Alleen al bekijken via het previewvenster in de Verkenner is genoeg om de aanval in te zetten

Gepubliceerd op 22 oktober 2021 om 07:00

Het HP Wolf Security bedreigingsonderzoeksteam vond bewijs dat cybercriminelen zich snel organiseren om een lek in software die nog niet bij het moederbedrijf bekend is, maar wel bij hackers (zero-day) in te zetten op nieuwe kwetsbaarheden. Op 8 september onderschepte HP voor het eerst een stukje code (exploit) gericht op de kwetsbaarheid met de benaming CVE-2021-40444 die via misbruik van Microsoft Office-documenten het systeem infecteerde. Dit gebeurde een week voordat de patch werd vrijgegeven op 14 september.

Amper drie dagen

Op 10 september – amper drie dagen na het initiële bedreigingsrapport – merkte de HP-afdeling van bedreigingsonderzoek dat op GitHub scripts werden gedeeld die waren ontworpen om de aanmaak van deze exploit te automatiseren. Tenzij er wordt ingegrepen met een patch, stelt de exploit aanvallers in staat om eindpunten met zeer weinig gebruikersinteractie te destabiliseren. De exploit gebruikt hiervoor een kwaadaardig archiefbestand dat de malware uitrolt via een Office-document. Gebruikers hoeven het bestand zelfs niet eens te openen of macro's te starten: alleen al bekijken via het previewvenster in de Verkenner is genoeg om de aanval in te zetten. De gebruiker beseft vaak niet eens wat er op zijn/haar computer gebeurt. Zodra het toestel gecompromitteerd is kunnen aanvallers achterdeurtjes installeren op systemen en deze eventueel doorverkopen aan ransomwaregroepen.

Opmars hosten malware

Opmars van cybercriminelen die malware hosten via legitieme cloud- en webproviders. Een recente GuLoader-campagne was host voor de Remcos Remote Access Trojan (RAT) op grote platformen zoals OneDrive zodat inbraakdetectiesystemen konden worden misleid, en whitelistingtests overleefd konden worden. HP Wolf Security ontdekte ook dat meerdere malwarefamilies worden gehost op sociale-mediaplatformen voor gaming zoals Discord.

JavaScript-malware glipt voorbij detectietools. Een campagne verspreidt diverse JavaScript RAT's via kwaadaardige e-mailbijlagen. JavaScript-downloaders hebben een lager detectieniveau dan Office-downloaders of -binaries. RAT's duiken steeds frequenter op waar aanvallers het hebben gemunt op inlogdata voor zakelijke accounts of cryptoportefeuilles.

Gerichte campagne onder het mom van Ugandan National Social Security Fund ontdekt. Aanvallers hanteerden 'typosquatting' (een vervalst webadres dat op een officiële domeinnaam lijkt) om doelwitten naar een site te lokken die een kwaadaardig Word-document downloadt. Dit adres gebruikt vervolgens macro's om een PowerShell-script te lanceren dat securitylogging blokkeert en de Windows-functie Antimalware Scan Interface omzeilt.

Overstap naar HTA-bestanden verspreidt malware met één klik. De Trickbot Trojan wordt nu afgeleverd via HTA-bestanden ('HTML application') die de malware lanceren na opening van de bijlage of het archiefbestand waarin hij verstopt zit. HTA-bestanden zijn minder gebruikelijk waardoor detectietools de kwaadaardige exemplaren niet altijd kunnen onderscheiden.

97 dagen

"Bedrijven hebben gemiddeld 97 dagen nodig om de nodige en gepaste tests uit te voeren om hun patches volledig te implementeren. Dit geeft cybercriminelen de kans om deze WOV ('window of vulnerability’) uit te buiten. Vroeger waren enkel uiterst bedreven hackers hiertoe in staat, maar deze toegangsdrempel werd verlaagd met behulp van automatische scripts waardoor dit soort aanvallen nu ook binnen het bereik van actoren met minder kennis, bagage en bronnen ligt. Hierdoor nemen voor bedrijven de risico's enorm toe, want zero-day exploits worden als kant-en-klare producten op de markt gebracht via ondergrondse forums en andere platforms”, verduidelijkt Alex Holland, Senior Malware Analyst bij het bedreigingsonderzoeksteam HP Wolf Security van HP. “Deze nieuwe exploits lijken alsmaar effectiever te worden in het omzeilen van detectietools omdat handtekeningen niet feilloos zijn en snel achterhaald worden terwijl het inzicht in het bereik van een exploit verandert. Wij verwachten dat bedreigingsactoren CVE-2021-40444 zullen toevoegen aan hun wapenarsenaal en misschien zelfs de typische exploits gaan vervangen die vandaag de dag worden gebruikt om toegang tot systemen te forceren, zoals diegene die gebruik maken van Equation Editor.”

