information technology professional usinging artifical intelligence to monitor a computer network

HP Wolf Security بزرگترین تهدیدات سایبری سه ماهه اول 2024 را آشکار می کند

از

بر اساس گزارش سه ماهه HP Wolf Security Threat Insights منتشر شده در روز پنجشنبه، گربه فیشینگ، استفاده از ابزار محبوب انتقال فایل مایکروسافت برای تبدیل شدن به یک انگل شبکه و صورتحساب جعلی از جمله تکنیک های قابل توجهی هستند که مجرمان سایبری در سه ماه اول سال جاری به کار گرفتند.

بر اساس تجزیه و تحلیل داده‌های میلیون‌ها نقطه پایانی که نرم‌افزار این شرکت را اجرا می‌کنند، این گزارش دریافت که افراد مستأصل دیجیتالی از نوعی آسیب‌پذیری وب‌سایت برای کاربران گربه‌فیش سوء استفاده می‌کنند و آنها را به مکان‌های بدخواه آنلاین هدایت می‌کنند. کاربران ابتدا به یک وب سایت قانونی فرستاده می شوند، سپس به سایت مخرب هدایت می شوند، تاکتیکی که تشخیص سوئیچ را برای هدف دشوار می کند.

اریش کرون، مدافع آگاهی امنیتی در KnowBe4، ارائه‌دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، خاطرنشان کرد: «آسیب‌پذیری‌های تغییر مسیر باز می‌توانند نسبتاً رایج باشند و به راحتی قابل بهره‌برداری هستند.

او به TechNewsWorld گفت: «قدرت آنها به ابزار مورد علاقه مجرمان سایبری یعنی فریب بازمی گردد. تغییر مسیر باز به بازیگران بد این امکان را می‌دهد تا از یک URL قانونی برای تغییر مسیر به یک آدرس مخرب استفاده کنند و پیوندی را در پیام ایجاد کنند تا بخشی را در انتهای URL قرار دهند، که به ندرت توسط افراد بررسی می‌شود و کاربر را به آدرس مخرب می‌برد. سایت، حتی اگر آنها به اندازه کافی بدانند که روی پیوند قرار بگیرند.”

او توضیح داد: «در حالی که URL موجود در مرورگر سایتی را نشان می‌دهد که شخص به آن هدایت شده است، قربانی پس از این که معتقد است قبلاً روی یک پیوند قانونی کلیک کرده است، کمتر آن را بررسی می‌کند.

او افزود: «معمولاً به افراد آموزش داده می‌شود که روی پیوندها نگه دارند تا مطمئن شوند که مشروع به نظر می‌رسند. شماره کارت اعتباری.”

پاتریک هار، مدیر عامل SlashNext، یک شرکت امنیت شبکه در Pleasanton، کالیفرنیا، خاطرنشان کرد: ایمیل همچنان یک مکانیزم تحویل اولیه برای تغییر مسیرهای مبتنی بر پیوست است. اما او به TechNewsWorld گفت: «ما همچنین شاهد تحویل این پیوست‌ها در خارج از کشور هستیم. ایمیل در Slack، Teams، Discord و سایر برنامه‌های پیام‌رسان با نام فایل‌های مبهم که واقعی به نظر می‌رسند.

بهره برداری از BITS

حمله قابل توجه دیگری که در این گزارش شناسایی شده است، استفاده از سرویس انتقال هوشمند پس‌زمینه ویندوز (BITS) برای انجام حملات «زندگی خارج از زمین» بر روی سیستم‌های یک سازمان است. از آنجایی که BITS ابزاری است که توسط کارکنان فناوری اطلاعات برای دانلود و آپلود فایل ها استفاده می شود، مهاجمان می توانند از آن برای جلوگیری از شناسایی استفاده کنند.

