©HP

Im letzten Quartal waren Rechnungsköder die bevorzugte Angriffsmaßnahme, während Bedrohungsakteure „Living-off-the-Land“-Techniken einsetzten, um nicht entdeckt zu werden 

HP Inc. (NYSE: HPQ) stellt die neuen Ergebnisse seines vierteljährlichen HP Wolf Security Threat Insights Report vor. Dieser zeigt, dass Angreifer auf offene Weiterleitungen, überfällige Rechnungen und „Living-off-the-Land“-Techniken (LotL) setzen, um Schutzmaßnahmen zu umgehen. Der Bericht analysiert Angriffe und hilft Unternehmen, sich mit den neuesten Techniken vertraut zu machen, die Cyberkriminelle einsetzen, um sich der Entdeckung zu entziehen und in der sich schnell verändernden Cybercrime-Landschaft in PCs einzudringen.

Basierend auf den Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft, konnten HP Threat Researcher folgende Kampagnen identifizieren: 

  • Angreifer nutzen offene Weiterleitungen, um Anwender zu täuschen: In einer raffinierten WikiLoader-Kampagne nutzten die Angreifer sogenannte offenen Weiterleitungen, Schwachstellen auf Websites, aus, um nicht entdeckt zu werden. So wurden Benutzer oft durch offene Weiterleitungsschwachstellen in Werbeeinbettungen auf vertrauenswürdige Websites umgeleitet. Anschließend wurden sie direkt auf bösartige Websites weitergeleitet, so dass es fast unmöglich war, den Wechsel zu erkennen. 
  • BITS: Mehrere Kampagnen missbrauchten den Windows Background Intelligent Transfer Service (BITS) – einen legitimen Mechanismus, den Programmierer und Systemadministratoren zum Herunter- oder Hochladen von Dateien auf Webserver und File Shares verwenden. Diese LotL-Technik half den Angreifern, unentdeckt zu bleiben, indem sie BITS zum Herunterladen der bösartigen Dateien nutzten. 
  • Gefälschte Rechnungen dienen als Grundlage für HTML-Schmuggelangriffe: HP identifizierte Bedrohungsakteure, die Malware in HTML-Dateien, getarnt als Lieferrechnungen, versteckten. Diese lösten bei Öffnung in  einem Webbrowser eine Ereigniskette aus, bei der die Open-Source-Malware AsyncRAT eingesetzt wurde. Interessanterweise schenkten die Angreifer dem Design des Köders wenig Aufmerksamkeit, was darauf hindeutet, dass der Angriff nur mit geringem Zeit- und Ressourcenaufwand durchgeführt wurde. 

„Das Ködern mit Rechnungen ist einer der ältesten Tricks überhaupt, aber er ist nach wie vor sehr effektiv und daher lukrativ. Mitarbeiter in Finanzabteilungen sind daran gewöhnt, Rechnungen per E-Mail zu erhalten, so dass sie diese mit größerer Wahrscheinlichkeit öffnen. Im Erfolgsfall lässt sich der Datenzugriff schnell monetarisieren, indem sie die Informationen  verkaufen oder Ransomware einsetzen“, so Patrick Schläpfer, Principal Threat Researcher im HP Wolf Security Threat Research Team. 

Durch die Isolierung – aber sicheren Ausführung – von Bedrohungen, die sich den Erkennungstools entziehen, gewinnt HP Wolf Security einen spezifischen Einblick in die neuesten Techniken von Cyberkriminellen. Bis heute haben HP Wolf Security Kunden über 40 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass eine Sicherheitsverletzung gemeldet wurde. 

Der Bericht zeigt, wie Cyberkriminelle ihre Angriffsmethoden immer weiter diversifizieren, um Sicherheitsrichtlinien und Erkennungstools zu umgehen. Weitere Ergebnisse:

  • Mindestens zwölf Prozent der von HP Sure Click[i] identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
  • Die wichtigsten Bedrohungsvektoren im ersten Quartal waren E-Mail-Anhänge (53 Prozent), Downloads von Browsern (25 Prozent) und andere Infektionsvektoren wie Wechseldatenträger, zum Beispiel USB-Sticks, sowie File Shares (22 Prozent).
  • In diesem Quartal basierten mindestens 65 Prozent der Dokumentenbedrohungen auf einem Exploit zur Ausführung von Code und nicht auf Makros.

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc.: „Die ‚Living-off-the-Land‘-Techniken zeigen die fundamentalen Schwachstellen auf, wenn man sich nur auf die Erkennung verlässt. Da die Angreifer legitime Tools verwenden, ist es schwierig, Bedrohungen zu erkennen, ohne eine Vielzahl störender Fehlalarme zu verursachen. Die Angriffsisolation bietet selbst dann Schutz, wenn eine Bedrohung nicht erkannt wird. Sie  verhindert, dass Malware Benutzerdaten oder Anmeldeinformationen exfiltriert oder löscht, und dass Angreifer weiterhin aktiv bleiben. Aus diesem Grund sollten Unternehmen bei der Sicherheit einen Defense-in-Depth-Ansatz verfolgen und risikoreiche Aktivitäten isolieren und eindämmen, um so die Angriffsfläche zu verringern.“

HP Wolf Security[ii] führt risikoreiche Aufgaben in isolierten, hardwareverstärkten virtuellen Maschinen auf dem Endgerät aus. Damit sind Anwender geschützt, ohne ihre Produktivität zu beeinträchtigen. Außerdem werden detaillierte Spuren von Infektionsversuchen aufgezeichnet. Die HP-Technologie zur Anwendungsisolierung entschärft außerdem Bedrohungen, die anderen Sicherheitstools entgehen. HP Wolf Security bietet darüber hinaus Einblicke in Eindringungstechniken und das Verhalten von Bedrohungsakteuren.

Über die Daten

Die Daten wurden zwischen Januar und März 2024 bei HP Wolf Security Kunden gesammelt, die dazu ihre Zustimmung gegeben hatten.

[i] HP Sure Click Enterprise is sold separately. Supported attachments include Microsoft Office (Word, Excel, PowerPoint) and PDF files, when Microsoft Office or Adobe Acrobat are installed. For full system requirements, please visit HP need hyperlink to HP Sure Access Enterprise and HP Sure Click Enterprise system requirements at: https://enterprisesecurity.hp.com/s/article/System-Requirements-for-HP-Sure-Access-Enterprise

[ii] HP Wolf Security for Business requires Windows 10 or 11 Pro and higher, includes various HP security features and is available on HP Pro, Elite, RPOS and Workstation products. See product details for included security features.

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“