Изследователи в областта на сигурността изказват предположението, че нарастващият брой експлойти на критичната уязвимост в Log4J скоро може да се влоши, тъй като киберпрестъпниците продължават да намират нови начини за заобикаляне на продължаващото прилагане на мерките на Microsoft за борба с фишинга.
Въведена през 2022 г., след като ИТ общността я изискваше в продължение на години, Microsoft блокира по подразбиране активирането на VBA макроси в документите на Office.
Това означаваше, че един от водещите методи за разпространение на зловреден софтуер чрез документи на Office и фишинг имейли на практика беше обезсилен – голяма придобивка за защитниците.
Оттогава насам изследователите от ESET забелязват ръст на експлойтите, насочени към уязвимостта Log4J, в целия свят.
Въпреки че причината за увеличаването на опитите засега не е ясна за изследователите, съществува вероятност киберпрестъпниците да търсят нови начини за извършване на атаки, тъй като сега фишингът със злонамерени документи е станал по-труден.
Изследователите на ESET заявиха, че макар и да е само теория, това нарастване може да продължи, тъй като киберпрестъпниците търсят ефективни начини за постигане на целите си, след като една от най-предпочитаните им тактики е била осуетена.
„Ако погледнете цифрите в световен мащаб, [през 2022 г.] видяхме 166 милиона атаки… а през 2023 г. броят им се увеличаваше с 13%“, каза Ондрей Кубович, специалист по осведоменост за сигурността в ESET, относно последните данни за опитите за експлойт на Log4J.
„Така че, знаейки, че се въвеждат нови системи с Log4J, и нашата статистика показва това, тогава можем да кажем, че Log4J все още е интересен за атакуващите, а със затварянето на VBA [макросите] и затварянето на OneNote, това може да се влоши.“
Последните данни на Log4J
Въпреки че Log4Shell не е толкова опустошителен, колкото общността първоначално смяташе, че ще бъде, той продължава да бъде силно експлоатиран – вторият най-използван метод за експлоатиране според телеметрията на ESET, след отгатването на пароли.
Очаква се популярността на експлоатирането на уязвимостта да нарасне не само заради антифишинг мерките на Microsoft, но и заради броя на уязвимите изтегляния, които все още се правят.
В своя доклад за заплахите T3 2022 ESET заяви, че цели една четвърт от всички нови изтегляния на библиотеката Log4J са от уязвимата версия, въпреки че от декември 2021 г. са налични поправени и защитени версии.
Данните на IBM обрисуват още по-мрачна картина, като показват, че почти половината (40%) все още са уязвими към дефекта, който получи максимална оценка 10/10 по скалата за сериозност CVSSv3.
Само през последните седем дни 32% от изтеглянията на Log4J са били на уязвимата версия, показват данните на Sonatype.
Към септември 2022 г. броят на блокираните опити за експлойт на Log4J в Обединеното кралство е 13,4 милиона, съобщиха от ESET, което е приблизително 12% от 166-те милиона опити в световен мащаб.
Това представлява 15% увеличение на годишна база, което като цяло е в съответствие с данните за страните по света.
Данните за Полша са едни от най-високите от всички страни в света с 30% увеличение на атаките.
ESET не можа да предложи окончателно обяснение за тези значително високи опити за атаки, както и полският национален екип за реагиране при компютърни инциденти (CERT) след консултация с изследователите по сигурността.
Приблизително по това време украинският CERT издаде предупреждение, в което предупреждава за промяната на тактиката на Русия, която предпочита експлоатирането на уязвимости в противовес на техниките за атака, използвани по-рано в конфликта, въпреки че не е установена силна връзка между дейността на страната и експлойтите Log4J в Полша.
Блокиране на макроси VBA: Доколко е ефективно?
През годината, откакто Microsoft въведе промените в документите на Office, блокирайки макросите VBA по подразбиране, данните показват драстично намаляване на атаките.
Данните на Proofpoint от края на 2022 г. показват 66% спад на опитите за атаки с макроси – тенденция, която продължава и през първата половина на 2023 г., като макросите „почти не се появяват“ в данните за кампаниите.
„Екосистемата на киберпрестъпността преживя монументална промяна в активността и поведението на заплахите през последната година по начин, който досега не е наблюдаван от изследователите на заплахите, заявиха от компанията за сигурност.
„Финансово мотивираните участници в заплахите, които получават първоначален достъп чрез електронна поща, вече не използват статични, предсказуеми вериги за атаки, а по-скоро динамични, бързо променящи се техники.“
Констатациите в данните на Proofpoint бяха потвърдени и от изследователите на ESET в частни медийни брифинги.
Атакуващите се насочват към OneNote
След като Microsoft прекрати използването на макроси в документите на Office, нападателите скоро осъзнаха, че приложението за водене на бележки OneNote на компанията може да бъде използвано по подобен начин, както Word и Excel преди 2022 г.
По-рано тази година различни фирми за сигурност съобщиха за увеличаване на броя на атаките, свързани с файловете на OneNote, които все още позволяват вграждането на различни файлове в документите, включително изпълними файлове.
В типичен сценарий на жертвата се изпраща имейл, към който е прикачен предимно празен документ от OneNote.
Атакуващите създават голямо текстово поле с надпис „Щракнете, за да отворите документа“ или подобно съобщение, но зад това текстово поле се намират редица връзки към пакетни файлове, които ще бъдат щракнати и изпълнени, ако жертвата щракне върху текстовото поле, което служи само за скриване на злонамерените бутони.
В някои примери поредица от пакетни файлове се стартира, като изтегля други подобни файлове и изпълнява PowerShell код, което в крайна сметка води до инсталиране на зловреден софтуер и по същество заобикаля блокирането на VBA макросите.
В пример, изтъкнат от Fortinet през март 2023 г., подобна атака е довела до пускането на AsyncRAT, който е успял да поеме пълен контрол над машината на жертвата.
През същия месец Microsoft въведе подобрени мерки за сигурност за OneNote, включително по-чести и ясни предупреждения при отваряне на потенциално зловредни файлове.
Седмици по-късно тя обяви също, че ще блокира по подразбиране 120 файлови разширения, често използвани в злонамерени кампании, като допълнителна мярка срещу фишинга, използващ нейния софтуер за производителност.
Сега се появиха нови опасения във връзка с въвеждането на нови домейни от първо ниво (ДПН).
Експертите по киберсигурност и преди са критикували новите допълнения, включително такива като .zip, тъй като те могат да бъдат използвани в кампании, като потенциално правят зловредните връзки да изглеждат по-легитимни, отколкото са в действителност.
Изследователите на ESET заявиха пред ITPro, че макар настоящите данни да не показват значително увеличение на атаките, използващи новите TLD, те „разбират загрижеността“.
