Prim Hírek

A Trickbot banki trójai pénzügyi és folyószámla adatok, valamint személyi azonosító információk eltulajdonítására képes, hálózatokon terjed és azokon zsaroló programokat helyez el. Az Emotet januári leállítása óta a Trickbot öt alkalommal került a leggyakoribb kártékony programok listájának első helyére. Folyamatosan új képességekkel, tulajdonságokkal és terjesztési vektorokkal frissítik, melyek lehetővé teszik, hogy több-funkciós kampányok részeként terjeszthető, rugalmas és testre szabható kártékony program legyen.

A hónap során egy új szereplő, az „Apache HTTP Server Directory Traversal” jelent meg a leggyakrabban kihasznált sérülékenységek listáján, a tizedik helyre került. Amikor első alkalommal jelent meg, az Apache fejlesztői javításokat adtak ki a CVE-2021-41773-re az Apache HTTP Server 2.4.5-en. Azonban, kiderült, hogy ez nem volt hatékony, és az útvonal-bejárási sebezhetőség továbbra is ott van az Apache HTTP kiszolgálón. Ennek sikeres kihasználásával a támadó hozzáférhet az érintett rendszer tetszőleges file-jaihoz.

„Az Apache sebezhetősége október elején derült ki, és már most világszerte a tíz leggyakrabban kihasznált között van, ami jól mutatja milyen gyorsan reagálnak a támadók. A fenyegetéseket indítók útvonal-bejárási támadás indításával feltérképezik az URL-eket és a gyökérkönyvtáron kívüli területekről tudják elérni a file-okat,” - mondta Maya Horowitz, a Check Point Software kutatásért felelős vezetője. „Nagyon fontos, hogy az Apache felhasználók rendelkezzenek a megfelelő védelmet nyújtó technológiával. Ebben a hónapban, a sokszor zsaroló programok elhelyezésére használt Trickbot, megint a leggyakrabban előforduló kártékony program volt. Világszinten minden hatvanegyedik szervezet heti szinten tapasztal zsaroló támadást. Ez egy döbbenetes adat – a vállalatoknak sokkal többet kell tenniük. Sok támadás egyetlen e-mail-el indul, tehát a szervezetek által alkalmazható egyik legfontosabb védelmi megoldás megtanítani a felhasználókat a potenciális fenyegetések felismerésére.”

A CPR ebben a hónapban arra is felhívta a figyelmet, hogy világszerte a legtöbb támadás az oktatási-kutatási szektor ellen történt, ezt követte a kommunikáció és a kormányzat/hadsereg területe. A „Web Servers Malicious URL Directory Traversal” volt a leggyakrabban kihasznált sérülékenység, világszerte a szervezetek 60%-ánál jelent meg. Ezt követi a „ Web Server Exposed Git Repository Information Disclosure”, mely a szervezetek 55%-ánál bukkant fel. Harmadik helyen áll az „HTTP Headers Remote Code Execution”, globális hatása 54%.

2021. október top három kártékony programcsaládja:

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

A hónap során a Trickbot tartotta az első helyet, világszerte a szervezetek 4%-ánál volt jelen, ezt követi az XMRig és a Remcos, mindkettő a szervezetek 2%-ánál jelent meg.

1.↔ Trickbot – Folyamatosan frissített, moduláris botnet és banki trójai. Emiatt rugalmas és testre szabható kártékony program, melyet többcélú kampányok részeként tudnak terjeszteni. 

2.↑ XMRig – A még 2017 májusában megjelent XMRig egy nyílt kódú CPU bányász software, melyet a Monero crypto-valuta bányászatára használnak.

3.↑ Remcos – A távoli hozzáférés trójai (RAT) 2016-ban jelent meg. Spam levelekhez csatolt, kártékony Microsoft Office dokumentumokon keresztül terjeszti önmagát, úgy tervezték, hogy át tudjon jutni a Microsoft Windows UAC biztonsági rendszerén és magasszintű jogosultságokkal bíró, kártékony programokat futtasson. 

A világszerte legtöbb támadást elszenvedő iparágak:

1. Oktatás/kutatás

2. Kommunikáció

3. Kormányzat/hadsereg

2021. október top három sérülékenysége:

Ebben a hónapban a „Web Servers Malicious URL Directory Traversal” volt a leggyakrabban kihasznált sérülékenység, mely világszerte a vállalatok 60%-ánál jelent meg. Ezt követi az „Command Injection Over HTTP”, mely a szervezetek 55%-ánál bukkant fel. Harmadik helyen áll a „HTTP Headers Remote Code Execution”, globális hatása 54%.

1.↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Különböző web-szervereken tapasztalt útvonal-bejárási sebezhetőség, aminek oka egy input validációs hiba egy olyan web-szerveren, mely nem megfelelően tisztítja az URL-t az útvonal-bejárási mintázatokhoz. Sikeres visszaélés esetén a jogosulatlan távoli támadók tetszőleges file-okat tehetnek közzé vagy érhetnek el a sebezhető kiszolgálón. 

2.↓ Web Server Exposed Git Repository Information Disclosure – A Git Repository-ban jelentett adatszivárgásos sérülékenység, melyen keresztül a felhasználói fiókkal kapcsolatos információk kerülhetnek ki.

3.↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – A HTTP fejléceken keresztül a kliens és a szerver HTTP kéréssel kiegészítő információkat továbbít. A távoli támadó kihasználhatja a sérülékeny HTTP fejlécet és önkényes kódot futtathat az áldozat gépén.

2021. október top három rosszindulatú mobil családja:

Ebben a hónapban is maradt az xHelper a legelterjedtebb program, őt követte az AlienBot és az XLoader.

1. xHelper – A 2019 márciusában felbukkant alkalmazást más kártevő alkalmazások letöltésére és hirdetések megjelenítésére használják. Képes elrejtőzni a felhasználó elől és újratelepíteni önmagát még akkor is, ha törlik.

2. AlienBot – Az AlienBot kártékony programcsalád egy Android eszközökre fejlesztett MaaS (Malware-as-a-Service), mely lehetővé teszi a támadó számára, hogy első lépésként kártékony kódot juttasson be a legitim pénzügyi alkalmazásokba. A támadó hozzáférést szerez az áldozat felhasználói fiókjaihoz, végül pedig teljesen átveszi az irányítást az eszköz fölött.

3. XLoader – Android spyware és banki trójai program, melyet a Yanbian Gang kínai hacker csoport fejlesztett ki. A kártékony program DNS pózolást használ a fertőzött Android app-ok terjesztéséhez, így gyűjt személyes és pénzügyi információkat.

A Check Point Global Threat Impact Index és a ThreatCloud Map alapja a Check Point ThreatCloudTM intelligence, mely a szenzorok százmillióinak, hálózatokban, végpontokon és mobilokon található globális hálózatából nyert adatok alapján valós idejű, fenyegetésekkel kapcsolatos információkat szolgáltat. Mindezt AI-alapú motorokkal és a Check Point Software Technologies kutatórészlege, a Check Point Research exkluzív kutatási adataival bővítik ki. 

A kártékony programcsaládok teljes 2021. októberi Top 10 listája megtalálható a Check Point Blogon.