Yeni rapor, saldırganların OneNote belgelerine zararlı yazılım gizlediğini ve tehdit aktörlerinin Office makro denetimlerini atlamak için güvenilir etki alanlarını kullandığını ortaya koyuyor. HP, üç aylık HP Wolf Security Tehdit Öngörüleri Raporu’nu yayınladı ve tehdit aktörlerinin, korsan web sitelerinden popüler filmleri veya video oyunlarını indirmeye çalışan kullanıcıların Chrome tarayıcılarını ele geçirdiğini gösterdi.
HP Wolf Security, bilgisayarlardaki tespit araçlarından kaçan tehditleri izole ederek, hızla değişen siber suç ortamında siber suçlular tarafından kullanılan en son teknikler hakkında özel bir yeteneğe sahip. HP Wolf Security müşterileri bugüne kadar 30 milyardan fazla e-posta ekine, web sayfasına tıklamış ve hiçbir ihlal bildirilmeden dosya indirdi.
Araştırmacılar, HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen verilere dayanarak şunları buldu:
- Shampoo Chrome uzantısını temizlemek zor: ChromeLoader zararlı yazılımını dağıtan bir saldırı, kullanıcıları Shampoo adlı kötü amaçlı bir Chrome uzantısını yüklemeleri için kandırıyor. Bu eklenti, kurbanın arama sorgularını kötü amaçlı web sitelerine ya da reklam kampanyaları aracılığıyla suç örgütüne para kazandıracak sayfalara yönlendirebiliyor. Kötü amaçlı yazılım oldukça kalıcı ve her 50 dakikada bir kendini yeniden başlatmak için Görev Zamanlayıcısı’nı kullanıyor.
- Saldırganlar güvenilir etki alanlarını kullanarak makro politikalarını atlıyorlar: Güvenilmeyen kaynaklardan gelen makrolar artık devre dışı bırakılmış olsa da HP, saldırganların güvenilir bir Office 365 hesabını ele geçirerek, yeni bir şirket e-postası oluşturarak ve kurbanlara Formbook bilgi hırsızı bulaştıran zararlı bir excel dosyası dağıtarak bu kontrolleri atlattığını gördü.
- Firmalar altta gizlenenlere dikkat etmelidir: OneNote belgeleri dijital karalama defterleri gibi davranabiliyor, böylece herhangi bir dosya içine eklenebiliyor. Saldırganlar bundan yararlanarak “buraya tıklayın” şeklideki sahte simgelerinin arkasına kötü amaçlı dosyalar yerleştiriyor. Sahte simgeye tıklandığında gizli dosya açılıyor ve kötü amaçlı yazılım çalıştırılarak saldırganların kullanıcıların makinelerine erişmesi sağlanıyor. Bu erişim daha sonra diğer siber suç gruplarına ve fidye yazılımı çetelerine satılabiliyor.
- Qakbot ve IcedID gibi sofistike gruplar ilk olarak ocak ayında OneNote dosyalarına zararlı yazılım yerleştirdi. Artık siber suç pazarlarında bulunan ve kullanımı çok az teknik beceri gerektiren OneNote kitleriyle, kötü amaçlı yazılım kampanyaları önümüzdeki aylarda da devam edecek gibi görünüyor.
- HP Wolf Security tehdit araştırma ekibinden Zararlı Yazılım Analisti Patrick Schläpfer, “En son tehditlere karşı korunmak için kullanıcıların ve işletmelerin güvenilmeyen sitelerden, özellikle de korsan sitelerden materyal indirmekten kaçınmalarını tavsiye ediyoruz. Çalışanlar şüpheli dahili belgelere karşı dikkatli olmalı ve açmadan önce göndereni kontrol etmeli. Kurumlar ayrıca e-posta ağ geçidi ve güvenlik aracı politikalarını bilinmeyen dış kaynaklardan gelen OneNote dosyalarını engelleyecek şekilde yapılandırmalı” diyor.
Rapor ayrıca, tehdit aktörleri Office formatlarından uzaklaştıkça, siber suç gruplarının e-posta ağ geçitlerini atlatmak için saldırı yöntemlerini çeşitlendirmeye devam ettiğini gösteriyor. Önemli bulgular şunlar:
- HP Wolf Security tarafından 1. çeyrekte durdurulan tehditler incelendiğinde, arşivler dördüncü çeyrekte de en popüler zararlı yazılım dağıtım türü oldu (yüzde 42).
- HTML kaçakçılığı tehditlerinde 1. çeyrekte 4. çeyreğe kıyasla yüzde 37 puanlık bir artış oldu.
- PDF tehditlerinde 1. çeyrekte 4. çeyreğe kıyasla 4 puanlık bir artış oldu.
- Makro çalıştırmanın daha zor hale gelmesi nedeniyle Excel zararlı yazılımlarında 1. çeyrekte 4. çeyreğe göre 6 puanlık bir düşüş (yüzde 19’dan yüzde 13’e) yaşandı.
- HP Sure Click tarafından tespit edilen e-posta tehditlerinin yüzde 14’ü 2023 yılının ilk çeyreğinde bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
- Birinci çeyrekte en büyük tehdit vektörü e-posta (yüzde 80) olurken onu tarayıcı indirmeleri (yüzde 13) takip etti.
HP Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt, “Giderek çeşitlenen saldırılara karşı korunmak için kurumlar, e-posta eklerini açma, bağlantılara tıklama veya tarayıcı indirmeleri gibi riskli etkinlikleri izole etmek ve kontrol altına almak için sıfır güven ilkelerini takip etmeli. Bu, bir ihlal riskiyle birlikte saldırı yüzeyini de büyük ölçüde azaltıyor” diyor. HP Wolf Security, kullanıcıları korumak için e-posta eklerini açma, dosya indirme ve bağlantılara tıklama gibi riskli görevleri yalıtılmış, mikro sanal makinelerde (mikro VM’ler) çalıştırıyor. Ayrıca, virüs bulaşma girişimlerinin ayrıntılı izlerini de yakalıyor. HP’nin uygulama izolasyonu teknolojisi, diğer güvenlik araçlarını atlatabilecek tehditleri azaltıyor ve yeni izinsiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında benzersiz bilgiler sağlıyor.