Top 10 Malware-trusler opdaget i 2021

Cyberkriminelle har været ret aktive i at udvikle nye malware prøver og forbedre deres ondsindede tilgange. Ifølge PurpleSec statistik, cyberkriminalitet hele vejen igennem 2021 har været oppe 600% på grund af COVID-19-pandemien.

Som et resultat, cybersikkerhedsforskere har analyseret nogle nye, tidligere usete malware-stykker. Vi har udvalgt 10 nye trusler med forskellige egenskaber, der er blevet opdaget i naturen i løbet af de sidste mange måneder, målrettet mod Android, MacOS, Vinduer, og Linux:

• To nye malware-indlæsere: Wslink og SquirrelWaffle;
• Et Linux rootkit, kaldet FontOnLake/HCRootkit;
• To Android-banktrojanske heste: GriftHorse og Ermac;
• To sofistikerede bagdøre: FoggyWeb og Solarmarker;
• Meris DDoS botnet;
• LockFile ransomware, der bruger unik kryptering;
• Det opdaget i 2020 XCSSET Mac malware, nu opdateret med nye muligheder.

Disclaimer: De cybertrusler, der er anført i denne artikel, er en lille del af al den malware, der dukkede op i 2021. Vores top 10 udvalg af 2021 malware er blot et eksempel på det stadigt udviklende trussellandskab.

Wslink Malware Loader

En tidligere ukendt malware-indlæser blev afsløret i oktober, 2021. Hedder Wslink, værktøjet er "enkelt, men alligevel bemærkelsesværdigt,” i stand til at indlæse ondsindede Windows-binære filer. Læsseren er blevet brugt i angreb mod Centraleuropa, Nordamerika, og Mellemøsten.

Det unikke i denne tidligere udokumenterede loader er dens evne til at køre som en server og eksekvere modtagne moduler i hukommelsen. Ifølge rapporten udarbejdet af ESET-forskere, den indledende kompromisvektor er også ukendt. Forskerne var ikke i stand til at skaffe nogen af ​​de moduler, som læsseren skulle modtage. Ingen kode, funktionalitet eller operationelle ligheder tyder på, at loaderen blev kodet af en kendt trusselsaktør.

SquirrelWaffle Malware Loader

En anden malware-loader dukkede op i oktober 2021, med potentiale til at blive "den næste store ting" i spam-operationer. Døbt EgernVaffel, truslen er "mal-spamming" af ondsindede Microsoft Office-dokumenter. Kampagnens slutmål er at levere den velkendte Qakbot malware, samt Cobalt Strike. Disse er to af de mest almindelige syndere, der bruges til at målrette mod organisationer over hele verden.

Ifølge Cisco Talos-forskere Edmund Brumaghin, Mariano Graziano og Nick Mavis, "SquirrelWaffle giver trusselsaktører et indledende fodfæste på systemer og deres netværksmiljøer." Dette fodfæste kan senere bruges til at lette yderligere kompromis- og malwareinfektioner, afhængigt af hackernes præferencer for indtægtsgenerering.

"Organisationer bør være opmærksomme på denne trussel, da det sandsynligvis vil fortsætte på tværs af trusselslandskabet i en overskuelig fremtid,”Siger forskerne. En tidligere trussel af samme kaliber er Emotet, som har plaget organisationer i årevis. Siden Emotets operationer blev forstyrret af retshåndhævelse, sikkerhedsforskere har ventet på, at en ny lignende spiller skulle rejse sig. Og det har den…

FontOnLake/HCRootkit Linux Rootkit

FontOnLake / HCRootkit er en ny, tidligere uset malware -familie målrettet Linux -systemer. Dubbed FontOnLake af ESET -forskere, og HCRootkit af Avast og Lacework, malware har rootkit -muligheder, avanceret design og lav forekomst, tyder på, at det primært er beregnet til målrettede angreb.

Ifølge forskere, FontOnLake rootkit opgraderes løbende med nye funktioner, hvilket betyder, at det er i aktiv udvikling, og det er højst sandsynligt, at det fortsat vil blive brugt i 2022. VirusTotal prøver af malware afslører, at dets første brug i naturen stammer fra maj 2020. Det ser ud til, at malware er målrettet mod enheder i Sydøstasien, men andre regioner kan snart blive tilføjet til dens målliste.

Malwaren giver fjernadgang til sine operatører, og kunne bruges til legitimationshøst og som en proxyserver.

GriftHorse Android Trojan

En uhyggelig Android -trojan, kaldet GriftHorse og skjult i en aggressiv mobil premium-tjenestekampagne har stjålet hundredvis af millioner af euro. Opdagelsen kommer fra Zimperium zLabs forskere, der afslørede, at trojaneren har brugt ondsindede Android-applikationer til at udnytte brugerinteraktioner til bredere spredning og infektion.

