Киберпреступники все чаще используют зараженные файлы Excel — исследование
<p> <img width="380" alt="Киберпреступники все чаще используют зараженные файлы Excel — исследование" src="/upload/medialibrary/4af/cyber_attack.jpg" height="260" title="Киберпреступники все чаще используют зараженные файлы Excel — исследование" align="right">МИНСК, 18 февраля - ПраймПресс. Скрытые методы атак и активное использование вредоносных скриптов в файлах Excel позволяют кибервымогателям добиваться поставленных целей. Об этом говорится в отчете <!--noindex--><a href="https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q4-2021/" rel="nofollow" target="_blank"><u>HP Wolf Security Threat Insights Report</u></a><!--/noindex-->, выпущенном компанией HP Inc., в котором проанализированы произошедшие в IV квартале 2021 г кибератаки. </p> <p> Исследовательская группа HP Wolf Security обнаружила волну атак с использованием надстроек Excel, с помощью которых злоумышленники распространяют вредоносный код и получают доступ к устройствам и сетям, чтобы затем похитить данные предприятий или отдельных лиц. «Число злоумышленников, использующих вредоносные файлы надстроек Microsoft Excel (.xll) для заражения систем своих жертв, увеличилось почти в 7 раз по сравнению с прошлым кварталом. Такие атаки оказались очень опасными, т.к. для начала работы вредоносного ПО достаточно всего лишь кликнуть по отправленному киберпреступником файлу. Команда также обнаружила в даркнете рекламу «дропперов» (программного обеспечения для доставки и запуска .xll файлов) и целых наборов для создания программ, которые облегчают проведение подобных кампаний для неопытных злоумышленников», — отмечается в отчете. </p> <blockquote> <p> <i>Так, в ходе недавней спам-кампании QakBot злоумышленники распространяли файлы Excel через скомпрометированные учетные записи электронной почты. Преступники перехватывали электронную переписку и отправляли поддельные ответные сообщения с прикрепленным вредоносным файлом Excel (.xlsb). После доставки на устройство жертвы, QakBot внедряется в процессы ОС, чтобы таким образом избежать обнаружения. Вредоносные файлы Excel (.xls) также использовались для распространения банковского трояна Ursnif среди итальяноязычных предприятий и организаций государственного сектора посредством спама. При этом злоумышленники выдавали себя за служащих итальянской курьерской службы BRT. Новые кампании по распространению вредоносных программ Emotet теперь также используют Excel вместо файлов JavaScript или Word</i> </p> </blockquote> <i> </i> <p> Среди других заметных угроз, выявленных специалистами по безопасности HP Wolf Security, в отчете выделяются: </p> <p> </p> <ul> <li> Возможное возвращение TA505. Специалисты HP обнаружили фишинговую кампанию MirrorBlast, в рамках которой хакеры использовали те же тактики, методы и процедуры, что и TA505 – группа злоумышленников, известная массовыми кампаниями с рассылкой вредоносного спама и монетизацией доступа к зараженным системам с помощью программ-вымогателей. Новая кампания нацелена на организации и использует троян удаленного доступа FlawedGrace (RAT).</li> <li>Поддельная игровая платформа, распространяющая вредоносный код RedLine. Специалистами HP был обнаружен поддельный веб-сайт, с клиентом Discord, зараженным кодом RedLine, который похищал данные пользователей.</li> <li>Использование хакерами необычных типов файлов все еще позволяет обходить системы безопасности. Группа киберпреступников Aggah выбирает в качестве жертв корейскоговорящие организации и использует вредоносные файлы надстроек PowerPoint (.ppa), замаскированные под заказы от клиентов, чтобы заражать системы троянами удаленного доступа. Атаки через распространение зараженных файлов PowerPoint являются весьма непопулярным выбором и составляют всего 1% вредоносных программ.</li> </ul> <p> </p> <p> «Использование стандартных функций программного обеспечения в преступных целях является обычной тактикой для злоумышленников, чтобы избежать обнаружения – равно как и использование необычных типов файлов, которые способны «просочиться» через почтовые шлюзы, не обнаружив себя. Отделам безопасности не следует полагаться исключительно на технологии обнаружения вторжений: важно внимательно следить за появлением новых угроз и соответствующим образом обновлять свою защиту. Так, учитывая всплеск распространения вредоносных файлов .xll, который мы сегодня наблюдаем, мы настоятельно рекомендуем сетевым администраторам настраивать шлюзы электронной почты для блокировки входящих вложений .xll, делая исключения только для надстроек от доверенных партнеров, или полностью отключать надстройки Excel», — комментирует старший аналитик вредоносных программ в группе исследования угроз HP Wolf Security, HP Inc Алекс Холланд. </p> <p> По мнению вице-президента и генерального директора HP Inc. в Восточной Европе Алексея Воронкова, злоумышленники постоянно находят новые методы и уловки, позволяющие избегать обнаружения. «Киберпреступники сегодня активно используют такие методы атак, как перехват переписки в электронной почте, из-за чего пользователям становится еще труднее отличить коллег и партнеров от мошенников. Именно поэтому важно, чтобы предприятия выстраивали и корректировали свои системы безопасности в зависимости от ландшафта угроз и от бизнес-потребностей своих сотрудников», — отмечает он. </p> <p> Среди других ключевых выводов исследования в компании отмечают следующие: </p> <p> </p> <ul> <li> 13% изолированных вредоносных скриптов, отправленных по электронной почте, обошли хотя бы один сканер безопасности на почтовом шлюзе.</li> <li>в попытках заразить компьютеры организаций злоумышленники использовали 136 различных расширений файлов.</li> <li>77% обнаруженных вредоносных программ были доставлены по электронной почте, при этом на загрузку из Интернета приходилось лишь 13% из них.