunk, hogy előre fog törni a következő hónapokban.”

A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás továbbra is az oktatási-kutatási szektor ellen történt. A „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 46%-ánál jelent meg, szorosan követte az „Apache Log4j Remote Code Execution””, mely a szervezetek 33%-ánál bukkant fel. Hirtelen előretört és a harmadik helyre került az „Apache Struts ParametersInterceptor ClassLoader Security Bypass”, globális hatása 45%.

2022. április top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során az Emotet tartotta magát az élen, világszerte a szervezetek 6%-ánál volt jelen, ezt követte a Formbook, mely a szervezetek 3%-ánál, míg a harmadik helyen álló Agent Testla a 2%-ánál jelent meg.

1.↔ Emotet – Fejlett, önmagát hirdető, moduláris trójai program. Eredetileg banki trójaiként volt ismert, az utóbbi időkben azonban más kártevők és hadjáratok terjesztőjeként használják. A jelenlét fenntartására különböző módszereket alkalmaz, míg a lebukás elkerülésére kitérő technikákat. Ráadásul rosszindulatú csatolmányokat vagy linkeket tartalmazó, adathalász spam emailekkel terjed.

2.↑ Formbook – Információ tolvaj, mely a különböző böngészőkből gyűjt be hitelesítő adatokat, képernyőképeket, monitor és billentyűzet-leütés adatokat, és C&C utasításai alapján képes letölteni és végrehajtani utasításokat.

3.↓ Agent Tesla – Továbbfejlesztett RAT (távoli hozzáférés trójai), mely billentyűzet-leütés adatokat és információkat lop el. Figyeli és összegyűjti az az áldozat billentyűzetére és a rendszer vágólapjára érkező inputot, rögzíti a képernyőképeket és kivonja a különböző, az áldozat gépére telepített software-ekbe (például Google Chrome, Mozilla Firefox és Microsoft Outlook) érkező személyi adatokat.

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kormányzat/hadsereg

3. ISP/MSP

2022. április top három sérülékenysége

Ebben a hónapban a „Web Server Exposed Git Repository Information Disclosure” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 46%-ánál jelent meg; az „Apache Log4j Remote Code Execution” ugyancsak a szervezetek 46%-ánál bukkant fel. Harmadik helyre került az „Apache Struts ParametersInterceptor ClassLoader Security Bypass”, globális hatása 46%.

1.↑ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki. 

2.↓ Apache Log4j Remote Code Execution – Az Apache Log4j-ben található sérülékenység, mely távoli kódok végrehajtását teszi lehetővé. A rés sikeres kihasználásával a távoli támadó tetszőleges kódot futtathat az érintett rendszeren.

3.↑ Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) – Az Apache Struts-ban található biztonsági sérülékenység, melyet a ParametersInterceptor által kezelt adatok nem megfelelő érvényesítése okoz, aminek révén lehetővé válik a ClassLoader manipulálása. A távoli támadó osztályparaméter megadásával tudja kihasználni ezt a sérülékenységet. 

2022. április top három rosszindulatú mobil családja:

Ebben a hónapban az AlienBot a legelterjedtebb program, őt követte a FluBot és az xHelper.

1. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.

2. FluBot. – Az Android alapú kártékony botnet, mely adathalász SMS üzenetekkel terjed, gyakran logisztikai brandeket megszemélyesítve. Ha a felhasználó ráklikkel az üzenetben foglalt linkre, a FluBot installálódik és hozzáfér a telefonon tárolt érzékeny információkhoz.

3. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

A kártékony programcsaládok teljes 2022. áprilisi Top 10 listája megtalálható a Check Point Blogon.