ענקית המחשוב והטכנולוגיה HP פרסמה את דו"ח חטיבת הסייבר HP Wolf Security, לרבעון השני של שנת 2023, החושף שיטות חדשות של גורמי פשיעה ברשת הכוללים התקפות משולבות, בסגנון של משחק קוביות, כאשר מפיצי התוכנה הזדונית עוברים בין שילובים רבים של סוגי קבצים כדי להדביק מחשבים אישיים, זאת במטרה להתגנב דרך כלי זיהוי ואבטחה. עוד חושף הדו"ח, עלייה של 23% בניסיונות תקיפה של הברחת HTML בקבצים מצורפים, בזמן שדואר אלקטרוני (79%) והורדות דפדפנים (12%) מובילים ברבעון השני כאמצעים הפופולריים ביותר להחדרת תוכנות זדוניות.
הדו"ח מפרט את האמצעים בהם פושעי סייבר מנסים לעקוף מדיניות אבטחה וכלי זיהוי. להלן הממצאים המרכזיים:
- 44% מניסיונות התקיפה בוצעו באמצעות קבצי ארכיון אשר מהווים את כלי ההתקפה הפופולרי ביותר של תוכנות זדוניות, זה הרבעון החמישי ברציפות
- עלייה של 23% בניסיונות תקיפה של הברחת HTML בקבצים מצורפים
- עלייה של 18% בקובצי הפעלה, בעיקר כתוצאה משימוש בקובץ exe, המהווה וירוס טרויאני זדוני המבצע שינויים בהגדרות הדפדפן
- לפחות 12% מניסיונות התקיפה דרך דוא"ל שזוהו עקפו סורק שער דוא"ל אחד או יותר
- דואר אלקטרוני (79%) והורדות דפדפנים (12%) מובילים ברבעון השני כאמצעים הפופולריים ביותר להחדרת תוכנות זדוניות.
בנוסף, הדו"ח מציג טקטיקות תקיפה חדשות של פושעי סייבר. להלן הממצאים המרכזיים:
- התקפה משולבת בסגנון של משחק קוביות – 32% מניסיונות התקיפה באמצעות סוס טרויאני הנקרא QakBot, אשר תוקף בעיקר ארגונים פיננסיים ובנקים, מסווגות כמיוחדות (unique) מכיוון שבוצעו באמצעות החלפת סוגי קבצים וטקטיקות כמו משחק קוביות, הצליחו לעקוף כלי זיהוי ומדיניות אבטחה.
- Keylogger (רישום הקשות) במסווה – זוהו ניסיונות תקיפה של קבוצת פושעי הסייבר "Aggah" בהן הוחדר בהסתר קוד זדוני בפלטפורמת הבלוגים הפופולרית, Blogspot. הסתרת הקוד במקור לגיטימי כמו Blogspot מקשה על כלי הזיהוי והאבטחה באיתור התוקף. לאחר הסתרת הקוד, פושעי סייבר משתמשים בידע שהם שואבים על מערכות Windows כדי להשבית יכולות זיהוי ואבטחה במחשב המשתמש, ומפעילים סוס טרויאני XWorm או AgentTesla לגישה מרחוק (RAT) ולבסוף גונבים מידע רגיש.
- עלייה בניסיונות התקיפה של ארגון הפשיעה המקוון "Aggah" באמצעות שאילתת רשומות DNS TXT – עלייה בהתקפות של קבוצת הפשע Aggah"" שבוצעו באמצעות שאילתת רשומותDNS TXT, המשמשת בדרך כלל לגישה למידע על שמות דומיין, בכדי להחדיר סוס טרויאני (RAT) מסוגAgentTesla . פושעי סייבר מנצלים את העובדה שפרוטוקול ה-DNS אינו מנוטר לעיתים על ידי צוותי אבטחה והסיכוי לחמוק מכלי הזיהוי והאבטחה גדול יותר.
- ניסיונות תקיפה באמצעות תוכנה זדונית רב-לשונית: זוהה ניסיון תקיפה באמצעות שילוב של מספר שפות תכנות. תחילה, נעשתה הצפנה באמצעות צופן שנכתב ב-Go, שמביא לידי השבתה של כלי הסריקה נגד תוכנות זדוניות שאמורות לזהות את הפעולה. לאחר מכן, המתקפה מחליפה את שפת התכנות ל-C++ כדי ליצור אינטראקציה עם מערכת ההפעלה של הקורבן וכך להביא לידי הפעלה של תוכנה זדונית NET בזיכרון, המשאירה מספר עקבות מינימלי במחשב.
פטריק שלאפפר, אנליסט תוכנות זדוניות בצוות המחקר של חטיבת HP Wolf Security:
"כיום אנחנו מתמודדים עם תוקפים מאורגנים יותר ובעלי ידע רחב יותר. הם חוקרים ומנתחים חלקים פנימיים של מערכות ההפעלה וכך מאתרים ומצמצמים את הפערים הקיימים. בכך שהם יודעים אילו דלתות יש להזיז, הם יכולים לנווט במערכות פנימיות בקלות, תוך שימוש בטכניקות פשוטות יחסית אך יעילות מאוד, כל זאת מבלי להפעיל אות התרעה".
את הדו"ח המלא ניתן לקרוא כאן