</li> <li>наиболее распространенными вложениями, используемыми для доставки вредоносных программ, были документы (29%), архивы (28%), файлы .exe (21%) и электронные таблицы (20%).</li> <li>наиболее распространенными фишинговыми приманками стали письма, связанные с Новым годом или бизнес-операциями, например, с такими темами как «Заказ», «2021/2022», «Оплата», «Покупка», «Заявка» и «Счет».</li> </ul> <p> </p> <p> «Сегодня злоумышленники, занимающиеся низкоуровневыми атаками, могут проводить скрытые нападения и продавать полученный доступ организованным группам киберпреступников, использующим в своей деятельности программы-вымогатели. В результате это приводит к масштабным атакам, которые могут вывести из строя ИТ-системы и привести к остановке работы всей организации, — комментирует д-р Йэн Пратт (Ian Pratt), глобальный руководитель отдела безопасности персональных систем, HP Inc. – Организациям следует сосредоточиться на уменьшении поверхности атак и обеспечении быстрого восстановления работоспособности своих систем в случае их компрометации. Это означает введение строгих систем идентификации, предоставление минимальных привилегий пользователям и изоляции устройств, начиная с аппаратного уровня». </p>
2022-02-18
Primepress
МИНСК, 18 февраля - ПраймПресс. Скрытые методы атак и активное использование вредоносных скриптов в файлах Excel позволяют кибервымогателям добиваться поставленных целей. Об этом говорится в отчете HP Wolf Security Threat Insights Report, выпущенном компанией HP Inc., в котором проанализированы произошедшие в IV квартале 2021 г кибератаки.
Исследовательская группа HP Wolf Security обнаружила волну атак с использованием надстроек Excel, с помощью которых злоумышленники распространяют вредоносный код и получают доступ к устройствам и сетям, чтобы затем похитить данные предприятий или отдельных лиц. «Число злоумышленников, использующих вредоносные файлы надстроек Microsoft Excel (.xll) для заражения систем своих жертв, увеличилось почти в 7 раз по сравнению с прошлым кварталом. Такие атаки оказались очень опасными, т.к. для начала работы вредоносного ПО достаточно всего лишь кликнуть по отправленному киберпреступником файлу. Команда также обнаружила в даркнете рекламу «дропперов» (программного обеспечения для доставки и запуска .xll файлов) и целых наборов для создания программ, которые облегчают проведение подобных кампаний для неопытных злоумышленников», — отмечается в отчете.
Так, в ходе недавней спам-кампании QakBot злоумышленники распространяли файлы Excel через скомпрометированные учетные записи электронной почты. Преступники перехватывали электронную переписку и отправляли поддельные ответные сообщения с прикрепленным вредоносным файлом Excel (.xlsb). После доставки на устройство жертвы, QakBot внедряется в процессы ОС, чтобы таким образом избежать обнаружения. Вредоносные файлы Excel (.xls) также использовались для распространения банковского трояна Ursnif среди итальяноязычных предприятий и организаций государственного сектора посредством спама. При этом злоумышленники выдавали себя за служащих итальянской курьерской службы BRT. Новые кампании по распространению вредоносных программ Emotet теперь также используют Excel вместо файлов JavaScript или Word
Среди других заметных угроз, выявленных специалистами по безопасности HP Wolf Security, в отчете выделяются:
«Использование стандартных функций программного обеспечения в преступных целях является обычной тактикой для злоумышленников, чтобы избежать обнаружения – равно как и использование необычных типов файлов, которые способны «просочиться» через почтовые шлюзы, не обнаружив себя. Отделам безопасности не следует полагаться исключительно на технологии обнаружения вторжений: важно внимательно следить за появлением новых угроз и соответствующим образом обновлять свою защиту. Так, учитывая всплеск распространения вредоносных файлов .xll, который мы сегодня наблюдаем, мы настоятельно рекомендуем сетевым администраторам настраивать шлюзы электронной почты для блокировки входящих вложений .xll, делая исключения только для надстроек от доверенных партнеров, или полностью отключать надстройки Excel», — комментирует старший аналитик вредоносных программ в группе исследования угроз HP Wolf Security, HP Inc Алекс Холланд.
По мнению вице-президента и генерального директора HP Inc. в Восточной Европе Алексея Воронкова, злоумышленники постоянно находят новые методы и уловки, позволяющие избегать обнаружения. «Киберпреступники сегодня активно используют такие методы атак, как перехват переписки в электронной почте, из-за чего пользователям становится еще труднее отличить коллег и партнеров от мошенников. Именно поэтому важно, чтобы предприятия выстраивали и корректировали свои системы безопасности в зависимости от ландшафта угроз и от бизнес-потребностей своих сотрудников», — отмечает он.
Среди других ключевых выводов исследования в компании отмечают следующие:
«Сегодня злоумышленники, занимающиеся низкоуровневыми атаками, могут проводить скрытые нападения и продавать полученный доступ организованным группам киберпреступников, использующим в своей деятельности программы-вымогатели. В результате это приводит к масштабным атакам, которые могут вывести из строя ИТ-системы и привести к остановке работы всей организации, — комментирует д-р Йэн Пратт (Ian Pratt), глобальный руководитель отдела безопасности персональных систем, HP Inc. – Организациям следует сосредоточиться на уменьшении поверхности атак и обеспечении быстрого восстановления работоспособности своих систем в случае их компрометации. Это означает введение строгих систем идентификации, предоставление минимальных привилегий пользователям и изоляции устройств, начиная с аппаратного уровня».