Onderzoek HP: Malware ‘meal kits’ helpen aanvallers gemakkelijk organisaties binnen te dringen

Voorgefabriceerde malwarekits voorzien aanvallers van alle ingrediënten om detectietools te omzeilen, waardoor het gemakkelijker wordt om organisaties binnen te dringen en gevoelige gegevens te stelen
Amstelveen, 31 oktober 2023 – HP heeft vandaag het driemaandelijkse HP Wolf Security Threat Insights Report, gepubliceerd waaruit blijkt dat florerende cybercriminele marktplaatsen amateuraanvallers de handvaten bieden die nodig zijn om detectie te omzeilen en gebruikers te infecteren.

Gebaseerd op gegevens van miljoenen endpoints waarop HP Wolf Security draait, zijn de belangrijkste bevindingen als volgt:

Houdini’s Last Act: Een nieuwe campagne richtte zich op bedrijven met valse verzenddocumenten waarin de Vjw0rm JavaScript-malware werd verborgen. De verborgen code maakte het mogelijk voor de malware om de e-mailverdediging te omzeilen en de endpoints te bereiken. De geanalyseerde aanval leverde Houdini af, een 10 jaar oude VBScript RAT. Dit toont aan dat hackers, met de juiste voorgefabriceerde tools van cybercrime marktplaatsen, nog steeds oude malware effectief kunnen gebruiken door misbruik te maken van de ingebouwde scriptfuncties in besturingssystemen.
Cybercriminelen voeren “Jekyll en Hyde”-aanvallen uit: HP ontdekte een Parallax RAT-campagne die twee threads start wanneer een gebruiker een kwaadaardige gescande factuur opent die ontworpen is om gebruikers te misleiden. De “Jekyll”-thread opent een nepfactuur gekopieerd van een legitiem online sjabloon, wat de argwaan vermindert, terwijl de “Hyde”-thread de malware op de achtergrond uitvoert. Deze aanval zou eenvoudig uit te voeren zijn door , aangezien voorgefabriceerde Parallax-kits voor 65 dollar per maand op hackersforums worden aangeboden.
Alex Holland, Senior Malware Analist in het HP Wolf Security threat research team, merkt op:

“Dreigingsactoren kunnen vandaag de dag eenvoudig voorgefabriceerde, gebruiksvriendelijke malware ‘meal kits’ aanschaffen, waarmee ze systemen met één klik kunnen infecteren. Ze hoeven geen eigen tools te ontwikkelen, waardoor cybercriminelen van laag niveau de kits kunnen gebruiken. Die kits maken gebruik van ‘living-off-the-land’-tactieken. Deze heimelijke in-memory aanvallen zijn vaak moeilijker te detecteren vanwege beveiligingstool-uitsluitingen voor beheerdersgebruik, zoals automatisering.”

HP heeft ook ontdekt dat aanvallers de aspirant-cybercriminelen “ontgroenen” door nep-malware-bouwkits op code-deelplatforms zoals GitHub te hosten. Deze kwaadaardige code-repositories misleiden aspirant dreigingsactoren zodat zij hun eigen computers infecteren. Een populaire malwarekit, XWorm, wordt op zwarte markten geadverteerd voor $500 USD, wat ertoe leidt dat cybercriminelen met beperkte middelen nep-gekraakte versies kopen.

HP Wolf Security heeft verkregen. Deze inzichten zijn verworven door dreigingen die detectietools hebben ontweken te isoleren en tegelijkertijd de malware veilig uit te pakken. Tot op heden hebben klanten van HP Wolf Security op meer dan 30 miljard e-mailbijlagen, webpagina’s en gedownloade bestanden geklikt zonder melding van inbreuken.

Het rapport beschrijft hoe cybercriminelen blijven ontwikkelen in hun aanvalsmethoden om beveiligingsbeleid en detectietools te omzeilen. Andere bevindingen zijn onder andere:

Archiefbestanden waren het meest populaire type malware-distributie voor het zesde achtereenvolgende kwartaal en werd gebruikt in 36% van de gevallen die door HP zijn geanalyseerd
Ondanks dat ze standaard zijn uitgeschakeld, zijn macro-ingeschakelde Excel-add-in-bedreigingen (.xlam) gestegen naar de 7e meest populaire bestandsextensie die in Q3 door aanvallers werd misbruikt, vergeleken met de 46e plaats in het tweede kwartaal. In Q3 werden ook malware-campagnes waargenomen die PowerPoint-add-ins misbruikten
In zowel Q3 als Q2 omzeilde minstens 12% van de door HP Sure Click geïdentificeerde e-maildreigingen een of meer e-mailgateway-scanners
Q3 zag een toename in aanvallen met in Excel (91%) en Word (68%) indelingen
Er was een stijging van 5 procentpunten in door HP Wolf Security geïsoleerde PDF-dreigingen vergeleken met Q2
De belangrijkste dreigingsvectoren in Q3 waren e-mail (80%) en downloads van browsers (11%)
“Terwijl de tools voor het creëren van sluwe aanvallen gemakkelijk beschikbaar zijn, vertrouwen dreigingsactoren nog steeds op het klikken door de gebruiker” vervolgt Alex Holland. “Om het risico van voorgefabriceerde malwarekits te neutraliseren, zouden bedrijven hoogrisico-activiteiten moeten isoleren, zoals het openen van e-mailbijlagen, het klikken op links en het downloaden van bestanden. Dit vermindert het potentiële risico op een inbreuk aanzienlijk door het aanvalsoppervlak te verkleinen.”

HP Wolf Security voert risicovolle taken uit in geïsoleerde, hardware-afgedwongen virtuele apparaten die op het endpoint worden uitgevoerd om gebruikers te beschermen zonder hun productiviteit te beïnvloeden. Het legt ook gedetailleerde sporen vast van pogingen tot infectie. HP’s toepassingsisolatietechnologie vermindert dreigingen die andere beveiligingstools ontglippen en biedt unieke inzichten in indringingstechnieken en het gedrag van dreigingsactoren.

Over het onderzoek

Deze gegevens uit dit onderzoek zijn verzameld bij instemmende klanten van HP Wolf Security in de periode juli-september 2023.

Over HP

HP Inc. (NYSE: HPQ) is een wereldwijde technologieleider en bedenker van oplossingen waarmee mensen hun ideeën tot leven kunnen brengen en verbinding kunnen maken met de dingen die er het meest toe doen. HP is actief in meer dan 170 landen en levert een breed scala aan innovatieve en duurzame apparaten, diensten en abonnementen voor personal computing, printen, 3D-printen, hybride werken, gaming en meer. Ga voor meer informatie naar: http://www.hp.com.