ОТЧЕТ ОБ УГРОЗАХ
ОТЧЕТ ОБ УГРОЗАХ
февраль 2023 г.
февраль 2023 г.
Обзор угроз безопасности. IV кв. 2022 г.
В последнем квартале 2022 года киберпреступники по-прежнему оставались серьезными противниками, однако им успешно противодействовал центр Trellix Advanced Research Center, вооружив сотни своих высококлассных аналитиков и исследователей дополнительными ресурсами для сбора информации об угрозах.
В этом отчете мы предоставляем самые актуальные в отрасли ИБ данные о том, какие субъекты, семейства, кампании и методы угроз были наиболее популярны в последнем квартале прошлого года. Но есть и кое-что новое. Мы расширили круг наших источников, получив данные с сайтов, где злоумышленники публикуют информацию, похищенную с помощью программ-вымогателей, а также из отчетов отрасли информационной безопасности. С расширением ресурсов Trellix расширяются и категории исследования угроз, которые теперь включают новые материалы по сетевой безопасности, облачным инцидентам, инцидентам на конечных точках и операциям по обеспечению безопасности.
Со времени нашего последнего отчета об угрозах центр Trellix Advanced Research Center проводил исследования и анализ ситуации в мировом масштабе. Так, была выявлена связь группировки Gamaredon со значительным увеличением кибератак на Украину в IV кв. 2022 г. Кроме того, были выпущены исправления для 61 000 уязвимых проектов с открытым исходным кодом, а также был подготовлен документ «Прогнозы угроз на 2023 год», содержащий прогнозные оценки новых атак.
Приведенный ниже обзор, составленный на основе этих усовершенствованных отчетов об угрозах, является примером того, как центр Trellix Advanced Research Center работает над тем, чтобы позволить клиентам и отрасли информационной безопасности эффективнее бороться с угрозами и их последствиями:
Программы-вымогатели
- исследование, посвященное программе-вымогателю LockBit 3.0, благодаря которой группировка вымогателей LockBit стала наиболее влиятельной в IV кв. 2022 г.
- продолжающееся распространение программ-вымогателей по всему миру, прежде всего в США
- отрасли, атакуемые программами-вымогателями, включая отрасль промышленных товаров и услуг
Государственные структуры
- отрасли, включая органы государственного управления, транспорт и судоходство, за атаками на которые стоят отдельные страны
- компании на территории в США, подвергшиеся атакам государственных структур
Методы Living Off the Land (LOLBIN)
- глубокий анализ используемого в реальных условиях инструмента Cobalt Strike был проведен специалистами центра Trellix Advanced Research Center с помощью методов оперативного поиска
- большое количество серверов Cobalt Strike Team размещены у китайских провайдеров облачных услуг
- на файл Windows Command Shell приходится почти половина первого десятка самых распространенных двоичных файлов ОС, используемых во вредоносных кампаниях
Субъекты угроз
- Китай, Северная Корея и Россия возглавляют список стран-источников киберугроз
Тенденции в области защиты электронной почты
- значительное увеличение количества вредоносных электронных писем в арабских странах, наблюдаемое во время чемпионата мира по футболу
- информация о фишинговых и вишинговых кампаниях, включая методы имперсонации и популярные корпоративные темы, используемые для вишинга (разновидности фишинга)
Защита сетей
- наиболее влиятельные, популярные и значимые атаки, оболочки WebShell, инструменты и техники за последний квартал прошлого года
Телеметрия операций по обеспечению безопасности с помощью платформы Trellix XDR
- самые распространенные уведомления безопасности, средства использования уязвимостей, источники журналов и методы MITRE ATT&CK
- облачные инциденты
- методы и обнаружения для облачных сред Azure, AWS и GCP
- главные методы и обнаружения
Обращение нашего руководителя отдела анализа угроз
Специалисты нашего центра Trellix Advanced Research Center с гордостью представляют первый отчет об угрозах за IV кв. 2022 г. Вы увидите, как будет улучшаться наши отчеты за счет новых данных, собираемых с датчиков, находящихся в наших продуктах, а также получаемых из других источников, включая сайты, публикующие похищенные программами-вымогателями данные. Дополнят отчеты результаты нашего отслеживания инфраструктур в реальных условиях. Компания Trellix продолжает неуклонно следовать своей миссии по обеспечению защиты наших клиентов от злоумышленников, поскольку киберпреступники и движущие ими мотивы никуда не исчезли, а лишь приобретают новые грани. Необходимость в глобальном сборе данных об угрозах растет вместе с осложнением геополитической и экономической ситуации, которая отличается высоким уровнем неопределенности.
На глобальном уровне экономическая неопределенность, вызванная войной в Украине, спровоцировала самый резкий после 1970-х годов скачок цен на энергоносители, который тяжело отражается на мировой экономике. Возвращение войны на европейский континент, кроме того, послужило тревожным сигналом для тех, кто ставит под сомнение подход ЕС к безопасности и обороне и его способность защищать свои интересы, особенно в киберпространстве. Правительство США также признало необходимость решения проблем геостратегической конкуренции, защиты критически важной инфраструктуры и борьбы с иностранными информационными манипуляциями и вмешательством. Атаки на инфраструктуру SolarWinds, деятельность группировки Hafnium, война в Украине и другие события побудили администрацию и Конгресс США на двухпартийном уровне принять новые стандарты обеспечения и финансирования безопасности, соответствующие принятым страной обязательствам и опирающиеся на работу предшествующих администраций. Так каким же образом вся эта неопределенность влияет на кибербезопасность коммерческих предприятий, государственных и частных учреждений и на демократические ценности?
В последнем квартале прошлого года наши специалисты рассматривали киберактивность в качестве инструмента государственного шпионажа, ведения войны и дезинформации, активно используемого для удовлетворения политических, экономических и территориальных амбиций. Война в Украине привела к появлению новых форм кибератак, а хактивисты стали смекалистей и решительней при взломе сайтов, краже информации и проведении атак типа «распределенный отказ в обслуживании» (DDoS). Между тем продолжается использование традиционных форм кибератак. По-прежнему широкой популярностью пользуются методы социальной инженерии, направленные на обман и манипулирование людьми с целью получения конфиденциальной или личной информации, например фишинг.
Программы-вымогатели продолжают беспокоить множество организаций, расположенных по всему миру. Точно так же, как во времена пандемии COVID-19, киберпреступники стремятся извлечь выгоду из кризиса и состояния неопределенности. Вместе с изменением ландшафта угроз изменяются и методы наших исследований. Главной задачей останется постоянное повышение эффективности наших продуктов и предоставление оперативной информации всем заинтересованным сторонам, чтобы они могли защитить свои самые важные ресурсы. Ознакомившись с отчетом, вы поймете, насколько важна выполняемая нами работа для каждого сотрудника центра Trellix Advanced Research Center. Все без исключения специалисты или эксперты центра относятся к любому проекту со всей серьезностью и вниманием.
Мы будем рады узнать ваше мнение об этом расширенном отчете. Если есть области, которые требуют более тщательного изучения нашими специалистами, свяжитесь со мной или с нашими экспертами через Twitter @TrellixARC. Мы также будем рады встретиться со многими из вас на конференции RSA в Сан-Франциско в апреле этого года.
Методика
Внутренние системы Trellix предоставляют телеметрические данные, которые мы используем в качестве исходной информации для наших ежеквартальных отчетов об угрозах. Мы сопоставляем наши телеметрические данные с информацией из открытых источников об угрозах и с нашими собственными расследованиями распространенных угроз, таких как программы-вымогатели, операции государственных структур и т. п.
Когда мы говорим о телеметрических данных, мы имеем ввиду случаи обнаружения, а не случаи заражения. Случай обнаружения, это когда один из наших продуктов регистрирует подозрительный файл, URL или IP-адрес и сообщает об этом нам.
К примеру, мы знаем, что все больше организаций применяют инструменты тестирования эффективности, в которых используются реальные образцы вредоносного ПО. Такое использование будет отображаться как обнаружение, но явно не является заражением.
Процесс анализа и фильтрации ложных положительных результатов в телеметрии находится в постоянном развитии, что способно привести к появлению новых категорий угроз, отсутствующих в предыдущих версиях.
