Neviditelný útok zneužitím legitimní techniky
Útočníci zneužívají phishingové e-maily a zranitelnost v technologii Microsoft ClickOnce k nepozorovanému instalování škodlivého softwaru na zařízení obětí. Zvlášť nápadné je použití taktiky, která se v bezpečnostní branži nazývá „Living off the Land“: hackeři zneužívají legitimní nástroje k obcházení bezpečnostních mechanismů.
Technologie Microsoftu ClickOnce slouží k jednoduché instalaci softwaru: jde-li například o aplikaci, která je k dispozici ke stažení na webových stránkách, stačí jen kliknout na odkaz. Poté se stáhne potřebný softwarový balík a instalace se spustí automaticky.
Mohlo by vás zajímat
Aktivity útočníků jsou navíc skryty pomocí legitimních cloudových služeb, což velmi ztěžuje jejich odhalení. Podle Trellixu, který na kampaň upozornil, se technika útoku neustále vyvíjí.
ClickOnce umožňuje kyberškůdcům spouštět kód nenápadně, protože nevyžaduje kontrolu uživatelských účtů. Díky tomu mohou být zranitelnosti v podnikových prostředích cíleně zneužity. Firmy by proto měly upravit své detekční mechanismy, aby včas reagovaly na pokročilé metody maskování.
Mohlo by vás zajímat
Kdo je zdrojem: odhady jsou opatrné
Ačkoliv některé znaky kampaně OneClik naznačují čínský původ, jednoznačné přiřazení konkrétním státním aktérům se nedá určit. Použité techniky, jako je AppDomainManager-Hijacking a šifrované škodlivé kódy, jsou podobné těm, které byly už dříve pozorovány u čínských kybernetických skupin.
Odborníci však varují před unáhlenými závěry ohledně původu těchto útoků. Nejprve bude nutné porozumět zjištěným technikám a upřednostnit jejich detekci pro zajištění účinné ochrany a zabránění potenciálním útokům.
Mohlo by vás zajímat
Doporučované obranné mechanismy míří spíš do oblasti prevence. I v návaznosti na skutečnost, že útočná kampaň míří především do oblasti kritické infrastruktury, a tím i na větší organizace, je důležitá informovanost všech zúčastněných. Podle odborníků z bezpečnostní branže jsou nanejvýš důležité následující tři oblasti.
Pravidelné školení zaměstnanců: Lidský faktor je často nejslabším článkem bezpečnostního řetězce. Pravidelná a praktická školení na témata jako phishing, bezpečná hesla a zacházení s citlivými daty, jsou pro zvýšení povědomí a minimalizaci rizik zásadní.
Vícefaktorové ověřování (MFA): Je důležitá Aktivace MFA pro všechny účty a systémy, kde je to jen možné. Získáte tím další úroveň zabezpečení, protože ani při odcizení hesla útočník bez druhého faktoru (například SMS kódu nebo potvrzení v aplikaci) nemá přístup.
Mohlo by vás zajímat
Pravidelné zálohování a nouzové plány: Je důležité stanovit strategii zálohování, kdy jsou data pravidelně ukládána na bezpečné, ideálně externí místo. Vypracujte a testujte také nouzový plán pro případ bezpečnostního incidentu (například útoku ransomwarem). Zajistíte tak kontinuitu provozu a můžete rychle reagovat.
Zdroj: Trellix
6 foto