Cybercriminelen organiseren zich almaar sneller om zero-day-aanvallen in te zetten op nieuwe kwetsbaarheden. Dat concludeert het Wolf-cybersecurityteam van HP.
Op 8 september onderschepte HP voor het eerst exploits van de zero-day CVE-2021-40444, een remote-uitvoering van een code via misbruik van Office-documenten. Dat was een week voordat de patch werd vrijgegeven op 14 september. Op 10 september, geen drie dagen na het initiële bedreigingsrapport, gingen op GitHub al scripts rond om de aanmaak van deze exploit te automatiseren. Tenzij er wordt ingegrepen met een patch, stelt de exploit aanvallers in staat eindpunten te destabiliseren, haast zonder dat de eindgebruikers op iets moet klikken of installeren. Zij hoeven het bestand zelfs niet eens te openen of macro’s te starten: alleen al bekijken via het previewvenster in de Verkenner volstaat om de aanval in te zetten. De gebruiker beseft meestal niet eens wat er gebeurt. Zodra het toestel gecompromitteerd is, kunnen aanvallers achterpoortjes installeren op systemen en deze eventueel doorverkopen aan ransomwaregroepen.
Kwetsbare plek
‘Bedrijven hebben gemiddeld 97 dagen nodig om de nodige en gepaste tests uit te voeren om hun patches volledig te implementeren’, zegt Alex Holland van HP Wolf. ‘Dit geeft cybercriminelen de kans om deze ‘window of vulnerability’ (kwetsbare plek) uit te buiten. Vroeger waren enkel uiterst bedreven hackers hiertoe in staat, maar deze toegangsdrempel werd verlaagd met behulp van automatische scripts. Zo komen dit soort aanvallen nu ook binnen het bereik van actoren met minder kennis, bagage en bronnen.’
Naast de almaar kortere ‘doorlooptijd’ van zero-days, zag HP nog enkele andere opvallende bedreigingen. Zo is er een opmars van cybercriminelen die malware hosten via legitieme cloud- en webproviders. Een recente GuLoader-campagne was host voor de Remcos Remote Access Trojan op grote platformen zoals OneDrive zodat inbraakdetectiesystemen en white listing-tests overleefd konden worden. HP ontdekte ook dat meerdere malwarefamilies worden gehost op sociale-mediaplatformen voor gamers zoals Discord.
‘We zien inderdaad dat hackers erin slagen kortstondige aanvallen uit te voeren via belangrijke platformen. Normaal wordt malware die op dergelijke platformen gehost geraakt, vrij snel onschadelijk gemaakt, maar dit schrikt aanvallers niet af, omdat ze er in de enkele uren dat hun links actief blijven, vaak in slagen hun doelstelling te realiseren, namelijk malware te verspreiden’, zegt Holland.
Daarnaast wordt ook JavaScript-malware belangrijker om voorbij detectietools te glippen. JavaScript-downloaders hebben een lager detectieniveau dan Office-downloaders of -binaries. De bijhorende trojans duiken steeds frequenter op waar aanvallers het hebben gemunt op inlogdata voor zakelijke accounts of cryptoportefeuilles.