HP Wolf Security 2024 Yılının İlk Çeyreğine İlişkin En Önemli Siber Tehditleri Açıkladı

HP Wolf Security 2024 Yılının İlk Çeyreğine İlişkin En Önemli Siber Tehditleri Açıkladı

Perşembe günü yayımlanan üç aylık HP Wolf Güvenlik Tehdit Analizleri Raporu’na göre, ağ paraziti haline gelmek için popüler bir Microsoft dosya aktarım aracını kullanan kedi kimlik avı ve sahte faturalandırma, siber suçluların bu yılın ilk üç ayında kullandığı dikkate değer teknikler arasında yer alıyor.

Şirketin yazılımını çalıştıran milyonlarca uç noktadan alınan verilerin analizine dayanan rapor, dijital çaresizlerin bir tür web sitesi güvenlik açığından yararlanarak yayın kimlik avı yapan kullanıcıları kötü niyetli çevrimiçi konumlara yönlendirdiğini tespit etti. Kullanıcılar önce meşru bir web sitesine gönderilir, ardından kötü amaçlı siteye yönlendirilir; bu, hedefin geçişi tespit etmesini zorlaştıran bir taktiktir.

Güvenlik farkındalığı savunucusu Erich Kron, “Açık yönlendirme güvenlik açıkları oldukça yaygın olabilir ve istismar edilmesi kolaydır” dedi. KnowBe4Clearwater, Florida’da bir güvenlik farkındalığı eğitim sağlayıcısı.

TechNewsWorld’e şunları söyledi: “İçlerindeki güç, siber suçluların en sevdiği araç olan aldatmacaya dayanıyor.” “Açık yönlendirme, kötü niyetli aktörlerin, mesajdaki bağlantıyı URL’nin sonunda, insanlar tarafından nadiren kontrol edilen ve kullanıcıyı kötü niyetli tarafa yönlendiren bir kısım içerecek şekilde hazırlayarak, kötü amaçlı bir URL’ye yönlendirmek için meşru bir URL kullanmasına olanak tanır. bağlantının üzerine gelecek kadar bilgi sahibi olsalar bile.”

“Tarayıcıdaki URL, kişinin yönlendirildiği siteyi gösterse de, mağdurun zaten meşru bir bağlantıya tıkladığına inandıktan sonra siteyi kontrol etme olasılığı daha düşük” diye açıkladı.

“İnsanlara, meşru göründüklerinden emin olmak için bağlantıların üzerine gelmelerini öğretmek yaygındır” diye ekledi, “ancak aynı zamanda şifreler, PII veya herhangi bir hassas bilgiyi girmeden önce tarayıcı çubuğundaki URL’yi her zaman gözden geçirmeleri de öğretilmelidir.” Kredi kartı numaraları.”

CEO’su Patrick Harr, e-postanın ek tabanlı yönlendirmelerin birincil dağıtım mekanizması olmaya devam ettiğini belirtti. Eğik çizgiSonrakiPleasanton, Kaliforniya’da bir ağ güvenlik şirketi olan . “Ama” dedi TechNewsWorld’e, “bu eklerin e-posta dışında Slack, Teams, Discord ve diğer mesajlaşma uygulamalarında gerçek gibi görünen karışık dosya adlarıyla teslim edildiğini de görüyoruz.”

BITS’ten yararlanma

Raporda tespit edilen bir diğer dikkate değer saldırı, bir kuruluşun sistemleri üzerinde “toprakta yaşama” baskınları gerçekleştirmek için Windows Arka Plan Akıllı Aktarım Hizmeti’nin (BITS) kullanılmasıdır. BITS, BT personelinin dosyaları indirmek ve yüklemek için kullandığı bir araç olduğundan, saldırganlar tespit edilmekten kaçınmak için bunu kullanabilir.

Ashley Leonard, CEO’su SyxsenseKüresel bir BT ve güvenlik çözümleri şirketi olan BITS, boşta kalan ağ bant genişliğini kullanarak dosyaları arka planda aktarmak için tasarlanmış bir Windows bileşeni olduğunu açıkladı. Genellikle arka planda güncellemeleri indirmek, sistemin işi aksatmadan güncel kalmasını sağlamak veya bulut senkronizasyonu için kullanılır, OneDrive gibi bulut depolama uygulamalarının dosyaları yerel bir makine ile bulut depolama hizmeti arasında senkronize etmesini sağlar.

Leonard, TechNewsWorld’e şunları söyledi: “Maalesef BITS, Wolf HP raporunda da belirtildiği gibi kötü amaçlarla da kullanılabilir.” “Kötü niyetli aktörler BITS’i veri sızdırmak, komuta ve kontrol iletişimleri veya kendilerini kuruluşa daha derinden yerleştirmek için kötü amaçlı kod çalıştırmak gibi kalıcı faaliyetler için BITS’i kullanabilir.”

