נחשפה תקיפה חדשה – בסגנון "משחק קוביות"

נחשפו שיטות חדשות של גורמי פשיעה ברשת, הכוללים מתקפות משולבות, בסגנון של משחק קוביות, כאשר מפיצי הנוזקה עוברים בין שילובים רבים של סוגי קבצים, כדי להדביק מחשבים אישיים, במטרה להתגנב דרך כלי זיהוי ואבטחה; כך לפי דו"ח חדש של חטיבת הסייבר HP Wolf Security של HP, שהתייחס לרבעון השני של 2023.

לפי המחקר, 32% מניסיונות התקיפה קרו באמצעות סוס טרויאני הנקרא QakBot, אשר תוקף בעיקר ארגונים פיננסיים ובנקים. מתקפות אלו סווגו כמיוחדות, כיוון שבוצעו באמצעות החלפת סוגי קבצים וטקטיקות – בדומה למשחק קוביות, וכך ההאקרים הצליחו לעקוף כלי זיהוי ומדיניות אבטחה. 

עוד עולה מהדו"ח, כי ברבעון החולף חלה עלייה של 23% בניסיונות תקיפה של הברחת HTML בקבצים מצורפים. דואר אלקטרוני (79%) והורדות דפדפנים (12%) מובילים ברבעון השני כאמצעים הפופולריים ביותר להחדרת נוזקות.

ℹ Although the techniques used by attackers are getting more sophisticated, they still rely on tried and tested methods.

📧 Emails delivered 79% of #malware last quarter.

🔎 More in our threat insights report: https://t.co/Iwrh7TJIPK

— HP Wolf Security (@hpsecurity) August 23, 2023

קבצי ארכיון – כלי התקיפה הפופולרי ביותר של נוזקות 

לפי הדו"ח, 44% מניסיונות התקיפה בוצעו באמצעות קבצי ארכיון, אשר מהווים את כלי התקיפה הפופולרי ביותר של נוזקות – זה הרבעון החמישי ברציפות. עוד חלה עלייה של 18% בשימוש בקבצי הפעלה, בעיקר כתוצאה משימוש בקובץ PDFpower.exe, המהווה וירוס טרויאני זדוני, המבצע שינויים בהגדרות הדפדפן.

לפי החוקרים, לפחות 12% מניסיונות התקיפה דרך דוא"ל שזוהו, עקפו סורק שער דוא"ל – אחד או יותר.

בתחום המעקב והרישום אחר הקשות, Keylogger במסווה – החוקרים זיהו ניסיונות תקיפה של קבוצת פושעי הסייבר אגגה (Aggah). במתקפות אלו הוחדרה בהסתר נוזקה בפלטפורמת הבלוגים הפופולרית Blogspot. הסתרת הנוזקה במקור לגיטימי כמו Blogspot מקשה על כלי הזיהוי והאבטחה באיתור התוקף. לאחר הסתרת הנוזקה, פושעי סייבר משתמשים בידע שהם שואבים על מערכות Windows כדי להשבית יכולות זיהוי ואבטחה במחשב המשתמש, ומפעילים סוס טרויאני XWorm או AgentTesla לגישה מרחוק (RAT) ולבסוף גונבים מידע רגיש.

חברי אגגה גם הגדילו את היקף ניסיונות התקיפה שלהם באמצעות שאילתת רשומות DNS TXT. זו משמשת בדרך כלל לגישה למידע על שמות דומיין, כדי להחדיר סוס טרויאני (RAT). פושעי סייבר מנצלים את העובדה שפרוטוקול ה-DNS אינו מנוטר לעיתים על ידי צוותי אבטחה, וכך גדל הסיכוי לחמוק מכלי הזיהוי והאבטחה.

"תוקפים מאורגנים יותר, שהם בעלי ידע רחב יותר"

עוד זיהו החוקרים ניסיונות תקיפה באמצעות נוזקה רב-לשונית. זוהה ניסיון תקיפה באמצעות שילוב של כמה שפות תכנות. תחילה, נעשתה הצפנה באמצעות צופן שנכתב ב-Go, שמביא להשבתה של כלי הסריקה נגד נוזקות שאמורות לזהות את הפעולה. לאחר מכן, המתקפה מחליפה את שפת התכנות ל-C++ כדי ליצור אינטראקציה עם מערכת ההפעלה של הקורבן, וכך להביא לידי הפעלה של נוזקה בזיכרון, המשאירה היקף עקבות מינימלי במחשב.

לדברי פטריק שלאפפר, אנליסט נוזקות בצוות המחקר של חטיבת HP Wolf Security, "כיום אנחנו מתמודדים עם תוקפים מאורגנים יותר, שהם בעלי ידע רחב יותר. הם חוקרים ומנתחים חלקים פנימיים של מערכות ההפעלה וכך מאתרים ומצמצמים את הפערים הקיימים. כאשר הם יודעים אילו דלתות יש להזיז, הם יכולים לנווט במערכות פנימיות בקלות, תוך שימוש בטכניקות פשוטות יחסית – אך יעילות מאוד, כל זאת מבלי להפעיל את ההתרעות".