بر اساس گزارش سه ماهه HP Wolf Security Threat Insights منتشر شده در روز پنجشنبه، گربه فیشینگ، استفاده از ابزار محبوب انتقال فایل مایکروسافت برای تبدیل شدن به یک انگل شبکه و صورتحساب جعلی از جمله تکنیک های قابل توجهی هستند که مجرمان سایبری در سه ماه اول سال جاری به کار گرفتند.
بر اساس تجزیه و تحلیل دادههای میلیونها نقطه پایانی که نرمافزار این شرکت را اجرا میکنند، این گزارش دریافت که افراد مستأصل دیجیتالی از نوعی آسیبپذیری وبسایت برای کاربران گربهفیش سوء استفاده میکنند و آنها را به مکانهای بدخواه آنلاین هدایت میکنند. کاربران ابتدا به یک وب سایت قانونی فرستاده می شوند، سپس به سایت مخرب هدایت می شوند، تاکتیکی که تشخیص سوئیچ را برای هدف دشوار می کند.
اریش کرون، مدافع آگاهی امنیتی در KnowBe4، ارائهدهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، خاطرنشان کرد: «آسیبپذیریهای تغییر مسیر باز میتوانند نسبتاً رایج باشند و به راحتی قابل بهرهبرداری هستند.
او به TechNewsWorld گفت: «قدرت آنها به ابزار مورد علاقه مجرمان سایبری یعنی فریب بازمی گردد. تغییر مسیر باز به بازیگران بد این امکان را میدهد تا از یک URL قانونی برای تغییر مسیر به یک آدرس مخرب استفاده کنند و پیوندی را در پیام ایجاد کنند تا بخشی را در انتهای URL قرار دهند، که به ندرت توسط افراد بررسی میشود و کاربر را به آدرس مخرب میبرد. سایت، حتی اگر آنها به اندازه کافی بدانند که روی پیوند قرار بگیرند.”
او توضیح داد: «در حالی که URL موجود در مرورگر سایتی را نشان میدهد که شخص به آن هدایت شده است، قربانی پس از این که معتقد است قبلاً روی یک پیوند قانونی کلیک کرده است، کمتر آن را بررسی میکند.
او افزود: «معمولاً به افراد آموزش داده میشود که روی پیوندها نگه دارند تا مطمئن شوند که مشروع به نظر میرسند. شماره کارت اعتباری.”
پاتریک هار، مدیر عامل SlashNext، یک شرکت امنیت شبکه در Pleasanton، کالیفرنیا، خاطرنشان کرد: ایمیل همچنان یک مکانیزم تحویل اولیه برای تغییر مسیرهای مبتنی بر پیوست است. اما او به TechNewsWorld گفت: «ما همچنین شاهد تحویل این پیوستها در خارج از کشور هستیم. ایمیل در Slack، Teams، Discord و سایر برنامههای پیامرسان با نام فایلهای مبهم که واقعی به نظر میرسند.
بهره برداری از BITS
حمله قابل توجه دیگری که در این گزارش شناسایی شده است، استفاده از سرویس انتقال هوشمند پسزمینه ویندوز (BITS) برای انجام حملات «زندگی خارج از زمین» بر روی سیستمهای یک سازمان است. از آنجایی که BITS ابزاری است که توسط کارکنان فناوری اطلاعات برای دانلود و آپلود فایل ها استفاده می شود، مهاجمان می توانند از آن برای جلوگیری از شناسایی استفاده کنند.
اشلی لئونارد، مدیر عامل Syxsense، یک شرکت جهانی فناوری اطلاعات و راه حل های امنیتی، توضیح داد که BITS جزء ویندوز است که برای انتقال فایل ها در پس زمینه با استفاده از پهنای باند شبکه بیکار طراحی شده است. معمولاً برای دانلود بهروزرسانیها در پسزمینه استفاده میشود، اطمینان میدهد که سیستم بدون ایجاد اختلال در کار یا برای همگامسازی ابری بهروز میماند، و برنامههای ذخیرهسازی ابری مانند OneDrive را قادر میسازد تا فایلها را بین یک ماشین محلی و سرویس ذخیرهسازی ابری همگامسازی کنند.
لئونارد به TechNewsWorld گفت: «متاسفانه، همانطور که در گزارش Wolf HP ذکر شد، BITS میتواند به روشهای شرورانه نیز استفاده شود. بازیگران مخرب میتوانند از BITS برای تعدادی از فعالیتها استفاده کنند – برای استخراج دادهها، ارتباطات فرمان و کنترل یا فعالیتهای پایدار، مانند اجرای کدهای مخرب برای نفوذ عمیقتر به شرکت.
او گفت: «مایکروسافت غیرفعال کردن BITS را به دلیل استفادههای قانونی آن توصیه نمیکند، اما راههایی وجود دارد که شرکتها میتوانند از خود در برابر عوامل مخربی که از آن سوء استفاده میکنند محافظت کنند.» آنها عبارتند از:
- از ابزارهای نظارت شبکه برای شناسایی الگوهای ترافیک غیرعادی BITS، مانند انتقال مقادیر زیادی داده به سرورهای خارجی یا دامنه های مشکوک، استفاده کنید.
- BITS را پیکربندی کنید تا فقط به برنامهها و سرویسهای مجاز اجازه استفاده از آن را بدهد و هرگونه تلاش فرآیندهای غیرمجاز برای دسترسی به BITS را مسدود کنید.