Новые категории угроз будут также добавляться по мере того, как всё новые структуры Trellix начнут поставлять информацию для нашего ежеквартального отчета.
Конфиденциальность наших клиентов является для нас приоритетом. Это также относится к телеметрическим данным и их сопоставлению по секторам и странам, в которых работают наши клиенты. Клиентская база в каждой стране разная, и цифры могут указывать на рост, что требует более тщательного изучения данных. Например, по нашим данным телекоммуникационный сектор всегда демонстрирует большое количество обнаружений. Однако это не значит, что большинство угроз направлено именно на него. К телекоммуникационному сектору также относятся поставщики услуг Интернета, которые владеют собственными пространствами IP-адресов, приобретаемых компаниями. Что это означает? Уведомления об обнаружениях из пространства IP-адресов поставщиков услуг Интернета отображаются как обнаружения в телекоммуникационном секторе.
Программы-вымогатели. IV кв. 2022 г.
В этом разделе представлена собранная нами информация об активности вымогательских группировок. Информация получена из нескольких источников, что дает более полное представление о ландшафте угроз, уменьшить предвзятость наблюдений и помочь нам определить, какое семейство программ-вымогателей было наиболее заметным в IV кв. 2022 г. Первый источник — это количественный показатель, отображающий статистику по кампаниям с использованием программ-вымогателей, полученные в результате сопоставления признаков взлома (IOCs) программ-вымогателей и телеметрии клиентов Trellix. Второй источник — это качественный показатель, представляющий анализ различных отчетов, опубликованных организациями отрасли безопасности. Эти отчеты проверяются, разбираются и анализируются группой анализа угроз Threat Intelligence. И последний, третий источник — это новая категория, содержащая подборку отчетов жертв программ-вымогателей. Отчеты собраны на сайтах, публикующих похищенные группировками вымогателей данные компаний-жертв. Эта информация систематизируется, дополняется и затем анализируется, чтобы представить анонимизированную версию результатов.
Представляя три этих разных аспекта, мы стремимся собрать все фрагменты головоломки, чтобы составить полную картину сегодняшнего ландшафта угроз. Ни один из них сам по себе не является достаточным, так как имеет свои ограничения. Никто не имеет доступа ко всем журналам всех систем, подключенных к Интернету, не обо всех инцидентах безопасности сообщается, и не все жертвы подвергаются вымогательству и попадают на сайты утечек. Однако сопоставление несколько углов зрения позволяет лучше понять различные виды угроз, одновременно устраняя собственные «слепые зоны».
Обоснованное заключение является результатом совмещения количественных и качественных данных, полученных из разных источников с учетом потенциальных ограничений и «слепых зон».
Обзор главных программ-вымогателей, зарегистрированных в IV кв. 2022 г.
Самая заметная группа программ-вымогателей в IV кв.: LockBit 3.0
- 1. Согласно сайту LockBit 3.0, разместившему похищенные данные, на эту группу программ-вымогателей приходится наибольшее количество жертв. Таким образом LockBit активнее прочих группировок оказывает давление на своих жертв, угрожая раскрыть их имена и ославить.
- 2.LockBit 3.0 заняла второе место, — разделив его с программой-вымогателем Cuba, — среди групп программ-вымогателей, регистрируемых отраслью кибербезопасности, согласно анализу различных кампаний, выполненному группой анализа угроз Threat Intelligence.
- 3. LockBit 3.0 заняла третье место среди наиболее распространенных в этом квартале групп программ-вымогателей согласно телеметрическому анализу программ-вымогателей на основании данных, полученных от датчиков Trellix, установленных по всему миру.
Ниже приведены другие категории и разведывательные данные по LockBit за IV кв. 2022 г.
Отрасли, в наибольшей степени пострадавшие от LockBit 3.0. IV кв. 2022 г.
29
Отрасль промышленных товаров и услуг стала главной целью LockBit 3.0 в IV кв. 2022 г. согласно сайту, публикующему похищенную LockBit 3.0 информацию о жертвах вымогательств.
Страны компаний, в наибольшей степени пострадавших от LockBit 3.0. IV кв. 2022 г.
49
В IV кв. 2022 г. от LockBit 3.0 больше всего пострадали компании США (49 %), за ними следуют компании Великобритании согласно сайту, публикующему похищенную LockBit 3.0 информацию о жертвах вымогательств.
Программы-вымогатели через призму нашей телеметрии
Приведенные ниже статистические данные основаны на корреляции между нашей телеметрией и нашей базой знаний по анализу угроз. После фазы анализа мы идентифицируем набор кампаний на основе данных, полученных за выбранный период времени, и определяем их характеристики. Полученная статистика отражает данные по кампаниям, а не по самим обнаружениям. Наша глобальная телеметрия выявила признаки взлома (IoCs), относящиеся к нескольким вымогательским кампаниям, инициированным различными группировками вымогателей. Приведенные ниже семейства программ-вымогателей с присущими им инструментами и методами представляют собой наиболее распространенные семейства в выявленных кампаниях. Аналогично, указанные ниже страны и сектора в наибольшей степени пострадали от выявленных компаний.
Самые распространенные семейства программ-вымогателей. IV кв. 2022 г.
22
В IV кв. 2022 г. самым распространенным семейством программ-вымогателей стало Cuba. Программа-вымогатель Zeppelin часто использовалась группировкой Vice Society. Подробнее об утечке чатов хакерской группировки Yanluowang.
Самые популярные вредоносные инструменты, используемые группировками вымогателей. IV кв. 2022 г.
41
В IV кв. 2022 г. самым распространенным вредоносным инструментом, используемым группировками вымогателей, стал Cobalt Strike.
1.
Cobalt Strike
41 %
2.
Mimikatz
23 %
3.
BURNTCIGAR
13 %
4.
VMProtect
12 %
5.
POORTRY
11 %
Самые популярные методы MITRE ATT&CK, используемые группировками вымогателей. IV кв. 2022 г.
1.
Шифрование данных для нанесения ущерба
17 %
2.
Раскрытие системной информации
11 %
3.
PowerShell
10 %
4.
Передача инструмента внедрения
10 %
5.
Windows Command Shell
9 %
Самые популярные невредоносные инструменты, используемые группировками вымогателей. IV кв. 2022 г.
21
В IV кв. 2022 г. самым распространенным невредоносным инструментом, используемым группировками вымогателей, стал CMD.
1.
CMD
21 %
2.
PowerShell
14 %
3.
Net
10 %
4.
Reg
8 %
5.
PsExec
8 %
Страны, в наибольшей степени пострадавшие от группировок вымогателей. IV кв. 2022 г.
29
Согласно данным телеметрии Trellix за IV кв. 2022 г., страной, в наибольшей степени пострадавшей от группировок вымогателей, стали США.
Отрасли, в наибольшей степени пострадавшие от группировок вымогателей. IV кв. 2022 г.
29
Согласно данным телеметрии Trellix за IV кв. 2022 г. сектором, в наибольшей степени пострадавшим от группировок вымогателей, стала отрасль услуг аутсорсинга и хостинга. Эти данные соотносятся со средним размером организаций-жертв, указанных на сайтах группировок вымогателей, публикующих похищенную информацию. Такие организации часто не имеют собственного выделенного блока IP-адресов и полагаются на сторонних поставщиков услуг хостинга.
Программы-вымогатели по данным отраслевых отчетов
Приведенные ниже статистические данные основаны на публичных отчетах, а также на наших собственных исследованиях. Следует учитывать, что сообщается не обо всех инцидентах с участием программ-вымогателей. Многие семейства программ-вымогателей действуют давно и, естественно, не так заметны, как новые семейства, зафиксированные на протяжении конкретных кварталов. Следуя этим критериям, полученные показатели свидетельствуют о том, какие семейства программ-вымогателей, по мнению представителей отрасли обеспечения безопасности, были наиболее влиятельными и актуальными в этом квартале.
Самые распространенные семейства программ-вымогателей. IV кв. 2022 г.
