Vier opvallende cyberontwikkelingen volgens Proofpoint

Ook zien analysen van het bedrijf dat Bitcoinscams evolueren en het misbruik van RMM-tooling toeneemt. Dit zijn vier opvallende ontwikkelingen in het eerste kwartaal dit jaar.

1. Aantal accountovernames stijgt

De dreigingsonderzoekers van het bedrijf zien een stijgende trend in het gebruik van HTTP-client tools bij accountovername (account take over, ATO) incidenten. Dit zijn softwareapplicaties of -libraries die gebruikt worden voor het versturen van verzoeken en het ontvangen van responses van webservers. Aanvallers gebruiken deze tools voor het compromitteren van Microsoft 365-omgevingen.

Dit zijn de belangrijkste resultaten uit het onderzoek:

• Veel pogingen tot accountovername: het onderzoek toont dat 78% van Microsoft 365-klanten minstens één keer doelwit was van een poging tot ATO. Hierbij wordt gebruikgemaakt van een herkenbare HTTP-client.
• ‘Brute force’ methoden: de meeste HTTP-gebaseerde cloudaanvallen gebruiken brute force –methoden. Dit resulteert in lage succespercentages.
• Unieke HTTP-client: een recente campagne, die gebruikmaakt van de unieke HTTP-client Axiom, heeft een bijzonder hoog succespercentage. 43% van de beoogde gebruikersaccounts is gecompromitteerd.
• ‘Brute force’ campagne: onderzoekers identificeerden een brute forcecampagne. Deze is te herkennen door de hoge snelheid en verdeelde toegangspogingen. De geïdentificeerde campagne gebuikt de Node Fetch client.

Verschillende HTTP-client tools zijn verbeterd voor ATO-aanvallen. Deze misbruiken API’s en maken requests aan. De trend suggereert dat aanvallers blijven wisselen tussen verschillende HTTP-client tools. Ze bieden verschillende voordelen, waardoor aanvallen efficiënter worden.

2. De evolutie van Bitcoinscams

Na de opkomst van Bitcoinscams, gebaseerd op afbeeldingen, zijn het misbruiken van video’s (VisSpam) nu een zorgwekkende trend. Aanvallers gebruiken kleine videobestanden voor het verbeteren van hun misleidingstactieken.

Dit zijn de laatste trends:

• MMS-gebruik: aanvallers gebruiken videobestanden in multimedia messages (MMS) op mobiel voor het promoten van Bitcoinscams.
• Unieke aanpak: een gerapporteerd videobericht kwam binnen als licht 14KB. 3gp bestand, wat een unieke aanpak is voor het overtuigen van slachtoffers om op links te klikken en met oplichters in contact te komen.
• Gebruik van WhatsApp: ontvangers worden naar Whatsappgroepen geleid. Hier voeren de oplichters vervolgens hoge druk uit om zo geld of persoonlijke informatie los te krijgen.
• Misleidende multimedia: er wordt verwacht dat MMS-misbruik doorgroeit met steeds meer misleidende multimedia-inhoud om nietsvermoedende personen aan te vallen.

Terwijl oplichters hun tactieken verbeteren, moeten verdedigers en consumenten waakzaam blijven en zich aanpassen aan nieuwe aanvalketens. Misbruik op basis van video vertegenwoordigt een evolutie in de tools die aanvallers gebruiken bij het uitbuiten van slachtoffers. Samenwerking in de sector is essentieel om deze steeds veranderende bedreigingen een stap voor te blijven.

3. RMM-tooling als eerste stap cyberaanval

RMM-software wordt gebruikt in IT-ondernemingen om op afstand computers te beheren. Wanneer deze misbruikt wordt, kan deze software hetzelfde gebruikt worden als Remote Access Trojans (RAT’s). Financieel gemotiveerde dreigingen leveren RMM-tools steeds vaker af via e-mail.

Verder blijkt uit onderzoek dat:

• Steeds meer dreigingsactoren legitieme RMM-tools als eerste stap voor cyberaanvallen gebruiken in e-mailcampagnes.
• In 2024 detecteert Proofpoint een merkbare toename in het gebruik van RMM-tools door cybercriminele dreigingsactoren. Ze verwachten dat deze trend zich in 2025 voortzet.
• RMM’s worden onder andere gebruikt voor dataverzameling, financiële diefstal en het installeren van follow-on malware, zoals ransomware.
• Ondanks dat dreigingsactoren al langer RMM’s in campagnes en aanvalsketens gebruiken, is het opmerkelijk dat ze nu steeds meer gebruikt worden als eerste stap in e-mailcampagnes.

De verwachting is dat RMM-tooling steeds meer ingezet wordt voor een eerste payload. Dreigingsactoren maken en verspreiden makkelijk externe monitoring tools. Deze worden vaak legitiem gebruikt door eindgebruikers. RMM’s zijn hierdoor minder verdacht dan andere soorten RAT’s. Ook omzeilt deze tooling antivirussen en netwerkdetectie, omdat het vaak legitieme, ondertekende payloads zijn die kwaadaardig worden verspreid.

4. Extreem specifieke e-mailcampagne

In de herfst van 2024 exploiteert UNK_CraftyCamel een gecompromitteerd Indiaas elektronicabedrijf om organisaties in de Verenigde Arabische Emiraten (VAE) aan te vallen. Een schadelijk ZIP-bestand installeert een aangepaste Go-backdoor genaamd 'Sosano', die gebruikmaakt van meerdere polyglotbestanden. Polyglotbestanden zijn bestanden die, afhankelijk van de manier waarop ze worden gelezen, als verschillende formaten kunnen worden geïnterpreteerd. Dit is een lopend onderzoek.

Tot nu toe blijkt dat:

• Onderzoekers zien een extreem gerichte, op e-mailgebaseerde campagne die doelde op een klein aantal bedrijven die focussen op luchtvaarts- en satellietcommunicatie-organisaties in de VAE.
• De kwaadaardige berichten werden verzonden vanaf een gecompromitteerde partij in een vertrouwde zakelijke relatie van de doelwitten. De gebruikte lokmiddelen werden aangepast aan elk doelwit.
• De recent ontdekte backdoor, ‘Sosano’, gebruikte meerdere technieken om de malware en payload te verbergen. De aanvaller heeft aanzienlijke ontwikkelingscapaciteit en een belang bij het beschermen tegen eenvoudige analyse van hun payloads.
• De campagne maakte gebruik van polyglotbestanden om de payload te verbergen. Dit is een relatief ongebruikte techniek voor spionage-actoren in de telemetrie van Proofpoint. De operator wil vaak onopgemerkt blijven.