Croc

Log4j открывает возможности для новых атак

Log4j открывает возможности для новых атак Log4j открывает возможности для новых атак Log4j открывает возможности для новых атак
02.02.2022

Компания Avast опубликовала Avast Threat Report, отчет об угрозах за четвертый квартал 2021 года. В нем исследователи рассказывают об эксплуатации уязвимости Log4j, об активности троянов удаленного доступа, вымогателей и о сложных постоянных таргетированных угрозах (APT), пишет IKSMEDIA.

Отчет  также демонстрирует:
  • Рост рекламного ПО;
  • Увеличение мошенничеств якобы от технической поддержки;
  • Распространение схем с платными подписками и шпионским ПО на устройствах Android;
  • Возрождение ботнета Emotet и увеличение числа криптомайнеров на 40%, что влечет риски как для обычных людей, так и для бизнеса.

В то же время эксперты отмечают меньшую активность программ-вымогателей и троянов удаленного доступа (RAT).

«К концу года опасная и легкая для эксплуатации уязвимость Log4j заставила отделы информационной безопасности по всему миру очень сильно понервничать, — рассказывает Якуб Крустек, директор по исследованиям вредоносных программ в Avast. — Злоумышленники распространяли через нее самое разное ПО: от криптомайнеров до ботов и вымогателей. В то же время мы рады сообщить об уменьшении числа атак некоторых видов вредоносных программ. Так, активность RAT снизилась из-за праздников (но мы видели, как злоумышленники скопировали троян удаленного доступа DcRat и переименовали его в SantaRat). Мы также заметили небольшое снижение активности инфостилеров — вероятно, это произошло из-за уменьшения на 61% активности Fareit. Плюс, разрушительные атаки программ-вымогателей в первые три квартала 2021 года вынудили правительства по всему миру и ИБ-вендоров сотрудничать для поиска их создателей и операторов. Мы считаем, что это привело к снижению этих атак в четвертом квартале: коэффициент риска снизился на 28% по сравнению с предыдущим. Мы надеемся увидеть продолжение этой тенденции в 2022 году, но также мы готовы и к обратному».

Киберпреступники атакуют компании через уязвимость Log4j

Уязвимость в библиотеке приложений Java Log4j была крайне опасной для бизнеса, так как эта библиотека очень распространена, а саму уязвимость очень легко эксплуатировать. Ею злоупотребляли криптомайнеры, RAT, вымогатели (Khonsari, например) и APT-группы. Уязвимостью воспользовались и различные ботнеты, в том числе печально известный Mirai. Большинство их атак были просто пробами для проверки, но исследователи заметили многочисленные попытки загрузить потенциально вредоносный код. Среди троянов, которые распространялись с помощью этой уязвимости, были NanoCore, AsyncRat и Orcus. 

Атаки через трояны удаленного доступа, эксплуатирующие Azure и AWS

Для распространения RAT злоумышленники использовали не только Log4j, но и уязвимость CVE-2021-40449. Ее применяли для повышения прав доступа вредоносных процессов путем эксплуатации драйвера ядра Windows, а также для загрузки и запуска РАТ MistarySnail.

Кроме того, основной причиной обнаружений NanoCore и AsyncRat стала вредоносная кампания, эксплуатирующая облачных провайдеров Microsoft Azure и Amazon Web Service (AWS). Злоумышленники использовали Azure и AWS в качестве серверов для загрузки вредоносной полезной нагрузки для дальнейших атак.

Более того, исследователи Avast увидели, что злоумышленники, стоящие за Emotet, переписали несколько его частей, возродили механизм и вернули контроль над рынком ботнетов.

Мошенничества с рекламным ПО

В последнем квартале 2021 года возросла активность рекламного ПО и руткитов (самые опасные и сложно удаляемые вредоносные программы) для ПК. Исследователи Avast считают, что эти тенденции связаны с руткитом Cerbu, который может перехватывать домашние страницы браузеров и перенаправлять URL-адреса сайтов в соответствии с своей конфигурацией. Cerbu можно легко настроить как рекламное ПО, которое к тому же способно добавлять бэкдоры на устройства.

Активность криптомайнеров

Когда в конце 2021 года стоимость биткоина выросла, число криптомайнеров увеличилось на 40%. Часто они распространялись через зараженные страницы и пиратское ПО.  CoinHelper был одним из самых активных криптомайнеров в последнем квартале – в основном он был нацелен на пользователей из России и Украины. Он незаметно использует вычислительные мощности пользователя для добычи криптовалюты. Это чревато высокими счетами за электроэнергию и может повлиять на срок службы устройства. Кроме того, CoinHelper собирает различную информацию о своих жертвах, включая их геолокацию, антивирус и используемое оборудование.

Команда Avast обнаружила, что по состоянию на 29 ноября 2021 года доход от CoinHelper составил 339 694,86 долларов США. В декабре он добыл ~15.162 XMR – это примерно 3 446,03 долларов США или 267 000 рублей. Криптомайнер до сих пор активно распространяется, ежедневно добывая примерно 0,474 XMR (около 5700 рублей).

Злоумышленники добывают самые разные криптовалюты – Ethereum, Bitcoin и прочие, но самое большое внимание команды Avast привлекла Monero. Последняя создана для анонимного использования, но неправильное использование адресов и механика работы майнинговых пулов позволили исследователям получить более глубокое представление о майнинге Monero авторами вредоносного ПО.

Мошенничества якобы от лица технической поддержки

ИБ-эксперты отметили всплеск фишинга якобы от лица техподдержки. Злоумышленники внушают пользователю, что у его ПК есть серьезная проблема. Далее они принуждают позвонить на горячую линию, где с жертвы или спишут большую сумму за поддержку, или вынудят предоставить удаленный доступ к системе.

Мошенничества с подпиской на премиум-SMS  

Команда Avast Threat Labs выделила в отчете две мобильные угрозы: Ultima SMS и Facestealer.

Ultima SMS, мошенничество с подпиской на платные SMS, снова напомнило о себе в последние несколько месяцев. В октябре в Play Store появились приложения Ultima SMS, имитирующие легальные приложения и игры.

После загрузки приложение предлагало пользователям ввести свой номер телефона для доступа. Так жертвы подписывались на услугу платных СМС, стоимость которой может достигать десяти долларов США в неделю — это около 780 рублей. Злоумышленники активно использовали социальные сети для рекламы и в результате набрали более десяти миллионов загрузок.

Шпионские программы, ворующих учетные данные Facebook 

Facestealer, шпионское ПО для кражи учетных данных Facebook, неоднократно напоминало о себе в три последних месяца 2021 года. Оно маскируется под фоторедакторы, гороскопы, фитнес-приложения и другие. Спустя какое-то время после загрузки предложение предлагает пользователю залогиниться в Facebook, чтобы использовать его без рекламы.

Комментарии 0


Назад