15
Согласно данным из отчетов отрасли информационной безопасности, наиболее часто регистрируемыми в IV кв. 2022 г. семействами программ-вымогателей стали Black Basta и Magniber.
Главные методы атак семейств программ-вымогателей. IV кв. 2022 г.
19
Согласно отраслевым отчетам, в IV кв. 2022 г. шифрование данных для нанесения ущерба стало главным методом атак семейств программ-вымогателей.
1.
Шифрование данных для нанесения ущерба
19 %
2.
Windows Command Shell
11 %
3.
Раскрытие системной информации
10 %
4.
Передача инструмента внедрения
10 %
5.
PowerShell
10 %
Основные отрасли, ставшие целью атак семейств программ-вымогателей. IV кв. 2022 г.
16
Согласно отраслевым отчетам, в IV кв. 2022 г. наибольшее число семейств программ-вымогателей было нацелено на отрасль здравоохранения.
Страны, чаще других атакованные семействами программ-вымогателей. IV кв. 2022 г.
19
Согласно отраслевым отчетам, в IV кв. 2022 г. Соединенные Штаты чаще всех становились целью атак семейств программ-вымогателей.
Самые популярные методы MITRE ATT&CK, используемые группировками вымогателей. IV кв. 2022 г. 2022
1.
CVE-2021-31207
CVE-2021-34474
CVE-2021-34523
16 %
16 %
16 %
2.
CVE-2021-34527
13 %
3.
CVE-2021-26855
CVE-2021-27065
9 %
9 %
Вредоносные инструменты, используемые семействами программ-вымогателей. IV кв. 2022 г.
44
Согласно отраслевым отчетам, вредоносным инструментом, наиболее часто используемым семействами программ-вымогателей в IV кв. 2022 г., стал Cobalt Strike.
1.
Cobalt Strike
44 %
2.
QakBot
13 %
3.
IcedID
9 %
4.
BURNTCIGAR
7 %
5.
Carbanak
SystemBC
7 %
7 %
Невредоносные инструменты, используемые семействами программ-вымогателей. IV кв. 2022 г.
21
Согласно отраслевым отчетам, невредоносным инструментом, наиболее часто используемым семействами программ-вымогателей в IV кв. 2022 г., стал PowerShell.
1.
PowerShell
21 %
2.
CMD
18 %
3.
Rund1132
11 %
4.
VSSAdmin
10 %
5.
WMIC
9 %
Отчеты по жертвам программ-вымогателей за IV кв. 2022 г. согласно сайтам, публикующим похищенную информацию
Данные в этом разделе были собраны путем изучения сайтов похищенных данных, принадлежащим различных группировкам, которые занимаются распространением вымогательского ПО. На таких сайтах группировки вымогателей публикуют информацию о своих жертвах. Когда переговоры заходят в тупик или жертвы отказываются платить выкуп в установленный группировкой срок, она публикует похищенную у жертв информацию. Мы используем инструмент с открытым исходным кодом RansomLook для сбора таких постов, затем выполняем внутреннюю обработку данных для систематизации и дополнения результатов, чтобы предоставить анонимизированную версию виктимологического анализа.
Важно отметить, что не обо всех жертвах программ-вымогателей сообщается на соответствующих сайтах утечки. Многие жертвы платят выкуп и потому остаются неизвестными. Эти показатели указывают на жертв, подвергшихся вымогательству или мести со стороны вымогателей, и их не следует путать с общим количеством жертв.
Группы программ-вымогателей с наибольшим количеством зарегистрированных жертв. IV кв. 2022 г.
26
В IV кв. 2022 г. на долю LockBit 3.0 приходилось 26 % от общего числа первой десятки групп программ-вымогателей с наибольшим числом зафиксированных жертв согласно сайтам, содержащим похищенную информацию жертв.
Отрасли, подвергшиеся атакам группировок вымогателей, согласно данным сайтов, публикующих похищенную информацию. IV кв. 2022 г.
32
В IV кв. 2022 г. сектор промышленных товаров и услуг стал главной отраслью, подвергшейся атакам группировок вымогателей, согласно данным сайтов, публикующих похищенную информацию. Отрасль промышленных товаров и услуг охватывает все материально-технические изделия и нематериальные услуги, используемые в основном в строительстве и промышленном производстве.
Страны размещения компаний, подвергшихся атакам группировок вымогателей, согласно данным сайтов, публикующих похищенную информацию. IV кв. 2022 г.
63
от общего числа компаний из первой десятки стран, указанных в IV кв. 2022 г. различными группировками вымогателей на соответствующих сайтах, публикующих похищенную информацию, находятся в США. Далее следуют Великобритания (8 %) и Канада (7 %).
Статистика по государственным структурам. IV кв. 2022 г.
В этом разделе представлены собранные нами сведения о деятельности группировок, за которыми стоят отдельные страны. Эта информация собирается из нескольких источников, чтобы создать более полное представление о ландшафте угроз и уменьшить предвзятость наблюдений. Сначала мы отображаем статистические результаты сопоставления признаков взлома (IOCs) со стороны группировок, действующих в интересах отдельных стран, и телеметрии клиентов Trellix. Затем мы предоставляем информацию из различных отраслевых отчетов, которые проверяются, разбираются и анализируются группой анализа угроз Threat Intelligence Group.
Обзор атак со стороны отдельных стран в IV кв. 2022 г.
- Соединенные Штаты и Германия столкнулись со значительным увеличением числа атак со стороны отдельных стран.
- В атаках со стороны отдельных стран в IV квартале были чаще всего замечены Китай и Вьетнам.
Статистика атак со стороны отдельных стран через призму нашей глобальной телеметрии
Эти статистические данные основаны на корреляции между нашей телеметрией и нашей базой знаний по анализу угроз. После фазы анализа мы идентифицируем набор кампаний на основе данных за выбранный период времени и определяем их характеристики. Полученная статистика отражает данные по кампаниям, а не по самим обнаружениям. Из-за различных методов агрегаций журналов, использования нашими клиентами систем моделирования угроз и высокоуровневых корреляций с базой знаний по анализу угроз, данные фильтруются вручную, чтобы соответствовать требуемым критериям.
Наша глобальная телеметрия выявила признаки взлома (IOCs), относящиеся к нескольким вымогательским кампаниям, инициированным группировками, использующими постоянные угрозы повышенной сложности (APTs). Наиболее часто злоумышленниками в выявленных кампаниях являются следующие страны и субъекты угроз, вооруженные соответствующим инструментарием и методами. Аналогичным образом приведены данные по странам и секторам, которые в наибольшей степени пострадали от выявленных компаний.
Телеметрические данные по отдельным странам, стоящими за атаками
Главные страны-источники киберугроз, за которыми стоят отдельные страны. IV кв. 2022 г.
71
В IV кв. 2022 г. Китай оказался наиболее активным источником киберугроз среди государств-злоумышленников.
Главные хакерские группировки. IV кв. 2022 г.
37
Согласно телеметрическим данным по отдельным странам, стоящими за атаками, главной хакерской группировкой в IV кв. 2022 г. стала Mustang Panda.
Наиболее распространенные методы MITRE ATT&CK, используемые в деятельности государств-злоумышленников. IV кв. 2022 г.
1.
Загрузка DLL как неопубликованного приложения
14 %
2.
Rundll32
13 %
3.
Замаскированные файлы или информация
12 %
4.
Windows Command Shell
11 %
5.
Разделы «Пуск» в реестре / Папка автозагрузки
10 %
Наиболее распространенные вредоносные инструменты, используемые в деятельности государств-злоумышленников. IV кв. 2022 г. 2022
1.
PlugX
24 %
2.
BLUEHAZE
23 %
3.
DARKDEW
23 %
4.
MISTCLOAK
23 %
5.
ISX-троян удаленного доступа
2 %
Наиболее распространенные невредоносные инструменты, используемые в деятельности государств-злоумышленников. IV кв. 2022 г.
1.
Rundll32
22 %
2.
CMD
19 %
3.
Reg
17 %
4.
Ncat
12 %
5.
Regsv132
6 %
Страны размещения компаний, подвергшихся атакам группировок вымогателей, согласно данным сайтов, публикующих похищенную информацию. IV кв. 2022 г.
