DNS.jpg

DNS-data indikerer øget skadelig domæneaktivitet og genbrug af phishing-værktøjssæt

Akamai-analyser opdager, at genbrug af phishing-værktøjssæt spillede en nøglerolle i øget skadelig domæneaktivitet i andet kvartal af 2022.

Ny forskning fra cybersikkerhedsleverandøren Akamai har afsløret, at 12.3% af overvågede enheder kommunikerede med domæner forbundet med malware eller ransomware mindst én gang i løbet af andet kvartal af 2022. Dette repræsenterede en stigning på 3% sammenlignet med 1. kvartal 2022, sagde firmaet, hvor  phishing-værktøjssæt spillede en nøglerolle i ondsindet domænerelateret aktivitet. Resultaterne er baseret på DNS-data og Akamais synlighed i transportør- og virksomhedstrafik på tværs af forskellige brancher og geografiske områder.

Øget malware, phishing, C2-domæneaktivitet registreret i 2. kvartal 2022

I et blogindlæg, der beskriver deres analyser, erklærede Akamai, at ud over de enheder, den opdagede kommunikation med domæner forbundet med malware / ransomware, fik yderligere 6.2% af enhederne adgang til phishing-domæner med 0.8% adgang til kommando-og-kontrol (C2) -tilknyttede domæner (begge små stigninger i 1. kvartal 2022). “Selvom dette tal kan virke ubetydeligt, er skalaen her i millioner af enheder,” beskriver firmaet. “Når dette overvejes, hvor C2 er den mest ondartede trussel, er dette ikke kun vigtigt, det er afgørende.”

Af de potentielt kompromitterede enheder og forskellige trusselskategorier blev 63% af enhederne udsat for trusler forbundet med malware-aktivitet, 32% med phishing og 5% med C2, tilføjede Akamai. “Adgang til malware-tilknyttede domæner garanterer ikke, at disse enheder faktisk blev kompromitteret, men giver en stærk indikation af øget potentiel risiko, hvis truslen ikke blev afbødet korrekt. På den anden side indikerer adgang til C2-tilknyttede domæner, at enheden sandsynligvis er kompromitteret og kommunikerer med C2-serveren. Dette kan ofte forklare, hvorfor forekomsten af C2 er lavere sammenlignet med malware-tal.”

Højteknologiske, finansielle mærker mest målrettede, efterlignet af skadelig domæneaktivitet

Akamai sagde, at højteknologiske og finansielle mærker var de mest målrettede, misbrugte og efterlignede af ondsindet domæneaktivitet i 2. kvartal 2022. Hvad angår angrebskategorisering, mens langt størstedelen (80,7%) af kampagnerne var rettet mod forbrugere, advarede Akamai om, at 19,3% af angrebene mod forretningskonti ikke bør betragtes som ubetydelige.

“Disse former for angreb er normalt mere målrettede med større potentiale for betydelig skade,” skriver forskerne. “Angreb, der er målrettet mod forretningskonti, kan føre til, at en virksomheds netværk kompromitteres med malware eller ransomware, eller at fortrolige oplysninger lækkes. Et angreb, der begynder med, at en medarbejder klikker på et link i en phishing-e-mail, kan ende med, at virksomheden lider betydelige økonomiske og omdømmemæssige skader.

Phishing-kits har indflydelse på øget ondsindet domæneaktivitet

Akamais forskning fremhævede phishing-kits som at spille en nøglerolle i den ondsindede domæneaktivitet, den analyserede. Det sporede 290 forskellige phishing-værktøjssæt, der blev brugt i naturen i 2. kvartal 2022, hvor 1.9% genbruges på mindst 72 forskellige dage. “Desuden blev 49,6% af sættene genbrugt i mindst fem dage, og når vi ser på alle de sporede kits, kan vi se, at de alle blev genbrugt ikke mindre end tre forskellige dage i løbet af 2. kvartal,” skriver firmaet.

Den industrielle oprettelse og salg / deling af phishing-kits, der efterligner kendte mærker, er en drivkraft bag genbrug af kit, sagde Akamai. “Kits bliver lettere at udvikle og implementere, og internettet er fuld af forladte websteder, der er klar til at blive misbrugt, samt sårbare servere og tjenester. Den voksende industrielle karakter af phishing-kit udvikling og salg, hvor nye kits udvikles og frigives inden for få timer, og den klare opdeling mellem skabere og brugere, betyder, at denne trussel ikke går nogen steder når som helst snart.

Kr3pto-værktøjssættet blev identificeret som det, der blev brugt mest i 2. kvartal 2022, forbundet med mere end 500 domæner. Selvom det anslås at være oprettet for mere end tre år siden, er Kr3pto stadig meget aktiv og effektiv, sagde Akamai. Webmail_423, Microsoft_530 og sfexpress_93 var de næstmest anvendte phishing-værktøjssæt.

Skadelige domæner udgør betydelige trusler mod virksomheder

Skadelige domæner udsætter virksomheder for trusler, og sikkerhedsteams bør overveje muligheder for at hjælpe med at tackle de tilknyttede risici, Alex Applegate, senior analytiker hos DNSFilter, fortæller CSO. “Ved at åbne et skadeligt websted kan en bruger starte en lang række skadelige aktiviteter. Det meste af den skadelige aktivitet er ofte centreret omkring at udføre en slags kode på offerets maskine, herunder installation af en skadelig kommando eller initiering af et script på webstedet, der tager skadelige handlinger mod ofrets software,” siger han.

Når den er installeret, er mulighederne for den skadelige kode ubegrænsede, hvilket sætter følsomme oplysninger i fare for at blive stjålet eller beskadiget, tilføjer han. “Ofrets computer kan derefter bruges som et waypoint til at bevæge sig sideværts fra netværket eller for at få adgang til mere sikre ressourcer (for eksempel at kompromittere en ekstern entreprenørs system for at få adgang til netværket i et Fortune 500-firma),” siger Applegate.

For at afbøde skadelige domænerisici bør sikkerhedsteams først sikre, at sikre webforbindelser er på plads sammen med effektiv slutbrugeruddannelse om risici ved at klikke på et link eller besøge en URL, der kommer fra en kilde, der ikke er tillid til, eller på anden måde var uopfordret. “Derudover er der flere velkendte domæner, der administreres af tredjepartsvirksomheder, der automatisk kan kontrollere for stavefejl, tegnsubstitutioner og andre homoglyffer samt cybertrusselsefterretningstjenester, både open source og kommercielle, der distribuerer lister over websteder, der bruges til phishing, forretnings-e-mail-kompromiser og anden skadelig aktivitet,” siger Applegate.

Ud over selve URL’en kan en sund netværks- og slutpunktsovervågningsplan opdage mange af de mest besværlige risici, siger Applegate. “Det er vigtigt, at kontrol af procesinjektion, eskalering af tilladelser, åbning af netværksporte, skrivning til systemfiler, exfiltrering af store filer og uventet kopiering af filer til flere systemer alle fanges og revideres – og selvfølgelig altid vedligeholder og verificerer fulde off-site sikkerhedskopier af alle kritiske data.”

Hvad angår adressering af genbrug af phishing-værktøjssæt, der er fremhævet i Akamais forskning, fortæller Or Katz, ledende sikkerhedsanalytiker hos Akamai, at der er behov for mere handling for bedre at spore nye kampagner og eliminere dem hurtigt og effektivt ved hjælp af løbende trusselintelligens forbundet med IP-adresser eller ASN-omdømme, nye domæner registreres. “

Kilde: CSO

Foto: Pexels

Scroll til toppen