Wouter Hoeffnagel - 21 mei 2024

Aanvallers zetten in op 'Cat-Phishing' om detectie te vermijden

Aanvallers maken gebruik van open redirects voor aanvallen die ook wel 'Cat-Phishing' worden genoemd. Zo proberen zij detectie te omzeilen. Ook vermommen cybercriminelen hun malafide payloads als achterstallige facturen, in de hoop dat bedrijven de bestanden openen. Voor het verspreiden van bestanden maken zij daarnaast gebruik van 'Living-off-the-Land' (LotL)-technieken.

Aanvallers zetten in op 'Cat-Phishing' om detectie te vermijden image

Dit blijkt uit het HP Wolf Security Threat Insights Report, dat HP ieder kwartaal uitbrengt. Het rapport analyseert echte cyberaanvallen en helpt organisaties op de hoogte te blijven van de nieuwste technieken die cybercriminelen gebruiken om detectie te ontwijken en pc's te infiltreren in het snel veranderende landschap van cybercriminaliteit.

Op basis van gegevens van miljoenen apparaten die HP Wolf Security gebruiken, hebben HP-onderzoekers de volgende opvallende technieken geïdentificeerd:

  • Aanvallers gebruiken open redirects om gebruikers te 'Cat-Phishen': In een geavanceerde WikiLoader-campagne maakten aanvallers gebruik van open redirects op websites om detectie te omzeilen. Gebruikers werden eerst naar betrouwbare sites geleid, vaak via een doorverwijzingslink in advertenties, en vervolgens doorgestuurd naar schadelijke sites. Hierdoor was het voor gebruikers vrijwel onmogelijk om de redirect op te merken.
  • Living-off-the-BITS: Verschillende campagnes misbruikten de Windows Background Intelligent Transfer Service (BITS) - een legitiem mechanisme dat door programmeurs en systeembeheerders wordt gebruikt om bestanden te downloaden of uploaden naar webservers en bestandsshares. Door deze LotL-techniek konden aanvallers onopgemerkt blijven door BITS te gebruiken om de schadelijke bestanden te downloaden.
  • Valse facturen die leiden tot HTML-smokkel aanvallen: HP ontdekte aanvallers die malware verborgen in HTML-bestanden die zich voordeden als facturen. Wanneer deze bestanden in een webbrowser werden geopend, veroorzaakten ze een keten van gebeurtenissen die de open-source malware AsyncRAT activeerden. Opmerkelijk is dat de aanvallers weinig aandacht besteedden aan het ontwerp van de facturen, wat suggereert dat de aanvallen met minimale tijd en middelen zijn uitgevoerd.

'Oude, maar effectieve truc'

Patrick Schläpfer, Principal Threat Researcher in het HP Wolf Security threat research team: "Het sturen van nepfacturen naar bedrijven is een oude truc, maar nog steeds erg effectief en winstgevend. Mensen op de financiële afdeling zijn gewend om facturen per e-mail te ontvangen en openen ze vaak zonder na te denken. Als de aanval slaagt, kunnen de criminelen snel geld verdienen door toegang te verkopen aan andere criminelen of door ransomware te gebruiken.”

Door bedreigingen te isoleren die detectiegebaseerde tools hebben weten te omzeilen - maar nog steeds malware veilig laten detoneren - heeft HP Wolf Security specifiek inzicht in de nieuwste technieken die door cybercriminelen worden gebruikt. Tot op heden hebben klanten van HP Wolf Security meer dan 40 miljard e-mailbijlagen, webpagina's en gedownloade bestanden geopend zonder dat er een inbraak is gemeld.

Het rapport geeft gedetailleerd weer hoe cybercriminelen hun aanvalsmethoden blijven verfijnen om beveiligingsbeleid en detectietools te omzeilen. Andere bevindingen zijn onder meer:

  • Minstens 12% van de e-maildreigingen, geïdentificeerd door HP Sure Click*, omzeilden een of meer e-mailgateway-scanners.
  • De voornaamste dreigingsvectoren in Q1 waren e-mailbijlagen (53%), downloads vanuit browsers (25%) en andere infectievectoren, zoals verwisselbare opslag - zoals USB-sticks - en bestandsdeling (22%).
  • Dit kwartaal was ten minstens 65% van de documentdreigingen afhankelijk van een exploot om codes uit te voeren, in plaats van macro's.

'Detectie alleen is onvoldoende'

Dr. Ian Pratt, Global Head of Security for Personal Systems bij HP: “Living-off-the-Land-technieken tonen de fundamentele tekortkomingen van het vertrouwen op detectie alleen. Doordat aanvallers legitieme tools gebruiken, is het lastig om bedreigingen te ontdekken zonder veel valse positieven te generen. Bedreigingsbeheer biedt bescherming, zelfs bij falende detectie, door te voorkomen dat malware gebruikersgegevens of referenties exfiltreert of vernietigt, en door te voorkomen dat aanvallers doorzetten. Daarom moeten organisaties kiezen voor een defence-in-depth benadering van beveiliging, waarbij activiteiten met een hoog risico worden geïsoleerd en ingeperkt.”

HP Wolf Security voert risicovolle taken uit in geïsoleerde, hardware versterkte virtuele wegwerpmachines die op het endpoint draaien om gebruikers te beschermen, zonder hun productiviteit te beïnvloeden. Het houdt ook nauwkeurig bij wanneer er pogingen tot infectie zijn. HP's applicatie-isolatietechnologie stopt bedreigingen die andere beveiligingstools missen en geeft unieke inzichten in hoe aanvallers te werk gaan.

Sophos 14/11/2024 t/m 28/11/2024 BN + BW Lenovo Channel Campagne vierkant
Axians 12/11/2024 t/m 26/11/2024 BN + BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!