55
В IV кв. 2022 г. страной, в наибольшей степени пострадавшей от атак государств-злоумышленников, стали США.
Страны размещения компаний, подвергшихся атакам группировок вымогателей, согласно данным сайтов, публикующих похищенную информацию. IV кв. 2022 г.
69
В IV кв. 2022 г. в наибольшей степени от атак государств-злоумышленников пострадала отрасль транспорта и перевозок.
Инциденты, зафиксированные в IV кв. 2022 г. согласно публичным отчетам с участием отдельных государств
Эти статистические данные основаны на публичных отчетах и собственных исследованиях, а не на телеметрии из журналов клиентов. Обратите внимание, что не все инциденты, связанные с атаками со стороны отдельных стран, попадают в отчетность. Многие кампании, использующие старые процедуры первоначального проникновения (TTPs), уже известны и не представляют особого интереса для статистических отчетов. Предпочтение отдается неизвестным кампаниям, в ходе которых злоумышленники либо внедрили что-то новое, либо совершили ошибку. Эти показатели отражают то, что отрасль сочла важным и актуальным в IV кв. 2022 г.
Страны-источники киберугроз, которые чаще других фигурировали в кампаниях, проводимых государствами-злоумышленниками. IV кв. 2022 г.
37
всех кампаний, о которых сообщалось публично в IV кв. 2022 г., исходили из Китая.
1.
Китай
37 %
2.
Северная Корея
24 %
3.
Иран
1 %
4.
Россия
1 %
5.
Индия
1 %
Киберпреступные группировки, которые чаще других фигурировали в кампаниях, проводимых государствами-злоумышленниками. IV кв. 2022 г.
33
В IV кв. 2022 г. Lazarus стала главной среди киберпреступных группировок, деятельность которых направлялась государствами-злоумышленниками.
1.
Lazarus
14 %
2.
Mustang Panda
13 %
3.
APT34
АРТ37
APT41
COLDRIVER
Patchwork
Polonium
Side Winder
Winnti Group
по 1 %
Наиболее распространенные невредоносные инструменты, используемые в деятельности государств-злоумышленников. IV кв. 2022 г.
1.
Rund1132
22 %
2.
CMD
19 %
3.
Reg
17 %
4.
Ncat
12 %
5.
Regsv132
6 %
Страны, которые чаще других становились целью атак в ходе кампаний, проводимых государствами-злоумышленниками. IV кв. 2022 г.
16
В IV кв. 2022 г. главной страной, которая чаще других становились целью атак в ходе кампаний, проводимых государствами-злоумышленниками, стали США.
Отрасли, которые чаще других становились целью атак в ходе кампаний, проводимых государствами-злоумышленниками. IV кв. 2022 г.
33
В IV кв. 2022 г. органы государственного управления стали главной целью атак в ходе кампаний, проводимых государствами-злоумышленниками. Далее следуют вооруженные силы (11 %) и телекоммуникации (11 %).
Самые популярные вредоносные инструменты, используемые в рамках кампаний, проводимых государствами-злоумышленниками. IV кв. 2022 г.
1.
PlugX
22 %
2.
Cobalt Strike
17 %
3.
Metasploit
13 %
4.
BlindingCan
9 %
5.
Scanbox
ShadowPad
ZeroCleare
по 9 %
Самые популярные невредоносные инструменты, используемые в рамках кампаний, проводимых государствами-злоумышленниками. IV кв. 2022 г.
1.
CMD
32 %
2.
Rund1132
20 %
3.
PowerShell
14 %
4.
Reg
8 %
5.
Schtasks.exe
7 %
Самые популярные методы MITRE ATT&CK, используемые в ходе кампаний, проводимых государствами-злоумышленниками. IV кв. 2022 г.
1.
Передача инструмента внедрения
13 %
2.
Раскрытие системной информации
13 %
3.
Замаскированные файлы или информация
12 %
4.
Веб-протоколы
11 %
5.
Деобфускация/декодирование файлов или информации
11 %
Отмеченные уязвимости, используемые для кампаний, проводимых государствами-злоумышленниками. IV кв. 2022 г.
CVE-2017-11882
CVE-2020-17143
CVE-2021-44228
CVE-2021-21551
CVE-2018-0802
CVE-2021-26606
CVE-2021-26855
CVE-2021-26857
CVE-2021-27065
CVE-2021-26858
CVE-2021-34473
CVE-2021-28480
CVE-2021-34523
CVE-2021-28481
CVE-2015-2545
CVE-2021-28482
CVE-2017-0144
CVE-2021-28483
CVE-2018-0798
CVE-2021-31196
CVE-2018-8581
CVE-2021-31207
CVE-2019-0604
CVE-2021-40444
CVE-2019-0708
CVE-2021-45046
CVE-2019-16098
CVE-2021-45105
CVE-2020-0688
CVE-2022-1040
CVE-2020-1380
CVE-2022-30190
CVE-2020-1472
CVE-2022-41128
CVE-2020-17141
Методы Living off the Land (LOLBIN) и сторонние инструменты. Q4 2022
Наблюдение и отслеживание на базе нашей платформы Trellix Insights позволили получить следующие оперативные данные и составить ландшафт угроз в IV кв. 2022 г.
Обзор метода LOLBIN. IV кв. 2022 г.
- Методы атаки Living off the Land продолжает играть свою роль на протяжении всей цепочки от первоначального доступа, выполнения, разведки, закрепления до нанесения ущерба.
- Данные за IV кв. 2022 г. свидетельствуют о сохраняющейся тенденции осуществлять выполнение команд и сценариев с помощью Windows Command Shell или PowerShell как наиболее часто (злонамеренно) используемого метода.
- Использование этого метода наиболее популярно среди киберпреступных групп, включая хорошо подготовленные группы постоянных угроз повышенной сложности, финансово заинтересованные группы, а также хактивистов.
Новички, одиночки и хакеры-дилетанты, блуждающие по тропам ландшафта угроз, также применяют уже существующие двоичные файлы, внедренные в популярные платформы использования уязвимостей, пытаясь остаться незамеченными и наудачу хакнуть свой суперкомпьютер «Гибсон» или использовать уязвимость.
Методы атаки Living off the Land продолжают (злонамеренно) использоваться для выполнения вредоносных задач, начиная с первоначального доступа, выполнения, разведывания, закрепления и заканчивая нанесением ущерба. Согласно данным, собранным в IV кв. 2022 г., сохраняется тенденция осуществлять выполнение команд и сценариев с помощью Windows Command Shell и PowerShell как наиболее часто (злонамеренно) используемого метода.
Самые распространенные двоичные файлы ОС. IV кв. 2022 г.
47
На файл Windows Command Shell приходится 47 % — почти половина первого десятка самых распространенных двоичных файлов ОС в IV кв. 2022 г. За ним следуют PowerShell (32 %) и Rundl32 (27 %).
1.
Windows Command Shell
47 %
2.
PowerShell
32 %
3.
Rund132
27 %
4.
Schtasks
23 %
5.
WMI
21 %
Основные сторонние инструменты. IV кв. 2022 г.
1.
Средства удаленного доступа
58 %
2.
Передача файлов
22 %
3.
Инструменты пост-эксплуатации
20 %
4.
Обнаружение сетей
16 %
5.
Обнаружение AD-сервером
10 %
Использование этого метода наиболее популярно среди киберпреступных групп, включая хорошо подготовленные группы постоянных угроз повышенной сложности, финансово заинтересованные группы, а также хактивистов. Новички, одиночки и хакеры-дилетанты, блуждающие по тропам ландшафта угроз, также применяют уже существующие двоичные файлы, пытаясь остаться незамеченными и наудачу хакнуть свой суперкомпьютер «Гибсон» или использовать известные или неизвестные уязвимости.
События, проанализированные на нашей платформе Trellix Insights, в которых злоумышленники использовали двоичные файлы Windows, приводили к развертыванию дополнительных вредоносных программ, таких как программы для кражи информации, трояны удаленного доступа или программы-вымогатели. Двоичные файлы, такие как MSHTA, WMI или WScript, могут выполняться для загрузки дополнительного вредоносного содержимого с контролируемых злоумышленником ресурсов.