"Disse ondsindede Android-applikationer virker harmløse, når man ser på butiksbeskrivelsen og anmodede om tilladelser, men denne falske følelse af tillid ændrer sig, når brugerne bliver opkrævet måned for måned for den premium service, de får abonnement på uden deres viden og samtykke,”Afslørede rapporten.

Retsmedicinske beviser peger på, at GriftHorse -trusselsaktøren har kørt sin drift siden november 2020. Ikke overraskende, de involverede ondsindede Android -apps blev distribueret via Google Play, men tredjeparts app-butikker blev også gearet. Efter en videregivelse til Google, virksomheden fjernede de ondsindede apps fra Play Butik. Den dårlige nyhed er, at apps stadig var tilgængelige til download på tredjeparts app-lager på tidspunktet for den oprindelige rapport (September 2021).

Ermac Android Trojan

ERMAC er en anden, tidligere uopdaget Android-banktrojan opdaget i september 2021. Malwaren ser ud til at være opfundet af BlackRock cyberkriminelle og er baseret på rødderne af den berygtede Cerberus.

"Hvis vi efterforsker ERMAC, vi kan finde ud af, at ERMAC er en kodemæssig arver af en velkendt malware Cerberus. Den bruger næsten identiske datastrukturer ved kommunikation med C2, den bruger de samme strengdata, et cetera,”Sagde ThreatFabric. Forskernes første indtryk var, at den nye trojaner er en anden variant af Cerberus. På trods af at have et andet navn og bruge forskellige tilsløringsteknikker og en ny strengkryptering, ERMAC er en anden Cerberus-baseret trojan.

Forskellen med den originale Cerberus er, at ERMAC anvender et andet krypteringsskema, når de kommunikerer med kommando-og-styringsserveren. Dataene er krypteret med AES-128-CBC, og præpareret med dobbelt ord, der indeholder længden af ​​de kodede data, hedder det i rapporten.

En bestemt forbindelse til BlackRock-malware-operatørerne er brugen af ​​den samme IP-adresse som kommando-og-kontrol.

FoggyWeb Post-Exploitation Bagdør

En ny bagdør i naturen tilskrevet NOBELIUM-trusselsskuespilleren, menes at ligge bag SUNBURST bagdør, TEARDROP malware, og "relaterede komponenter".

Ifølge Microsoft Threat Intelligence Center (MSTIC), den såkaldte FoggyWeb er en bagdør efter udnyttelse. NOBELIUM -trusselsaktøren anvender flere teknikker til at udføre legitimationstyveri. Dets nuværende mål er at få adgang på admin-niveau til Active Directory Federation Services (AD FS) servere.

Bagdøren beskrives også som "passiv" og "meget målrettet,” med sofistikerede dataeksfiltreringsfunktioner. "Den kan også modtage yderligere ondsindede komponenter fra en kommando-og-kontrol (C2) server og udføre dem på den kompromitterede server,”Tilføjede forskerne. Det er også bemærkelsesværdigt, at malware fungerer ved at tillade misbrug af Security Assertion Markup Language (SAML) token i AD FS.

"Beskyttelse af AD FS-servere er nøglen til at afbøde NOBELIUM-angreb. Registrering og blokering af malware, angriberaktivitet, og andre ondsindede artefakter på AD FS -servere kan bryde kritiske trin i kendte NOBELIUM -angrebskæder,” konkluderede Microsoft.

Solar markør bagdør

Solarmarker er en meget modulær bagdør og keylogger med en flertrins, kraftigt tilsløret PowerShell -loader, der udfører .NET -bagdøren.

Solmarkører aktiviteter blev observeret uafhængigt af forskere ved Crowdstrike og Cisco Talos. Begge virksomheder opdagede Solarmarker sidste år, i oktober og september, henholdsvis. Men, Talos siger, at nogle DNS -telemetri -data endda peger tilbage til april 2020. Det var da forskerne opdagede tre primære DLL -komponenter og flere varianter, der præsenterede lignende adfærd.

“Solarmarkers igangværende kampagne og tilhørende familie af malware er bekymrende. Det var oprindeligt i stand til at fungere og udvikle sig over en betydelig tid, mens det stadig var relativt uopdaget,”Bemærker forskerne afslutningsvis. De forventer også at se yderligere handling og udvikling fra Solarmarkers forfattere, der sandsynligvis vil inkludere nye taktikker og procedurer til malware.

