Hackers springen massaal op zero-day-treinen

Dit artikel delen:
dark web

Cybercriminelen organiseren zich almaar sneller om zero-day-aanvallen in te zetten op nieuwe kwetsbaarheden. Dat concludeert het Wolf-cybersecurityteam van HP.

Op 8 september onderschepte HP voor het eerst exploits van de zero-day CVE-2021-40444, een remote-uitvoering van een code via misbruik van Office-documenten. Dat was een week voordat de patch werd vrijgegeven op 14 september. Op 10 september, geen drie dagen na het initiële bedreigingsrapport, gingen op GitHub al scripts rond  om de aanmaak van deze exploit te automatiseren. Tenzij er wordt ingegrepen met een patch, stelt de exploit aanvallers in staat eindpunten te destabiliseren, haast zonder dat de eindgebruikers op iets moet klikken of installeren. Zij hoeven het bestand zelfs niet eens te openen of macro's te starten: alleen al bekijken via het previewvenster in de Verkenner volstaat om de aanval in te zetten. De gebruiker beseft meestal niet eens wat er gebeurt. Zodra het toestel gecompromitteerd is, kunnen aanvallers achterpoortjes installeren op systemen en deze eventueel doorverkopen aan ransomwaregroepen.

Kwetsbare plek

‘Bedrijven hebben gemiddeld 97 dagen nodig om de nodige en gepaste tests uit te voeren om hun patches volledig te implementeren’, zegt Alex Holland van HP Wolf. ‘Dit geeft cybercriminelen de kans om deze 'window of vulnerability’ (kwetsbare plek) uit te buiten. Vroeger waren enkel uiterst bedreven hackers hiertoe in staat, maar deze toegangsdrempel werd verlaagd met behulp van automatische scripts. Zo komen dit soort aanvallen nu ook binnen het bereik van actoren met minder kennis, bagage en bronnen.’

Naast de almaar kortere ‘doorlooptijd’ van zero-days, zag HP nog enkele andere opvallende bedreigingen. Zo is er een opmars van cybercriminelen die malware hosten via legitieme cloud- en webproviders. Een recente GuLoader-campagne was host voor de Remcos Remote Access Trojan op grote platformen zoals OneDrive zodat inbraakdetectiesystemen en white listing-tests overleefd konden worden. HP ontdekte ook dat meerdere malwarefamilies worden gehost op sociale-mediaplatformen voor gamers zoals Discord.

‘We zien inderdaad dat hackers erin slagen kortstondige aanvallen uit te voeren via belangrijke platformen. Normaal wordt malware die op dergelijke platformen gehost geraakt, vrij snel onschadelijk gemaakt, maar dit schrikt aanvallers niet af, omdat ze er in de enkele uren dat hun links actief blijven, vaak in slagen hun doelstelling te realiseren, namelijk malware te verspreiden’, zegt Holland.

Daarnaast wordt ook JavaScript-malware belangrijker om voorbij detectietools te glippen. JavaScript-downloaders hebben een lager detectieniveau dan Office-downloaders of -binaries. De bijhorende trojans duiken steeds frequenter op waar aanvallers het hebben gemunt op inlogdata voor zakelijke accounts of cryptoportefeuilles.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-10-15T10:14:00.000Z Frederic Petitjean
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.