اشلی لئونارد، مدیر عامل Syxsense، یک شرکت جهانی فناوری اطلاعات و راه حل های امنیتی، توضیح داد که BITS جزء ویندوز است که برای انتقال فایل ها در پس زمینه با استفاده از پهنای باند شبکه بیکار طراحی شده است. معمولاً برای دانلود به‌روزرسانی‌ها در پس‌زمینه استفاده می‌شود، اطمینان می‌دهد که سیستم بدون ایجاد اختلال در کار یا برای همگام‌سازی ابری به‌روز می‌ماند، و برنامه‌های ذخیره‌سازی ابری مانند OneDrive را قادر می‌سازد تا فایل‌ها را بین یک ماشین محلی و سرویس ذخیره‌سازی ابری همگام‌سازی کنند.

لئونارد به TechNewsWorld گفت: «متاسفانه، همانطور که در گزارش Wolf HP ذکر شد، BITS می‌تواند به روش‌های شرورانه نیز استفاده شود. بازیگران مخرب می‌توانند از BITS برای تعدادی از فعالیت‌ها استفاده کنند – برای استخراج داده‌ها، ارتباطات فرمان و کنترل یا فعالیت‌های پایدار، مانند اجرای کدهای مخرب برای نفوذ عمیق‌تر به شرکت.

او گفت: «مایکروسافت غیرفعال کردن BITS را به دلیل استفاده‌های قانونی آن توصیه نمی‌کند، اما راه‌هایی وجود دارد که شرکت‌ها می‌توانند از خود در برابر عوامل مخربی که از آن سوء استفاده می‌کنند محافظت کنند.» آنها عبارتند از:

  • از ابزارهای نظارت شبکه برای شناسایی الگوهای ترافیک غیرعادی BITS، مانند انتقال مقادیر زیادی داده به سرورهای خارجی یا دامنه های مشکوک، استفاده کنید.
  • BITS را پیکربندی کنید تا فقط به برنامه‌ها و سرویس‌های مجاز اجازه استفاده از آن را بدهد و هرگونه تلاش فرآیندهای غیرمجاز برای دسترسی به BITS را مسدود کنید.
  • سیستم‌ها و داده‌های حیاتی را از مناطق کمتر حساس شبکه جدا کنید تا حرکت جانبی مهاجمان را در صورت مصالحه محدود کنید.
  • تمام سیستم ها را با آخرین وصله ها و به روز رسانی های امنیتی به روز نگه دارید تا هر گونه آسیب پذیری شناخته شده ای را که می تواند توسط مهاجمان مورد سوء استفاده قرار گیرد برطرف کنید.
  • از فیدهای اطلاعاتی تهدید استفاده کنید تا از آخرین تاکتیک‌ها، تکنیک‌ها و رویه‌هایی که مهاجمان سایبری استفاده می‌کنند مطلع بمانید و کنترل‌های امنیتی را بر این اساس تنظیم کنید.

RAT در فاکتور

گزارش HP Wolf همچنین متوجه شد که غارتگران شبکه بدافزار را در فایل‌های HTML پنهان کرده‌اند که به صورت فاکتورهای فروشنده ظاهر می‌شوند. پس از باز شدن در یک مرورگر وب، فایل‌ها زنجیره‌ای از رویدادها را آزاد می‌کنند که بدافزار منبع باز AsyncRAT را مستقر می‌کنند.

نیک حیات، مدیر اطلاعات تهدید در Blackpoint Cyber، ارائه‌دهنده فناوری شکار، شناسایی و پاسخ تهدید در شهر Ellicott می‌گوید: «مزیت پنهان کردن بدافزار در فایل‌های HTML این است که مهاجمان در بیشتر موارد به تعامل با هدف خود متکی هستند. ، Md.

او به TechNewsWorld گفت: “با پنهان کردن بدافزار در یک فاکتور جعلی، یک مهاجم احتمالاً کاربر را وادار می کند تا روی آن کلیک کند تا ببیند فاکتور برای چیست.” “این به نوبه خود باعث تعامل کاربر و افزایش شانس برای سازش موفق می شود.”