“Microsoft, meşru kullanımları nedeniyle BITS’in devre dışı bırakılmasını önermiyor” dedi ve şöyle devam etti: “Ancak işletmelerin, bunu istismar eden kötü niyetli aktörlere karşı kendilerini koruyabilecekleri yollar var.” Bunlar şunları içerir:

  • Büyük miktarda verinin harici sunuculara veya şüpheli etki alanlarına aktarılması gibi olağandışı BITS trafik modellerini tespit etmek için ağ izleme araçlarını kullanın.
  • BITS’yi yalnızca yetkili uygulama ve hizmetlerin kullanmasına izin verecek ve yetkisiz süreçlerin BITS’e erişme girişimlerini engelleyecek şekilde yapılandırın.
  • Bir uzlaşma durumunda saldırganların yanal hareketini sınırlamak için kritik sistemleri ve verileri ağın daha az hassas alanlarından ayırın.
  • Saldırganların yararlanabileceği bilinen tüm güvenlik açıklarını düzeltmek için tüm sistemleri en son yamalar ve güvenlik güncellemeleriyle güncel tutun.
  • Siber saldırganların kullandığı en son taktikler, teknikler ve prosedürler hakkında bilgi sahibi olmak için tehdit istihbaratı akışlarından yararlanın ve güvenlik kontrollerini buna göre proaktif olarak ayarlayın.

Faturadaki RAT

HP Wolf raporu aynı zamanda ağ yağmacılarının, satıcı faturası gibi görünen HTML dosyalarının içine kötü amaçlı yazılım gizlediğini de ortaya çıkardı. Dosyalar bir web tarayıcısında açıldığında, açık kaynaklı kötü amaçlı yazılım AsyncRAT’ı dağıtan bir olaylar zincirini açığa çıkarır.

Tehdit istihbaratı direktörü Nick Hyatt, “Kötü amaçlı yazılımları HTML dosyalarında saklamanın avantajı, saldırganların çoğu durumda hedefleriyle etkileşime girmeye güvenmeleridir” dedi. Blackpoint SiberEllicott City, MD’de tehdit avcılığı, tespit ve yanıt teknolojisi sağlayıcısı olan .

TechNewsWorld’e şunları söyledi: “Sahte bir faturada kötü amaçlı yazılım saklayan bir saldırgan, muhtemelen kullanıcının faturaya tıklayarak faturanın ne için olduğunu görmesini sağlayabilir.” “Bu da kullanıcının etkileşime girmesini sağlıyor ve başarılı uzlaşma şansını artırıyor.”

Fatura tuzaklarıyla şirketleri hedeflemek kitaptaki en eski hilelerden biri olsa da yine de çok etkili ve kazançlı olabilir.

HP Wolf Baş Tehdit Araştırmacısı Patrick Schläpfer yaptığı açıklamada, “Finans departmanlarında çalışan çalışanlar faturaları e-posta yoluyla almaya alışkın olduğundan onları açma olasılıkları daha yüksek” dedi. “Başarılı olursa, saldırganlar erişimlerini siber suçlu aracılara satarak veya fidye yazılımı dağıtarak hızla para kazanabilirler.”

Güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet şunları ekledi: “Son derece kaçamak yapan tarayıcı tabanlı saldırıların oluşturduğu artan tehdit ortamı, kuruluşların tarayıcı güvenliğine öncelik vermesi ve proaktif siber güvenlik önlemleri alması gereken bir başka nedendir.” Kaleci GüvenliğiChicago’da bir şifre yönetimi ve çevrimiçi depolama şirketi.

Tarayıcı tabanlı kimlik avı saldırılarındaki hızlı artış, özellikle de kaçınma taktikleri kullananlar, gelişmiş korumaya yönelik acil ihtiyacın altını çiziyor” dedi TechNewsWorld’e.

Geçirimsiz Ağ Geçidi Tarayıcılarından Daha Azı

Başka bir rapor bulgusu, HP Wolf yazılımı tarafından tanımlanan e-posta tehditlerinin %12’sinin bir veya daha fazla e-posta ağ geçidi tarayıcısını atlattığıydı.

“E-posta ağ geçidi tarayıcıları, yaygın e-posta tehdit türlerini ortadan kaldırmak için yararlı bir araç olabilir. Ancak hedef odaklı kimlik avı veya balina avcılığı gibi daha hedefli saldırılarda çok daha az etkili oluyorlar”, diye gözlemledi KnowBe4’ten Kron.

“E-posta tarayıcıları, hatta AI kullananlar bile, genellikle kalıplar veya anahtar kelimeler arar veya eklerde veya URL’lerde tehdit arar” diye devam etti. Kötü aktörler alışılmadık taktikler kullanırsa filtreler onları gözden kaçırabilir.”

“Tehditleri filtrelemek ile meşru e-posta mesajlarını engellemek arasında ince bir çizgi var” dedi ve “çoğu durumda filtreler daha muhafazakar olacak ve önemli iletişimi durdurarak sorun yaratma olasılığı daha düşük olacak şekilde ayarlanacak.”

E-posta ağ geçidi tarayıcılarının, kusurlarına rağmen, hayati güvenlik kontrolleri olduğunu kabul etti, ancak çalışanlara, bunu başaran saldırıları nasıl tespit edip hızlı bir şekilde rapor edeceklerinin öğretilmesinin de kritik olduğunu ileri sürdü.

Ürün stratejisinden sorumlu başkan yardımcısı Krishna Vishnubhotla, “Kötü aktörler, geleneksel algılama mekanizmalarını atlayan e-posta kampanyaları tasarlama konusunda yaratıcı oluyor” diye ekledi. CimperiumDallas merkezli bir mobil güvenlik şirketi.

“Kuruluşlar, çalışanlarını tüm eski ve mobil uç noktalarda kimlik avı bağlantılarından, kötü amaçlı QR kodlarından ve bu e-postalardaki kötü amaçlı eklerden korumalıdır” dedi.

Yorum gönder