Amint arról a thehackernews.com beszámolt, egy államilag támogatott fenyegető szereplőnek tulajdonítják az Egyesült Államokban élő újságírókat célzó spear-phishing kampányt. Az APT37 nevű behatolók egy új, GOLDBACKDOOR nevű kártevő törzset telepítettek. Többlépcsős fertőzési folyamat során backdoor telepítést hajtott végre, hogy elkerülje a felismerést.
Ezek az okos támadók azt is tudták, hogy a legjobb módja annak, hogy elkerüljék az AV-motorok észlelését, ha eleve nem küldenek rosszindulatú csatolmányokat. Ehelyett egy olyan e-mail üzenetet küldtek, amely egy ZIP-archívum letöltésére szolgáló linket tartalmazott egy távoli szerverről, amely egy Észak-Koreával foglalkozó hírportálnak adta ki magát. A fájlba beágyazva egy Windows szkript van, amely ugródeszkaként szolgál egy PowerShell szkript végrehajtásához, amely megnyit egy rosszindulatú dokumentumot, miközben egyidejűleg telepíti a GOLDBACKDOOR hátsó ajtót. Ez lehetővé tette a támadók számára, hogy parancsokat kérjenek le egy távoli szerverről, fájlokat töltsenek fel és töltsenek le, fájlokat rögzítsenek, és távolról távolítsák el a backdoor-t a megtámadott gépekről.
A 2021-es Verizon Data Breach Incident Report szerint az adathalász szimulációkban a kattintási arány átlagosan 3%, egyes szervezeteknél pedig 20-40%! Ha figyelembe vesszük, hogy a legtöbb szervezetnél rendkívül nagy a rosszindulatú e-mailek száma, akkor elég néhány tucat e-mail, hogy ezek a támadások sikerrel járjanak. Nem meglepő, hogy a betörések 85%-a emberi tényezővel jár, mivel az e-mail közvetlen utat biztosít a támadóknak az alkalmazottakhoz. Számos általános biztonsági keretrendszer és jogszabályi megfelelőségi kezdeményezés megköveteli a felhasználói tudatosságra vonatkozó képzést, de nyilvánvaló, hogy ez nem elegendő.
Veled is megtörténhet ez?
A rosszindulatú e-mailes támadások azért olyan hatékonyak, mert a social engineeringnek köszönhető. Különösen az adathalászat teszi ki a social engineering 81%-át, és ez az egyik leggyakoribb cselekmény, amely ténylegesen betörést eredményez (a Verizon szerint). Az adathalász támadások célja, hogy egy megbízható személynek vagy márkának adják ki magukat, hogy rosszindulatú tartalmat juttassanak el vagy hitelesítő adatokat lopjanak el, de ha ez a tartalom egy weboldalon van elhelyezve, akkor az e-mail alapú AV-motorok nem tudják felismerni.
Amint azt a GOLDBACKDOOR többlépcsős kártevő esete is bizonyította, a hamis üzeneteket egy volt dél-koreai hírszerzési tisztviselő személyes e-mail címéről lehetett küldeni, a hamisított hírportálok oldalainak felhasználásával, amelyek célja egy hátsó ajtó telepítése és érzékeny információk ellopása volt.
Néhány fejlett támadó azt is felismerte, hogy egyes e-mail biztonsági megoldások a csatolmányok mellett az URL-címeket is vizsgálják, így a fejlettebb támadások az URL-rövidítőkkel, átirányításokkal vagy egyedi URL-címekkel igyekeznek elkerülni az észlelést.
A a kattintás idejére vonatkozó URL hírnév elemzés
A valóság az, hogy az AV csak az e-mail biztonság első pillére; a szervezeteknek a rosszindulatú, mellékleteket nem tartalmazó e-mailek ellen is védelemre van szükségük. MetaDefender Email Security Az adathalász-támadásokat több dimenzióban is visszaveri. Először is, az ismert adathalász URL-címeket tartalmazó e-maileket blokkolja, mielőtt azok a felhasználó postaládájába kerülnének. Ezután a gyanús URL-címeket tartalmazó e-mailek semlegesíthetők azáltal, hogy egyszerű szöveggé teszik őket. Végül az URL-ek hírnevét minden kattintáskor ellenőrzik, így a felhasználók az e-mail kézbesítése után is védve vannak.
Ez a hírnévelemzés tartalmazza a feladó IP-címét, az e-mail fejléceit (azaz a FROM-címet, a FROM tartományt, a REPLY-TO címet) és az e-mail szövegét, beleértve a rejtett hiperlinkeket is. OPSWAT MetaDefender Cloud több, valós idejű, IP-címekre, domain- és URL-hírnévre szakosodott online forrásbólgyűjt adatokat, hogy olyan keresési szolgáltatást nyújtson, amely összesített eredményeket küld vissza felhasználóinknak. Ezt a funkciót a MetaDefender Email Security használja, amely lehetővé teszi az olyan fenyegetések, például botnetek vagy adathalász oldalak azonosítását, amelyeket a tartalomhoz való hozzáférés során a fájlok átvizsgálása révén nem találnánk meg.
OPSWAT Email Security Amegoldás csökkenti az emberi hibákat azáltal, hogy több lépcsőben feltárja a potenciális adathalász-támadásokat, és megvédi a felhasználókat a social engineering támadásoktól, így az IT osztály kevésbé támaszkodhat a felhasználók tudatosságára.
Írjon a OPSWAT címre, és kérdezze meg, hogyan tudunk segíteni az e-mail biztonságának javításában AV és adathalászat elleni védelemmel.Töltse le ingyenes fehér könyvünket, hogy többet tudjon meg az e-mail biztonság legjobb gyakorlatairól.
