קיבלתם חשבונית במייל? אולי היא מסתירה נוזקה

משלוח חשבוניות מזויפות הפך כיום לאמצעי תקיפה פופולרי; פושעי סייבר מנצלים טכניקות LotL (ר"ת Living-off-the-Land) כדי לחמוק מגילוי מערכות האבטחה; לפחות 65% מניסיונות התקיפה באמצעות מסמכים הסתמכו על פרצות בסיסמאות – כך לפי דו"ח חדש של חטיבת HP Wolf Security.

הדו"ח חושף עלייה במגוון טכניקות תקיפה מתוחכמות. הוא מצביע על עלייה בשימוש בפיתיונות בדמות חשבוניות מזויפות שעבר מועדן, וכן בטכניקות LotL, בהן תוקפים מנצלים כלים לגיטימיים המותקנים מראש במחשבים – כדי לבצע פעולות זדוניות.

Our latest Threat Insights report found several campaigns exploiting Windows BITS.

Attackers are adopting Living-off-the-Land (LotL) techniques – relying on legitimate tools to evade defenses and blend in with normal admin activity. More in @SCMagazine: https://t.co/yqrVkRFSEm pic.twitter.com/1P9AsetmFn

— HP Wolf Security (@hpsecurity) May 24, 2024

הטכניקות שזוהו בדו"ח

החוקרים של HP ציינו כמה מהטכניקות של הרעים. האחת, Cat-Phishing, בה תוקפים ממנפים נקודות תורפה פתוחות, כדי לבצע קמפיינים מתוחכמים של WikiLoader. על ידי ניצול פגיעויות אלה באתרי אינטרנט, משתמשים מופנים מאתרים מהימנים לאתרים זדוניים. כך, הנוזקה WikiLoader, שמועברת באמצעות קובץ PDF מזויף, מערימה על משתמשים ומתקינה נוזקות אחרות, כגון Ursnif, ומאפשרת לתוקפים לנצל פגיעויות של ניתוב מחדש בתוך אתרי אינטרנט לגיטימיים, כדי לעקוף את הזיהוי.

טכניקה נוספת שזוהתה היא, כאמור, LotL. בדרך זו, תוקפים מנצלים כלי Windows מובנים, לשם הורדת נוזקות שלא זוהו. לפי המחקר, "טכניקות LotL חושפות את הפגמים הבסיסיים של הסתמכות על זיהוי בלבד. זאת כי תוקפים משתמשים בכלים לגיטימיים, ולכן קשה לזהות את האיומים".

הלהיט החדש של ההאקרים הוא אותן חשבוניות מזויפות: פושעי סייבר מכוונים לארגונים, ולא ליחידים, עם חשבוניות מזויפות, שלא שולמו במועדן, המוטמעות בקובצי HTML. קבצים אלה, על אף שהם מעוצבים באופן גרוע, מושכים קורבנות תמימים לפתוח את קבצי ה-HTML, שמחדירים את הנוזקות.

לפי המחקר, 65% מניסיונות התקיפה באמצעות מסמכים הסתמכו על ניצול סיסמאות חלשות, במקום על פקודות מאקרו. לפחות 12% מניסיונות התקיפה דרך דוא"ל שזוהו, עקפו סורק שער דוא"ל – אחד או יותר. ממצא נוסף העלה כי דואר אלקטרוני (53%), הורדות דפדפנים (25%) ואמצעים אחרים כמו כונני USB (עם 22%) – הובילו ברבעון הראשון השנה כאמצעים הפופולריים ביותר להחדרת נוזקות.

"בלימת איומים מספקת הגנה, גם כאשר הזיהוי נכשל"שב כאילוסטרציה

לדברי פטריק שלאפפר, חוקר איומים ראשי בצוות המחקר של HP Wolf Security, "ההתמקדות בארגונים עם פיתיונות של חשבוניות הוא אחד הטריקים הוותיקים ביותר בספר, אבל הוא (הטריק – י"ה) עדיין עלול להיות מאוד יעיל ומשתלם לפושעי הסייבר. עובדים במחלקות כספים רגילים לקבל חשבוניות בדוא"ל, ולכן יש סיכוי גבוה יותר שיפתחו אותן. אם יצליחו, התוקפים יכולים לייצר רווח מהגישה שלהם על ידי מכירתה לברוקרים של פושעי סייבר' או על ידי פריסת תוכנות כופר".

לדברי ד"ר איאן פראט, ראש תחום אבטחה עולמי למערכות אישיות ב-HP, "בלימת איומים מספקת הגנה, גם כאשר הזיהוי נכשל. היא מונעת מהנוזקה לחדור, או להרוס את נתוני המשתמש או הרשאות, ומונעת התמדה של התוקף. לכן, ארגונים צריכים לנקוט בגישת הגנה מעמיקה לאבטחה, תוך בידוד והכלה של פעילויות בסיכון גבוה – לטובת צמצום משטח התקיפה שלהם".