Kortstondige aanvallen

“We zien ook dat hackers erin slagen kortstondige aanvallen uit te voeren via belangrijke platformen zoals OneDrive. Normaal wordt malware die op dergelijke platformen wordt gehost, vrij snel weer onschadelijk gemaakt, maar nu schrikt dit aanvallers niet af, omdat ze er in de enkele uren dat hun links actief blijven vaak al in slagen hun doelstelling te realiseren om namelijk malware te verspreiden", vervolgt Holland. “Sommige van die actoren wijzigen hun gebruikte script- of bestandstype om de paar maanden. Kwaadaardige JavaScript- en HTA-bestanden zijn niets nieuws, maar ze komen nog altijd in de mailbox van personeel en brengen daardoor het bedrijf in gevaar. Bij één campagne werd de Vengeance Justice Worm ingezet die zich naar andere systemen en USB-drives kan verspreiden.”

Data van miljoenen eindpunten

De bevindingen zijn gebaseerd op data van miljoenen eindpunten die gebruikmaken van HP Wolf Security. HP Wolf Security spoort malware op door riskante taken te openen in geïsoleerde micro-VM's (virtual machines) om zo de volledige infectieketen te begrijpen en te onderscheppen, en op die manier te helpen aanvallen te blokken die voorbij andere beveiligingstools zijn geglipt. Hierdoor konden gebruikers klikken op meer dan 10 miljard e-mailbijlagen, webpagina's en downloads zonder dat er melding werd gemaakt van inbreuken. Dankzij beter inzicht in het gedrag van malware binnen zijn geviseerde biotoop slagen de onderzoekers en ingenieurs van HP Wolf Security erin de eindpuntbeveiliging en globale systeemresiliëntie te verbeteren.

Enkele essentiële bevindingen van het rapport

  • 12% van de geïsoleerde e-mailmalware had minstens één gatewayscanner overleefd
  • 89% van de opgespoorde malware werd via e-mail afgeleverd; webdownloads waren goed voor 11%; andere vectoren zoals verwijderbare opslagtoestellen tellen voor minder dan 1%
  • De meest gebruikte bijlagen om malware binnen te loodsen zijn archiefbestanden (38% – vorig kwartaal nog 17,26%), Word-documenten (23%), spreadsheets (17%) en uitvoerbare 'exe'-bestanden (16%)
  • De top-5 van het phishinglokaas verwijst naar bedrijfstransacties zoals 'bestelling', 'betaling', 'nieuw', 'offerte' en 'verzoek'
  • Het rapport stelt dat 12% van de onderschepte malware tot nu onbekend was

Conclusie

“We mogen niet langer alleen maar op detectie blijven vertrouwen. Het landschap van de bedreigingen is te dynamisch, en uit de analyse van bedreigingen die we in onze VM's onderscheppen, blijkt dat aanvallers steeds meer aansturen op detectieomzeiling”, stelt dr. Ian Pratt, Global Head of Security for Personal Systems, HP. “Organisaties moeten naar een meerlagige benadering van eindpuntbeveiliging, volgens zero-vertrouwenprincipes, om de meest gebruikelijke aanvalsvectoren – e-mail, browsers en downloads – in te sluiten en te isoleren. Zo schakelen ze het aanvalsplatform uit voor hele groepen van bedreigingen, en krijgen ze dat beetje ademruimte dat vereist is voor een veilige coördinatie van patchcycli zonder onderbreking van de dienstverlening.”

HP Wolf Security Threat Insights Report Q 3 2021
PDF – 1,5 MB 256 downloads

Bron: threatresearch.ext.hp.com, dutchitchannel.nl

Meer info over zero-days 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Ernstige kwetsbaarheden 》

Meer rapporten bekijken of downloaden 》

 

Tips of verdachte activiteiten gezien? Meld het hier.

Zero-days gerelateerde berichten

2021 record jaar Zeroday kwetsbaarheden

Geregeld brengen softwareleveranciers beveiligingsupdates uit voor zeroday lekken en 2021 was wat dat betreft een recordjaar. Niet eerder lag het aantal ontdekte zerodays zo hoog en moesten met name Apple, Google en Microsoft in actie komen. In dit artikel een terugblik op de zeroday lekken van 2021 en achterliggende ontwikkelingen.

Lees meer »

Alleen al bekijken via het previewvenster in de Verkenner is genoeg om de aanval in te zetten

Het HP Wolf Security bedreigingsonderzoeksteam vond bewijs dat cybercriminelen zich snel organiseren om een lek in software die nog niet bij het moederbedrijf bekend is, maar wel bij hackers (zero-day) in te zetten op nieuwe kwetsbaarheden. Op 8 september onderschepte HP voor het eerst een stukje code (exploit) gericht op de kwetsbaarheid met de benaming CVE-2021-40444 die via misbruik van Microsoft Office-documenten het systeem infecteerde. Dit gebeurde een week voordat de patch werd vrijgegeven op 14 september.

Lees meer »