Connect with us

Deutsch

Der HP Wolf-Bericht hebt die weit verbreitete Ausnutzung von MSHTML-, Typosquatting- und Malware-Familien hervor, die auf Discord gehostet werden

Published

on

Besonderheit

Cyberkrieg und die Zukunft der Cybersicherheit

Die heutigen Sicherheitsbedrohungen haben an Umfang und Schwere zugenommen. Es können jetzt Millionen – oder sogar Milliarden – von Dollar gefährdet sein, wenn die Informationssicherheit nicht richtig gehandhabt wird.

Weiterlesen

HP hat seinen neuesten Wolf Security Threat Insights Report veröffentlicht, der Beweise dafür liefert, dass Cyberkriminelle Zero-Day-Schwachstellen noch schneller ausnutzen und spezifische Probleme wie CVE-2021-40444 ausnutzen – die Schwachstelle zur Remote-Codeausführung, die auf die MSHTML-Browser-Engine durch Microsoft abzielt Office-Dokumente.

Das Bedrohungsforschungsteam von HP Wolf Security entdeckte erstmals am 8. September, eine Woche bevor Microsoft einen Patch veröffentlichte, Cyber-Angreifer, die CVE-2021-40444 ausnutzten. Bis zum 10. September hatten Angreifer bereits Skripte erstellt, die die Erstellung dieses Exploits automatisieren und auf GitHub geteilt.

Der verheerende Angriff bietet Cyberkriminellen einen verblüffend einfachen Einstiegspunkt in Systeme, indem sie Malware über ein Office-Dokument verteilen, das nur in der Vorschau gestartet werden muss.

HP-Forscher erstellen den Bericht, indem sie Millionen von Endpunkten analysieren, auf denen HP Wolf Security ausgeführt wird. Im neuesten Bericht fanden die Forscher heraus, dass 12 % der isolierten E-Mail-Malware mindestens einen Gateway-Scanner umgangen hatten und 89 % der erkannten Malware per E-Mail zugestellt wurde, während für 11 % Web-Downloads verantwortlich waren.

Die am häufigsten verwendeten Anhänge zur Bereitstellung von Malware waren Archivdateien, deren Verbreitung von 17,26 % im letzten Quartal auf 38 % in diesem Quartal laut HP Wolf-Forschern gestiegen ist.

Word-Dokumente werden auch in 23 % der Fälle verwendet, während Tabellenkalkulationen (17 %) und ausführbare Dateien (16 %) die Liste abrunden.

Der Bericht stellte fest, dass die fünf häufigsten Phishing-Köder alle Geschäftssprachen verwendet wurden, um die Opfer anzulocken. Wörter wie “Bestellung”, “Zahlung”, “Neu”, “Angebot” und “Anfrage” wurden bei Angriffen häufig verwendet. Der Bericht ergab, dass 12 % der erfassten Malware zuvor unbekannt waren.

Alex Holland, leitender Malware-Analyst des Bedrohungsforschungsteams von HP Wolf Security, sagte, dass die durchschnittliche Zeit, die ein Unternehmen zum Anwenden, Testen und vollständigen Bereitstellen von Patches mit den richtigen Prüfungen benötigt, 97 Tage beträgt ‘.

„Während zunächst nur sehr fähige Hacker diese Schwachstelle ausnutzen konnten, haben automatisierte Skripte die Eintrittsbarriere gesenkt und diese Art von Angriff für weniger sachkundige und ressourcenschonende Bedrohungsakteure zugänglich gemacht. Dies erhöht das Risiko für Unternehmen erheblich, da Zero-Day-Exploits es sind.“ standardisiert und dem Massenmarkt an Orten wie Untergrundforen zur Verfügung gestellt”, sagte Holland.

„Solche neuartigen Exploits sind in der Regel effektiv, um Erkennungstools zu umgehen, da Signaturen unvollkommen sein und schnell veraltet sein können, wenn sich das Verständnis des Umfangs eines Exploits ändert. Wir erwarten, dass Bedrohungsakteure CVE-2021-40444 als Teil ihres Arsenals übernehmen, und potenziell sogar gängige Exploits ersetzen, die heute für den ersten Zugang zu Systemen verwendet werden, wie zum Beispiel solche, die den Equation Editor ausnutzen.”

screen-shot-2021-10-14-at-9-19-31-am.png

PS

Holland fügte hinzu, dass sein Team große Plattformen wie OneDrive sieht, die es Hackern ermöglichen, „Flash-in-the-Pan“-Angriffe durchzuführen. Obwohl auf solchen Plattformen gehostete Malware in der Regel schnell entfernt wird, schreckt dies Angreifer nicht ab, da sie ihr Ziel, Malware zu liefern, oft schon in den wenigen Stunden erreichen, in denen die Links aktiv sind, erklärte Holland.

„Einige Bedrohungsakteure ändern alle paar Monate das Skript oder den Dateityp, den sie verwenden. Bösartige JavaScript- und HTA-Dateien sind nichts Neues, aber sie landen immer noch in den Posteingängen der Mitarbeiter und gefährden das Unternehmen. In einer Kampagne wurde der Vengeance Justice Worm eingesetzt, der sich auf andere Systeme und USB-Laufwerke ausbreiten kann”, sagte Holland.

Das Team von HP Wolf fand auch Cyberkriminelle, die Cloud- und Webanbieter ausnutzen, um Malware zu hosten, sowie mehrere Malware-Familien, die auf Discord und anderen Social-Media-Plattformen für Spiele gehostet werden.

Der Bericht beschreibt, wie neue Javascript-Malware über bösartige E-Mail-Anhänge an Erkennungstools vorbeischleichen konnte.

Eine vom Bedrohungsforschungsteam von HP Wolf Security aufgedeckte Kampagne ergab, dass Cyberkriminelle vorgeben, Teil des ugandischen Nationalen Sozialversicherungsfonds zu sein, und eine gefälschte Webadresse ähnlich einem offiziellen Domänennamen verwenden, um Ziele auf eine Website zu locken, die ein bösartiges Word-Dokument herunterlädt.

Dem Bericht zufolge werden nun auch Trickbot-Trojaner über HTA-Dateien ausgeliefert, die beim Öffnen der Datei die Schadsoftware initiieren.

Ian Pratt, Global Head of Security for Personal Systems bei HP, sagte, es sei nicht mehr ausreichend, sich allein auf die Erkennung zu verlassen, da die Bedrohungslandschaft zu dynamisch ist und Angreifer immer geschickter darin sind, Erkennung zu umgehen

“Unternehmen müssen einen mehrschichtigen Ansatz für die Endpunktsicherheit verfolgen, der dem Zero-Trust-Prinzip folgt, um die gängigsten Angriffsvektoren wie E-Mail, Browser und Downloads einzudämmen und zu isolieren”, sagte Pratt.

“Dadurch wird die Angriffsfläche für ganze Klassen von Bedrohungen eliminiert und Unternehmen gleichzeitig der nötige Freiraum gegeben, um Patch-Zyklen sicher zu koordinieren, ohne die Dienste zu unterbrechen.”

Continue Reading

Copyright © 2021 Meta Mag Inc.