Инструменты удаленного доступа и управления неизменно остаются в числе наиболее часто используемых злоумышленниками, однако специальные инструменты, предназначенные для специалистов по безопасности, по-прежнему продолжают использоваться в преступных целях. Злоумышленники могут использовать их для загрузки маяков keep alive, автоматизации эксфильтрации, а также для сбора и сжатия целевой информации.
В числе используемых злоумышленниками бесплатных инструментов с открытым исходным кодом программы-упаковщики ПО, которые применяются для переупаковки легитимного программного обеспечения с целью включения вредоносного содержимого или упаковки вредоносного ПО в надежде избежать обнаружение и затруднить анализ.
Обзор применения инструмента cobalt strike. IV кв. 2022 г.
Отдел анализа угроз центра Advanced Research Center отслеживает случаи использования серверов Cobalt Strike Team (командно-контрольные серверы Cobalt Strike) в реальных условиях, сочетая методы оперативного поиска вредоносной нагрузки и инфраструктуры. Ниже представлены основные выводы, сделанные в ходе анализа собранных маяков Cobalt Strike:
15
Ознакомительные лицензии Cobalt Strike
Только 15 % маяков Cobalt Strike, обнаруженных в реальных условиях, имели ознакомительную лицензию Cobalt Strike. Эта версия Cobalt Strike содержит большинство известных функций фреймворка пост-эксплуатации. При этом она добавляет «подсказки» и удаляет транзитное шифрование, облегчая продуктам обеспечения ИБ задачу обнаружения вредоносного содержимого.
5
Заголовок HTTP host
Как минимум 5 % выявленных маяков Cobalt Strike использовали заголовок Http Host — опцию, облегчающую подстановку доменов с помощью Cobalt Strike. Подстановка доменов (Domain Fronting) — это метод злоупотребления сетями доставки контента (Content Delivery Networks — CDN), на которых размещается несколько доменов. Злоумышленники скрывают запрос HTTPS на вредоносном сайте с помощью TLS-соединения с легитимным сайтом.
87
Rundll32.exe
Rundll32.exe — это стандартный процесс, используемый для запуска сессий и пост-эксплуатационных задач. Он был обнаружен в 87 % выявленных маячков.
22
маяков DNS
На долю маяков DNS пришлось 22 % выявленных маяков Cobalt Strike. Этот тип вредоносного содержимого передает данные на сервер Cobalt Strike Team, являющийся авторитетным сервером домена, через запросы DNS, чтобы скрыть свою активность.
Страны, на территории которых размещалось большинство серверов Cobalt Strike Team. IV кв. 2022 г.
50
Половина серверов Cobalt Strike Team, обнаруженных в IV кв. 2022 г., находились в Китае. Это главным образом объясняется масштабами облачного хостинга, доступного в этой стране.
GootLoader. IV кв. 2022 г.
GootLoader — это модульная вредоносная программа, которая иногда попеременно упоминается с другими вредоносными программами, именуемыми GootKit и GootKit Loader. Нынешние модульные функции вредоносной программы GootLoader в настоящее время используются для распространения дополнительных вредоносных нагрузок, таких как REvil, Kronos, Cobalt Strike и Icedid.
В недавних инцидентах GootLoader использовал поисковую оптимизацию (SEO), чтобы привести ничего не подозревающих пользователей на взломанный или поддельный сайт, используемый для размещения архивного файла, содержащего полезную нагрузку в виде файла JS (JavaScript). Для реализации этого метода необходимо, чтобы ничего не подозревающий пользователь открыл архив и запустил его содержимое, которое, в свою очередь, выполняет вредоносный JavaScript-код с помощью хоста сценариев Windows Scripting Host. После успешного выполнения GootLoader устанавливает связь с командно-контрольным сервером и загружает дополнительную вредоносную программу.
Есть подозрение, что GootLoader предлагается по подписке в виде «вредоносной программы как услуги» (MaaS), что позволяет злоумышленникам загружать несколько дополнительных вредоносных нагрузок, что представляет значительную угрозу для корпоративных сред.
Наш собственный датчик отслеживания загрузчика GootLoader позволил выявить недавний вариант, замеченный в реальных условиях 18-го ноября 2022 г., а также зарегистрировал прекращение активности старых вариантов после 13-го ноября 2022 г. Изменения в последнем варианте заключаются в следующем:
- удалены функции манипулирования реестром
- увеличено количество удаленных сетевых запросов с 3 до 10 URL-адресов
- реализована возможность прямого вызова сценариев PowerShell с помощью CScript
- реализовано сохранение данных для каждой учетной записи пользователя
Наш процесс отслеживания GootLoader
Новый вариант GootLoader был сформирован с использованием нескольких слоев обфускации. Каждый вложенный этап после распаковки использует переменные, загруженные на предыдущем этапе, что усложняет анализ. Собранные образцы, полученные в результате поиска правил YARA, поступают в статический анализатор JavaScript и PowerShell для извлечения признаков взлома (IOCs), таких как удаленные командно-контрольные серверы и уникальные идентификационные сигнатуры. Такие признаки взлома могут быть использованы для идентификации и отслеживания конкретных экземпляров GootLoader в реальных условиях.
Извлеченные признаки взлома GootLoader затем обрабатываются путем направления запроса в базу данных репутаций URL-адресов, составленную Trellix для определения вредоносных, потенциально скомпрометированных легальных доменов, а также легальных доменов, используемых в качестве обманок, чтобы помешать анализу.
Телеметрические данные по GootLoader
Отображаемая статистика охватывает те кампании, которые были выявлены в результате корреляции извлеченных признаков взлома (IOCs) и журналов наших клиентов, а не случаи обнаружения как таковые. В случае с GootLoader большинство обнаружений основано на обращениях к доменам. Поскольку GootLoader ader использует домены-обманки, приведенные статистические данные следует рассматривать как вредоносные со средней степенью достоверности.
Страны, в наибольшей степени пострадавшие от атак GootLoader. IV кв. 2022 г.
37
В IV кв. 2022 г. страной, в наибольшей степени пострадавшей от атак GootLoader, стали США.
1.
США
37 %
2.
Италия
19 %
3.
Индия
11 %
4.
Индонезия
9 %
5.
Франция
5 %
Самые популярные методы MITRE ATT&CK, используемые GootLoader. IV кв. 2022 г.
1.
Деобфускация/декодирование файлов или информации
2.
JavaScript
3.
Замаскированные файлы или информация
4.
PowerShell
5.
Скрытие процесса
Отрасли, в наибольшей степени подвергшиеся атакам GootLoader. IV кв. 2022 г.
56
В IV кв. 2022 г. атакам GootLoader в наибольшей степени подвергся сектор телекоммуникаций.
Самые популярные методы MITRE ATT&CK, используемые GootLoader. IV кв. 2022 г.
Оперативные данные по уязвимостям. IV кв. 2022 г.
Наша панель уязвимостей отражает результаты анализа последних наиболее опасных уязвимостей. Их анализ и сортировка выполняются отраслевыми экспертами по уязвимостям центра Trellix Advanced Research Center. Эти исследователи, специализирующиеся на обратном проектировании и анализе уязвимостей, постоянно отслеживают новейшие уязвимости и то, как злоумышленники используют их в своих атаках, чтобы предоставить рекомендации по упреждающим мерам. Четкие экспертные рекомендации узкоспециализированного характера позволяют вам отфильтровать сигнал от шума и сосредоточиться на наиболее значимых уязвимостях, которые могут представлять риск для вашей организации. Рекомендации помогают вам быстро реагировать на угрозы.
Главные оперативные данные по уязвимостям. IV кв. 2022 г.
41
На долю Lanner пришелся 41 % уязвимых продуктов и поставщиков, подвергшихся воздействию уникальных уязвимостей CVE в IV кв. 2022 г.
29
По данным за IV кв. 2022 г., используемая многими продуктами плата IAC-AST2500A с версией встроенного ПО 1.10.0 содержала больше всего уязвимостей CVE.
Самые уязвимые продукты, поставщики и активно используемые уязвимости (CVE). IV кв. 2022 г.