در حالی که هدف قرار دادن شرکت ها با فریب های فاکتور یکی از قدیمی ترین ترفندهای کتاب است، اما هنوز هم می تواند بسیار مؤثر و سودآور باشد.

پاتریک شلپفر، محقق اصلی تهدید HP Wolf در بیانیه‌ای گفت: «کارمندانی که در بخش‌های مالی کار می‌کنند عادت دارند فاکتورها را از طریق ایمیل دریافت کنند، بنابراین احتمال باز کردن آنها بیشتر است. در صورت موفقیت، مهاجمان می توانند به سرعت از دسترسی خود با فروش آن به کارگزاران مجرمان سایبری یا با استقرار باج افزار درآمد کسب کنند.

پاتریک تیکت، معاون امنیت و معماری در Keeper Security، یک شرکت مدیریت رمز عبور و ذخیره‌سازی آنلاین، اضافه کرد: «چشم‌انداز تهدید فزاینده ناشی از حملات بسیار گریزان مبتنی بر مرورگر دلیل دیگری است که سازمان‌ها باید امنیت مرورگر را در اولویت قرار دهند و اقدامات پیشگیرانه امنیت سایبری را به کار گیرند. ، در شیکاگو

او به TechNewsWorld گفت: افزایش سریع حملات فیشینگ مبتنی بر مرورگر، به‌ویژه حملاتی که از تاکتیک‌های فراری استفاده می‌کنند، نیاز مبرم به حفاظت پیشرفته را برجسته می‌کند.

کمتر از اسکنرهای دروازه نفوذ ناپذیر

یافته دیگر گزارش این بود که 12 درصد از تهدیدات ایمیل شناسایی شده توسط نرم افزار HP Wolf یک یا چند اسکنر دروازه ایمیل را دور زده بودند.

اسکنرهای دروازه ایمیل می توانند ابزار مفیدی برای از بین بردن انواع رایج تهدیدات ایمیل باشند. با این حال، آنها در حملات هدفمندتر، مانند نیزه شکاری یا شکار نهنگ، بسیار کمتر موثر هستند.

او ادامه داد: «اسکنرهای ایمیل، حتی آنهایی که از هوش مصنوعی استفاده می کنند، معمولاً به دنبال الگوها یا کلمات کلیدی هستند یا در پیوست ها یا URL ها به دنبال تهدید می گردند. اگر بازیگران بد از تاکتیک های غیر معمول استفاده کنند، ممکن است فیلترها آنها را از دست بدهند.”

او گفت: «میان فیلتر کردن تهدیدات و مسدود کردن پیام‌های ایمیل مشروع مرز باریکی وجود دارد، و در بیشتر موارد، فیلترها محافظه‌کارانه‌تر هستند و با توقف ارتباطات مهم کمتر باعث ایجاد مشکل می‌شوند.»

او تصدیق کرد که اسکنرهای دروازه ایمیل، حتی با وجود نقص‌هایشان، کنترل‌های امنیتی حیاتی هستند، اما او همچنین تاکید کرد که بسیار مهم است که به کارکنان آموزش داده شود که چگونه حملاتی را که انجام می‌دهند شناسایی کرده و به سرعت گزارش دهند.

Krishna Vishnubhotla، معاون استراتژی محصول در Zimperium، یک شرکت امنیت تلفن همراه مستقر در دالاس، اضافه کرد: «بازیگران بد در طراحی کمپین‌های ایمیلی که مکانیسم‌های تشخیص سنتی را دور می‌زنند، خلاق می‌شوند.

او گفت: «سازمان‌ها باید از کارمندان خود در برابر لینک‌های فیشینگ، کدهای QR مخرب و پیوست‌های مخرب در این ایمیل‌ها در تمام نقاط پایانی قدیمی و تلفن همراه محافظت کنند.»

منبع