- سیستمها و دادههای حیاتی را از مناطق کمتر حساس شبکه جدا کنید تا حرکت جانبی مهاجمان را در صورت مصالحه محدود کنید.
- تمام سیستم ها را با آخرین وصله ها و به روز رسانی های امنیتی به روز نگه دارید تا هر گونه آسیب پذیری شناخته شده ای را که می تواند توسط مهاجمان مورد سوء استفاده قرار گیرد برطرف کنید.
- از فیدهای اطلاعاتی تهدید استفاده کنید تا از آخرین تاکتیکها، تکنیکها و رویههایی که مهاجمان سایبری استفاده میکنند مطلع بمانید و کنترلهای امنیتی را بر این اساس تنظیم کنید.
RAT در فاکتور
گزارش HP Wolf همچنین متوجه شد که غارتگران شبکه بدافزار را در فایلهای HTML پنهان کردهاند که به صورت فاکتورهای فروشنده ظاهر میشوند. پس از باز شدن در یک مرورگر وب، فایلها زنجیرهای از رویدادها را آزاد میکنند که بدافزار منبع باز AsyncRAT را مستقر میکنند.
نیک حیات، مدیر اطلاعات تهدید در Blackpoint Cyber، ارائهدهنده فناوری شکار، شناسایی و پاسخ تهدید در شهر Ellicott میگوید: «مزیت پنهان کردن بدافزار در فایلهای HTML این است که مهاجمان در بیشتر موارد به تعامل با هدف خود متکی هستند. ، Md.
او به TechNewsWorld گفت: “با پنهان کردن بدافزار در یک فاکتور جعلی، یک مهاجم احتمالاً کاربر را وادار می کند تا روی آن کلیک کند تا ببیند فاکتور برای چیست.” “این به نوبه خود باعث تعامل کاربر و افزایش شانس برای سازش موفق می شود.”
در حالی که هدف قرار دادن شرکت ها با فریب های فاکتور یکی از قدیمی ترین ترفندهای کتاب است، اما هنوز هم می تواند بسیار مؤثر و سودآور باشد.
پاتریک شلپفر، محقق اصلی تهدید HP Wolf در بیانیهای گفت: «کارمندانی که در بخشهای مالی کار میکنند عادت دارند فاکتورها را از طریق ایمیل دریافت کنند، بنابراین احتمال باز کردن آنها بیشتر است. در صورت موفقیت، مهاجمان می توانند به سرعت از دسترسی خود با فروش آن به کارگزاران مجرمان سایبری یا با استقرار باج افزار درآمد کسب کنند.
پاتریک تیکت، معاون امنیت و معماری در Keeper Security، یک شرکت مدیریت رمز عبور و ذخیرهسازی آنلاین، اضافه کرد: «چشمانداز تهدید فزاینده ناشی از حملات بسیار گریزان مبتنی بر مرورگر دلیل دیگری است که سازمانها باید امنیت مرورگر را در اولویت قرار دهند و اقدامات پیشگیرانه امنیت سایبری را به کار گیرند. ، در شیکاگو
او به TechNewsWorld گفت: افزایش سریع حملات فیشینگ مبتنی بر مرورگر، بهویژه حملاتی که از تاکتیکهای فراری استفاده میکنند، نیاز مبرم به حفاظت پیشرفته را برجسته میکند.
کمتر از اسکنرهای دروازه نفوذ ناپذیر
یافته دیگر گزارش این بود که 12 درصد از تهدیدات ایمیل شناسایی شده توسط نرم افزار HP Wolf یک یا چند اسکنر دروازه ایمیل را دور زده بودند.
اسکنرهای دروازه ایمیل می توانند ابزار مفیدی برای از بین بردن انواع رایج تهدیدات ایمیل باشند. با این حال، آنها در حملات هدفمندتر، مانند نیزه شکاری یا شکار نهنگ، بسیار کمتر موثر هستند.
او ادامه داد: «اسکنرهای ایمیل، حتی آنهایی که از هوش مصنوعی استفاده می کنند، معمولاً به دنبال الگوها یا کلمات کلیدی هستند یا در پیوست ها یا URL ها به دنبال تهدید می گردند. اگر بازیگران بد از تاکتیک های غیر معمول استفاده کنند، ممکن است فیلترها آنها را از دست بدهند.”
او گفت: «میان فیلتر کردن تهدیدات و مسدود کردن پیامهای ایمیل مشروع مرز باریکی وجود دارد، و در بیشتر موارد، فیلترها محافظهکارانهتر هستند و با توقف ارتباطات مهم کمتر باعث ایجاد مشکل میشوند.»
او تصدیق کرد که اسکنرهای دروازه ایمیل، حتی با وجود نقصهایشان، کنترلهای امنیتی حیاتی هستند، اما او همچنین تاکید کرد که بسیار مهم است که به کارکنان آموزش داده شود که چگونه حملاتی را که انجام میدهند شناسایی کرده و به سرعت گزارش دهند.
Krishna Vishnubhotla، معاون استراتژی محصول در Zimperium، یک شرکت امنیت تلفن همراه مستقر در دالاس، اضافه کرد: «بازیگران بد در طراحی کمپینهای ایمیلی که مکانیسمهای تشخیص سنتی را دور میزنند، خلاق میشوند.
او گفت: «سازمانها باید از کارمندان خود در برابر لینکهای فیشینگ، کدهای QR مخرب و پیوستهای مخرب در این ایمیلها در تمام نقاط پایانی قدیمی و تلفن همراه محافظت کنند.»