1.
Lanner
41 %
2.
Microsoft
19 %
3.
BOA
15 %
4.
Oracle
8 %
5.
Apple
Chrome
Citrix
Fortinet
Linux
по 4 %
Зарегистрированные уязвимости CVE по продуктам. IV кв. 2022 г.
29
По данным за IV кв. 2022 г., используемая многими продуктами плата IAC-AST2500A с версией встроенного ПО 1.10.0 содержала больше всего уязвимостей CVE. За ней следуют сервер BOA (10 %), IAC-AST2500A (6 %) и Exchange (6 %).
IAC-AST2500A, версия встроенного ПО 1.10.0
9
Сервер BOA
3
Exchange
3
IAC-AST2500A
1
tvOS
1
iPadOS
1
iOS
1
Windows
1
Safari
1
SQLite до версии 3.40.0 включительно
1
Oracle Access Manager, 11.1.2.3.0, 12.2.1.3.0, 12.2.1.4.0
1
MacOS
1
Ядро Linux до версии 5.15.61
1
Internet Explorer
1
FortiOS (ssivpna)
1
Citrix ADC/Citrix Gateway
1
Chrome, до версии 108.0.5359.94/.95
1
Сервер BOA, Boa 0.94.13
1
Зарегистрированные уязвимости CVE. IV кв. 2022 г.
CVE-2022-1786
CVE-2022-41040
CVE-2022-26134
CVE-2022-41080
CVE-2022-27510
CVE-2022-41082
CVE-2022-27518
CVE-2022-41128
CVE-2022-31685
CVE-2022-41352
CVE-2022-32917
CVE-2022-42468
CVE-2022-32932
CVE-2022-42475
CVE-2022-33679
CVE-2022-4262
CVE-2022-34718
CVE-2022-42856
CVE-2022-35737
CVE-2022-42889
CVE-2022-3602
CVE-2022-43995
CVE-2022-3786
CVE-2022-46908
CVE-2022-37958
CVE-2022-47939
CVE-2022-40684
Тенденции в области защиты электронной почты. IV кв. 2022 г.
Статистические данные по электронной почте основаны на телеметрии, полученной от нескольких устройств защиты электронной почты, развернутых в сетях клиентов по всему миру. Были собраны и проанализированы журналы обнаружений, в результате чего получены следующие данные:
Главные тенденции в области защиты электронной почты. IV кв. 2022 г.
В IV кв. 2022 г. прошел чемпионат мира по футболу, а быстро сориентировавшиеся киберпреступники не преминули воспользоваться этим спортивным праздником в своих целях, запустив множество фишинговых кампаний на футбольную тему, нацеленных на организации арабских стран в регионе Катара.
100
Объем вредоносных электронных писем в арабских странах в октябре увеличился на 100 % по сравнению с августом и сентябрем.
40
Наиболее часто использовалась тактика внедрения, характерная для вредоносного семейства программ Qakbot, на долю которого пришлось 40 % кампаний, направленных на арабские страны.
42
В IV кв. 2022 г. наибольшему количеству атак с использованием вредоносных электронных писем подверглась отрасль телекоммуникаций. На нее пришлось 42 % всех отраслевых вредоносных кампаний.
87
Фишинговые электронные сообщения с использованием вредоносных URL-адресов были самым распространенным вектором атак в IV кв. 2022 г.
64
Количество обращений с использованием имперсонации увеличилось в IV кв. 2022 г. по сравнению с III кв. на 64 %.
82
всех мошеннических писем якобы от имени генеральных директоров компаний были отправлены с помощью бесплатных почтовых сервисов.
78
всех атак компрометации корпоративной почты (ККП или англ. BEC — business email compromise) содержали типичные фразы, якобы исходящие от генеральных директоров компаний.
142
В IV кв. 2022 г. вишинговые атаки приобрели значительные масштабы, увеличившись по сравнению с III кв. 2022 г. на 142 %.
Преобладающие тактики вредоносных программ, использующих электронные письма. IV кв. 2022 г.
40
Главной тактикой вредоносных программ, использующих электронные письма в IV кв. 2022 г. стала тактика трояна Qakbot.
1.
Qakbot
40 %
2.
Emotet
26 %
3.
Formbook
26 %
4.
Remcos
4 %
5.
QuadAgent
4 %
Продукты и бренды, которые чаще других использовались для фишинговых атак по электронной почте. IV кв. 2022 г.
1.
Универсальные почтовые адреса
62 %
2.
Outlook
13 %
3.
Microsoft
11 %
4.
Ekinet
8 %
5.
Cloudfare
3 %
Отрасли, в наибольшей степени пострадавшие от вредоносных программ, использующих электронные письма. IV кв. 2022 г.
42
В IV кв. 2022 г. от вредоносных программ, использующих электронные письма, в наибольшей степени пострадала отрасль телекоммуникаций.
Главные тенденции в области имперсонации. IV кв. 2022 г.
100
Объем вредоносных электронных писем в арабских странах в октябре увеличился на 100 % по сравнению с августом и сентябрем.
40
Наиболее часто использовалась тактика внедрения, характерная для вредоносного семейства программ Qakbot, на долю которого пришлось 40 % кампаний, направленных на арабские страны.
42
В IV кв. 2022 г. наибольшему количеству атак с использованием вредоносных электронных писем подверглась отрасль телекоммуникаций. На нее пришлось 42 % всех отраслевых вредоносных кампаний.
Фразы директоров, наиболее часто используемые в атаках КПП в IV кв. 2022 г.
«Я прошу вас срочно выполнить мое поручение».
«Я прошу вас выполнить мое поручение, поэтому сообщите мне номер вашего мобильного телефона».
«Пришлите мне ваш номер телефона. Я прошу вас немедленно выполнить мое поручение».
«Прошу вас сообщить мне номер вашего мобильного телефона и следить за моими текстовыми сообщениями. Вы должны выполнить мое поручение».
«Пожалуйста, проверьте и подтвердите номер вашего мобильного телефона и следите за моими сообщениями, содержащими важные указания».
«Вы получили мое предыдущее электронное письмо? У меня есть для вас выгодное предложение».
Сравнение случаев использования имперсонации. IV кв. 2022 г.
64
Количество обращений с использованием имперсонации увеличилось в IV кв. 2022 г. по сравнению с III кв. на 64 %.
Данные по фишинговым кампаниям. IV кв. 2022 г.
Все чаще при совершении краж и мошенничества задействуются поставщики услуг хостинга
Векторы атак, наиболее часто используемые в фишинговых письмах
87
Фишинговые электронные сообщения с использованием вредоносных URL-адресов были самым распространенным вектором атак в IV кв. 2022 г.
1.
URL-адреса
87 %
2.
Вложение
7 %
3.
Заголовок
6 %
В IV кв. мы отмечали рост использования легальных поставщиков услуг хостинга для совершения мошенничества с пользовательскими данными и кражи учетных данных. В наибольшей степени злоупотреблениям подверглись три поставщика: dweb.link, ipfs.link и translate.goog. Также значительные объемы злонамеренной активности исходили из доменов других поставщиков услуг, а именно ekinet, storageapi_fleek и selcdn.ru. Злоумышленники постоянно используют новые и популярные услуги хостинга для размещения фишинговых страниц и обхода антифишинговых систем. Одна из причин повышенного интереса злоумышленников к использованию легальных поставщиков услуг хостинга заключается в том, что ни одна система обнаружения угроз не может занести их в свой черный список, поскольку главная цель таких сервисов — размещение легальных файлов и обмен контентом.
Поставщики услуг хостинга, которые чаще других становились жертвами зломышленников. IV кв. 2022 г.
154
В то время как в IV кв. 2022 г. Dweb был самым популярными среди злоумышленников поставщиком услуг хостинга, самый большой рост злоупотреблений по сравнению с III кв. показал Google Переводчик (154 %).
1.
Dweb
81%
2.
Ipfs
17 %
3.
Google Переводчик
10 %
Методы обхода защиты, наиболее часто использованные в фишинговых атаках. IV кв. 2022 г.
63
- Обход защиты перенаправлением с кодом 302 стал наиболее распространенным в IV кв. 2022 г.