Meris DDoS Botnet

I slutningen af ​​juni, 2021, sikkerhedsforskere fra det russiske firma Qrator begyndte at observere "et botnet af en ny art." En fælles forskning med Yandex fulgte for at opdage mere om denne nye DDoS-trussel "der dukker op i næsten realtid".

En temmelig stor, konstant voksende angrebskraft, som Qrator udtrykte det, blev afdækket i form af ti af tusinder af værtsenheder. Botnettet er blevet døbt Meris, betyder pest på lettisk.

“Hver for sig, Qrator Labs så 30 000 vært enheder i faktiske tal gennem flere angreb, og Yandex indsamlede data om 56 000 angribende værter,”Ifølge den officielle rapport. Dette tal er sandsynligvis endnu højere, nå 200,000. Det er bemærkelsesværdigt, at dette botnets enheder er yderst dygtige og ikke er de statistisk gennemsnitlige enheder, der er forbundet via Ethernet.

Den nye Mirai?
"Nogle mennesker og organisationer kaldte allerede botnettet "en tilbagevenden af ​​Mirai", som vi ikke synes er nøjagtige,” bemærkede Qrator. Da forskerne ikke har set den ondsindede kode bag dette nye botnet, de kan ikke med sikkerhed sige, om det på en eller anden måde er relateret til Mirai. Men, da enhederne det binder sammen kommer fra kun en producent, Mikrotek, det er mere sandsynligt, at Meris botnet ikke har noget at gøre med Mirai.

LockFile Ransomware

Den LockFile ransomware dukkede op i juli 2021. Ransomware har udnyttet ProxyShell -sårbarhederne i Microsoft Exchange -servere i sine angreb. Fejlene indsættes “til at bryde mål med upatchede, på lokale Microsoft Exchange -servere, efterfulgt af et PetitPotam NTLM -relayangreb for at få kontrol over domænet,”Ifølge Sophos’ Mark Loman.

Hvad er mest bemærkelsesværdigt ved denne ransomware, dog, er dens kryptering. Intermitterende kryptering har ikke været brugt af nogen kendt ransomware hidtil, og det er blevet valgt af trusselsaktørerne til unddragelsesformål.

Hvordan fungerer intermitterende kryptering? Cryptovirus krypterer hver 16 bytes af en fil i et forsøg på at undgå registrering af ransomware -beskyttelsesløsninger. Tilsyneladende, et dokument krypteret på denne måde ligner meget den krypterede original.

Unddragelse er mulig i tilfælde, hvor anti-ransomware-værktøjer bruger den såkaldte "chi-squared (chi^2)”Analyse, ændre den statistiske måde, denne analyse udføres på og dermed forvirre den.

Det er også bemærkelsesværdigt, at ransomware ikke behøver at oprette forbindelse til en kommando-og-kontrol-server, gør dens adfærd under radaren endnu mere sofistikeret, betyder, at den kan kryptere data på maskiner, der ikke har internetadgang.

XCSSET Mac Malware

I marts, 2021, Sentinel Labs forskere blev opmærksomme på et trojaniseret Xcode-projekt rettet mod iOS-udviklere. Projektet var en ondsindet version af en legitim, open source-projekt tilgængeligt på GitHub, gør det muligt for iOS-programmører at bruge flere avancerede funktioner til animering af fanebladet iOS.

En lignende kampagne blev opdaget i april, rettet mod Xcode-udviklere, udstyret med Mac'er, der kører Apples nye M1-chips. Malwaren er også i stand til at stjæle følsomme oplysninger fra cryptocurrency-applikationer.

Det skal bemærkes, at den såkaldte XCSSET malware blev først opdaget i august, 2020, da den spredte sig via ændrede Xcode IDE-projekter. Malware fungerer normalt ved at pakke om nyttelastmoduler for at fremstå som legitime Mac-apps, som ender med at inficere lokale Xcode-projekter.

Malwaremodulerne inkluderer stjæling af legitimationsoplysninger, skærmbillede optagelse, indsprøjtning af ondsindet JavaScript til websteder, stjæle appdata, og i nogle tilfælde, endda ransomwarefunktioner.

Nyere XCSSET-varianter er kompileret specifikt til Apple M1-chips. Dette er et tydeligt tegn på, at malwareoperatørerne tilpasser deres malware til at passe til de nyeste Apple-teknologier.

Afslutningsvis…
Alle malware-sager beskrevet ovenfor viser vigtigheden af ​​tilstrækkelig beskyttelse, forebyggelse og fremragende online hygiejnevaner. I disse bekymrende tider, lad os ikke glemme, hvor afgørende det er at tænke på vores online sikkerhed, for.

PS: Hvis du fandt denne artikel nyttig, sørg for at læse:

4 Nye Ransomware-as-a-Service-grupper
Linux Threat Landskab 2021