- В IV кв. значительно увеличилось количество фишинговых атак с гео-ориентированным обходом защиты.
- В IV кв. также участились атаки на основе Captcha.
Данные по вишингу. IV кв. 2022 г.
Вишинг — это разновидность фишинга, цель которого — вовлечь жертву в контакт со злоумышленниками, используя электронную почту, текстовые сообщения, телефонные звонки или прямые обращения в чате.
142
В IV кв. 2022 г. вишинговые атаки приобрели значительные масштабы, увеличившись по сравнению с III кв. 2022 г. на 142 %.
85
Бесплатные сервисы электронной почты стали излюбленным инструментом злоумышленников, практикующих вишинг. Большая часть выявленных нами в IV кв. 2022 г. вишинговых атак (85 %) была организована с помощью бесплатных сервисов электронной почты.
Самыми популярными брендами, использовавшимися в вишинговых кампаниях в IV кв., стали Norton, McAfee, Geek Squad, Amazon и PayPal.
Защита сетей. IV кв. 2022 г.
Выявлением и предотвращением сетевых атак, угрожающих нашим клиентам, занимается отдел сетевых исследований Trellix ARC. Мы выполняем анализ различных этапов кибератак: от разведки, первоначального проникновения в систему, установления связи с командно-контрольным сервером до бокового перемещения процедур первоначального проникновения (TTPs). Способность эффективно использовать преимущества наших комплексных технологий позволяет нам на основе собранной информации обнаруживать неизвестные угрозы.
Самые популярные методы MITRE ATT&CK, используемые против систем обеспечения сетевой безопасности в IV кв. 2022 г.
- T1083 – Обнаружение файлов и каталогов
- T1573 – Зашифрованный канал
- T1020 – Автоматизированная эксфильтрация
- T1210 – Использование уязвимостей удаленных служб
- T1569 – Системные службы
- T1059 – Интерпретатор команд и сценариев: Windows Command Shell
- T1047 – Инструментарий управления Windows (WMI)
- T1087 – Обнаружение учетных записей
- T1059 – Интерпретатор команд и сценариев
- T1190 – Использование уязвимостей общедоступных приложений
Самые масштабные атаки на общедоступные сервисы. IV кв. 2022 г.
Существует несколько методов сканирования сетей, выполняемого ежедневно для зондирования общедоступных машин с целью обнаружения критичного для среды клиента порога. Старые средства использования уязвимостей не прекращают поиск систем без установленных исправлений.
- обнаружение попыток доступа к файлу /etc/passwd
- возможные атаки с использованием межсайтовых сценариев
- сканер безопасности SIPVicious
- обнаружение трафика сканера Nmap
- сканирование Shellshock, зондирование веб-серверов
- удаленное выполнение кода Bash (Shellshock) HTTP CGI (CVE-2014-6278)
- уязвимость удаленного выполнения кода Oracle WebLogic CVE-2020-14882
- попытки обхода каталога
- внедрение скрипта Apache Struts 2 ConversionErrorInterceptor OGNL
- удаленное выполнение кода Apache Log4j CVE-2021-44228
Наиболее распространенные оболочки WebShells, используемые для первоначального закрепления в сети. IV кв. 2022 г.
Наиболее распространенные оболочки WebShells, используемые для первоначального закрепления в сети. IV кв. 2022 г.
- China Chopper WebShell
- JFolder WebShell
- ASPXSpy WebShell
- C99 WebShell
- Tux WebShell
- B374K WebShell / семейство RootShell
Самые актуальные в IV кв. 2022 г. инструменты, методы и процедуры, используемые после проникновения в сеть
Следующие оболочки WebShell используются при попытках установления контроля над уязвимым веб-сервером.
Было выявлено множество процедур первоначального проникновения (TTPs), которые злоумышленники используют в процессе бокового перемещения, включая использование старых уязвимостей и таких инструментов, как SCShell и PSExec.
- SCshell: бесфайловое боковое перемещение с помощью диспетчера служб
- вызов удаленных процессов Windows WMI
- обращение к оболочке CMD через WMIEXEC по SMB
- обнаружение средства использования уязвимостей EternalBlue
- попытка использования уязвимости Microsoft SMBv3 CVE-2020-0796
- уязвимость удаленного выполнения кода (RCE) Apache Log4j CVE-2021-44228
- составление списка учетных записей удаленных администраторов домена/предприятия
- подозрительное удаленное использование PowerShell
- подозрительная разведка сети с помощью WMIC
- в пакетном файле обнаружена команда составления списка
- активность SMB PSEXEC
Телеметрия операций по обеспечению безопасности с помощью платформы Trellix XDR
Приведенные ниже статистические данные основаны на данных телеметрии, выполненной с помощью различных продуктов Helix, установленных у наших клиентов. Журналы обнаружений были собраны и проанализированы, а результаты были распределены по следующим разделам:
Самые масштабные инциденты безопасности. IV кв. 2022 г.
В приведенном ниже разделе представлены самые частые оповещения систем безопасности за четвертый квартал 2022 года:
Отмеченные уязвимости, используемые для кампаний, проводимых государствами-злоумышленниками. IV кв. 2022 г.
EXPLOIT - LOG4J [CVE-2021-44228]
OFFICE 365 ANALYTICS [аномальный вход в систему]
OFFICE 365 [зафиксирован фишинг]
EXPLOIT - FORTINET [CVE-2022-40684]
EXPLOIT - APACHE SERVER [попытка использования уязвимости CVE-2021-41773]
WINDOWS ANALYTICS [успех атаки методом перебора]
EXPLOIT - ATLASSIAN CONFLUENCE [CVE-2022-26134]
EXPLOIT - F5 BIG-IP [попытка использования уязвимости CVE-2022-1388]
Наиболее часто используемые методы MITRE ATT&CK. IV кв. 2022 г.
1.
Использование уязвимостей общедоступных приложений (T1190)
29 %
2.
Протоколы прикладного уровня: DNS (T1071.004)
Фишинг (T1566)
14 %
14 %
3.
Манипулирование учетными записями (T1098.001)
Атаки методом перебора (T1110)
Взлом в результате атаки с помощью скрытой загрузки (T1189)
Выполнение пользователем: Вредоносный файл (T1204.002)
Действительные учетные записи: Локальные учетные записи (T1078.003)
по 7 %
Распределение основных источников журналов. IV кв. 2022 г.
1.
Сети
40 %
2.
Электронные письма
27 %
3.
Конечные точки
27 %
4.
Брандмауэры
6 %
Средства использования уязвимостей, зафиксированные в IV кв. 2022 г.
Киберпреступные группировки, которые чаще других фигурировали в кампаниях, проводимых государствами-злоумышленниками. IV кв. 2022 г.
30
В IV кв. 2022 г. самым распространенным средством использования уязвимостей стала утилита Log4j.
1.
Log4j (CVE-2021-44228)
14 %
2.
Fortinet (CVE-2022-40684)
13 %
3.
Apache Server (CVE-2021-41773)
13 %
4.
Atlassian Confluence (CVE-2022-26134)
13 %
5.
F5 Big-IP (попытки использования CVE-2022-1388)
13 %
6.
Microsoft Exchange (попытки использования ProxyShell)
13 %
Облачные инциденты. IV кв. 2022 г.
Количество атак на облачную инфраструктуру постоянно растет, поскольку многие компании отказываются от локальной инфраструктуры в пользу облачной. Аналитики компании Gartner прогнозируют, что к 2025 году более 85 % организаций будут придерживаться принципа «Облако в первую очередь».
В результате анализа телеметрии за IV кв. 2022 г. было выявлено следующее:
- Наибольшее количество обнаружений было связано с компанией AWS, возможно, потому, что AWS занимает лидирующее положение на рынке облачных технологий.
- Целью большинства атак было получение первоначального доступа с помощью «перебора»/«распыления пароля» к действительным учетным записям, что указывает на первоначальный вектор заражения облачной поверхности атаки.
- Поскольку большинство корпоративных учетных записей имели подключенную многофакторную аутентификацию, успешные атаки «методом перебора» приводили злоумышленников на платформы многофакторной аутентификации (MFA), что привело к всплеску обнаружений, связанных с MFA.
В следующих разделах приводится краткое описание данных телеметрии облачных атак по нашей клиентской базе с разбивкой по различным поставщикам облачных услуг.
Распределение методов MITRE ATT&CK для среды AWS. IV кв. 2022 г.
1.
Действительные учетные записи (T1078)
18 %
2.
Изменение инфраструктуры облачных вычислений (T1578)
12 %
3.
Манипулирование учетными записями (T1098)
9 %
4.
Облачные учетные записи (T1078.004)
8 %
5.
Атаки методом перебора (T1110)
Полное или частичное нарушение работы средств защиты (T1562)
6 %
6 %
Главные обнаруженные методы MITRE ATT&CK для среды AWS. IV кв. 2022 г.
Манипулирование учетными записями (T1098)
Привилегированная политика AWS, прикрепленная к идентификатору IAM
AWS S3 — удаление политики корзины
Действительные учетные записи (T1078)
AWS Analytics — аномальный вход в консоль
AWS Analytics — аномальное использование ключа API
AWS GuardDuty — аномальное поведение пользователя
AWS GuardDuty — предоставлен анонимный доступ
Полное или частичное нарушение работы средств защиты (T1562)
AWS CloudTrail — изменения в политике Cloudtrail
AWS CloudTrail — удаление следа
Учетные данные в файлах (T1552.001)
Предупреждение — возможная кража секретных ключей AWS
Передача данных в облачную учетную запись (T1527)
AWS CloudTrail — удаление корзины S3
AWS CloudTrail — помещение корзины S3 ACL
AWS CloudTrail — помещение объекта ACL
Главные методы MITRE ATT&CK для среды Azure. IV кв. 2022 г.
1.
Действительные учетные записи (T1078)
23 %
2.
Многофакторная проверка подлинности (T1111)
19 %
3.
Атаки методом перебора (T1110)
14 %
4.
Прокси-сервер (T1090)
14 %
5.
Манипулирование учетными записями (T1098)
5 %
Основные методы MITRE ATT&CK для среды Azure. IV кв. 2022 г.
Действительные учетные записи (T1078)
Опасная авторизация Azure AD
Вход в Azure из нетипичного местонахождения
Вход в Azure по учетной записи, не использовавшейся в течение 60 дней
Атаки методом перебора (T1110)
Azure — множественные сбои при аутентификации
Graph — атака методом перебора на портал Azure
Graph — распределенные попытки взлома пароля
Многофакторная проверка подлинности (T1111)
Azure — отказ в многофакторной аутентификации в результате оповещения о мошенничестве
Azure — отказ в многофакторной аутентификации из-за блокирования пользователя
Azure — отказ в многофакторной аутентификации в результате обнаружения мошеннического кода
Azure — отказ в многофакторной аутентификации в результате обнаружения мошеннического приложения
Внешние удаленные службы (T1133)
Azure — вход в учетную запись из сети TOR
Манипулирование учетными записями (T1098)
Azure — нетипичный сброс пароля пользователя
Распределение методов MITRE ATT&CK для среды GCP. IV кв. 2022 г.
1.
Действительные учетные записи (T1078)
36 %
2.
Выполнение через API (T0871)
18 %
3.
Обнаружение учетных записей (T1087.001)
Манипулирование учетными записями (T1098)
Полное или частичное нарушение работы средств защиты (T1562)
Изменение инфраструктуры облачных вычислений (T1578)
Удаленные службы (T1021.004)
по 9 %
Главные обнаруженные методы MITRE ATT&CK для среды GCP. IV кв. 2022 г.
Действительные учетные записи (T1078)
GCP — создание учетной записи сервиса
GCP Analytics — аномальная активность
GCP — создание ключа учетной записи сервиса
Удаленные службы (T1021.004)
GCP — правило брандмауэра разрешает любой трафик на порту SSH
Манипулирование учетными записями (T1098)
GCP — изменена политика IAM организации
Обнаружение учетных записей (T1087.001)
Предупреждение ["gcps net user"]
Передача данных в облачную учетную запись (T1527)
GCP — изменен журнал событий
Изменение инфраструктуры облачных вычислений (T1578)
GCP — деактивирована защита от удаления
Авторы и исследователи
Альфред Альварадо (Alfred Alvarado)
Генри Бернаби (Henry Bernabe)
Адитья Чандра (Adithya Chandra)
Д-р Фук Дуй Фам (Dr. Phuc Duy Pham)
Сара Эрман (Sarah Erman)
Джон Фоккер (John Fokker)
Леннард Галанг (Lennard Galang)
Спарш Джейн (Sparsh Jain)
Дакш Капур (Daksh Kapoor)
Молик Махета (Maulik Maheta)
Жуан Маркес (João Marques)
Тим Польцер (Tim Polzer)
Шрини Ситхапатхи (Srini Seethapathy)
Рохан Шах (Rohan Shah)
Вихар Шах (Vihar Shah)
Свапнил Шашикантпа (Swapnil Shashikantpa)
Шьява Трипатхи (Shyava Tripathi)
Леандро Веласко (Leandro Velasco)
Альфред Альварадо (Alfred Alvarado)
Генри Бернаби (Henry Bernabe)
Адитья Чандра (Adithya Chandra)
Д-р Фук Дуй Фам (Dr. Phuc Duy Pham)
Сара Эрман (Sarah Erman)
Джон Фоккер (John Fokker)
Леннард Галанг (Lennard Galang)
Спарш Джейн (Sparsh Jain)
Дакш Капур (Daksh Kapoor)
Молик Махета (Maulik Maheta)
Жуан Маркес (João Marques)
Тим Польцер (Tim Polzer)
Шрини Ситхапатхи (Srini Seethapathy)
Рохан Шах (Rohan Shah)
Вихар Шах (Vihar Shah)
Свапнил Шашикантпа (Swapnil Shashikantpa)
Шьява Трипатхи (Shyava Tripathi)
Леандро Веласко (Leandro Velasco)
Материалы
Информацию о новейших и наиболее серьезных угрозах, выявленных центром Trellix Advanced Research Center, можно найти здесь:
TrellixARC
TwitterИнформация о центре Trellix Advanced Research Center
Исследовательский центр Trellix Advanced Research Center располагает самым полным в отрасли кибербезопасности уставом и занимает передовые позиции в изучении новых методов, тенденций и злоумышленников на мировом ландшафте угроз. Как ведущий партнер специалистов по информационной безопасности всего мира, центр Trellix Advanced Research Center предоставляет аналитикам ИБ оперативные данные и самую актуальную информацию, используя нашу передовую платформу XDR. Более того, работающий в составе центра Trellix Advanced Research Center отдел анализа угроз предлагает клиентам со всего мира целый ряд оперативно-аналитических продуктов и услуг.
О компании Trellix
Trellix — международная компания, коренным образом меняющая будущее кибербезопасности и эмоционально насыщенный труд специалистов в этой сфере. Наша открытая встроенная платформа расширенного обнаружения угроз и реагирования на них (eXtended Detection and Response — XDR) помогает организациям, сталкивающимся с самыми сложными современными угрозами, обрести уверенность в защите и в надежности своих операций. Trellix, совместно с обширной экосистемой партнеров, ускоряет технологические инновации с помощью машинного обучения и автоматизации, укрепляя потенциал более 40 000 клиентов из корпоративного и государственного секторов.
Подписаться на нашу информацию об угрозах
Настоящий документ и содержащаяся в нем информация описывает исследования в области компьютерной безопасности исключительно в образовательных целях и для ознакомления клиентов компании Trellix. Компания Trellix проводит исследования в соответствии со своей Политикой в области обоснованного раскрытия информации об уязвимостях. Любая попытка частичного или полного воспроизведения описанных действий осуществляется исключительно на риск самого пользователя; ни компания Trellix, ни ее аффилированные организации не несут никакой ответственности за такие попытки.
Trellix является товарным знаком или зарегистрированным товарным знаком корпорации Musarubra US LLC или ее аффилированных организаций в США и других странах. Другие названия и фирменная символика являются собственностью соответствующих владельцев.