H1 2022: Bericht zu Malware- und Schwachstellentrends
Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Dieser Bericht untersucht Trends bei der Verwendung, Verbreitung und Entwicklung von Malware sowie hochriskante Schwachstellen, die von großen Hardware- und Softwareanbietern zwischen dem 1. Januar und 30. Juni 2022 offengelegt wurden. Daten wurden von der Recorded Future ® -Plattform, Open-Source-Informationen (OSINT) und öffentlichen Berichten zu NVD-Daten zusammengetragen. Dieser Bericht unterstützt Bedrohungsjäger und Teams von Security Operations Centern (SOC) bei der Stärkung ihrer Sicherheitslage, indem er auf der Grundlage dieser Forschungsergebnisse und Daten Jagdtechniken und Erkennungsmethoden priorisiert. Gleichzeitig sucht das Schwachstellenteam nach Möglichkeiten, Patches zu priorisieren und Trends bei der gezielten Angriffsbekämpfung auf Schwachstellen zu erkennen.
Executive Summary
Die Entwicklung von Schadsoftware und die Ausnutzung von Schwachstellen waren im ersten Halbjahr 2022 durch Hartnäckigkeit in mehreren Aspekten gekennzeichnet, darunter kriminelle Dienste, Exploit-Ziele, Wartung der Infrastruktur und Betriebsdauer. Im Mittelpunkt der öffentlichen und kriminellen Aufmerksamkeit standen folgende Schadsoftware-Kategorien: Wiper (ein Angriff auf die Ukraine), Infostealer (einige beliebte Varianten sind nach einem anfänglichen Verschwinden wieder aufgetaucht) und Ransomware (Erpressungstrojaner), der nach wie vor alle Branchen weltweit zum Opfer fallen. Die Schwachstelle, die zu Beginn des Jahres am stärksten im Fokus der Verteidiger stand, war Log4Shell, während Ende Juni die Follina-Schwachstelle (die über ein bösartiges Dokument ohne Verwendung von Makros ausgenutzt werden kann) eine mögliche zukünftige Richtung für Zero-Day-Exploits für den Rest des Jahres anzeigte.
Die am häufigsten mit Cyberangriffen in Verbindung gebrachten Malware-Varianten im ersten Halbjahr 2022 waren Cobalt Strike, Conti Ransomware, Pegasus, DeadBolt Ransomware und Emotet. Die Verweise auf Cobalt Strike waren deutlich häufiger als auf die anderen Methoden, was zeigt, dass es in zahlreichen Arten von Cyberangriffskampagnen weiterhin präsent ist.
Die am häufigsten genannten Schwachstellen im Zusammenhang mit Cyberangriffen im ersten Halbjahr 2022 betrafen Apache Log4J (Log4Shell), Microsoft Windows (Follina), Microsoft Exchange Server (ProxyShell), Atlassian Confluence und das Java Spring Framework. In diesem Szenario kommt es sowohl zu Zero-Day-Ausnutzungen als auch zu fortgesetzter Ausnutzung bekannter Schwachstellen. Bis Ende Juni wurde zudem eine Ausnutzung von Log4Shell beobachtet.
Unser Ausblick für den Rest des Jahres 2022 auf Grundlage des ersten Halbjahres 2022 geht davon aus, dass Ransomware weiterhin eine große Bedrohung darstellt (auch wenn ein Rückgang überfällig ist), die weitere Verbreitung der Multi-Faktor-Authentifizierung (MFA) viele Bereiche der kriminellen Landschaft umgestalten wird und der Krieg Russlands gegen die Ukraine wahrscheinlich zu noch mehr neuartiger Schadsoftware aus dieser Region führen wird.
Hartnäckigkeit bestimmt das erste Halbjahr 2022
Wenn es ein Wort gibt, das die Landschaft der Malware-Entwicklung und der Ausnutzung von Schwachstellen im ersten Halbjahr 2022 zusammenfasst, dann ist es mit ziemlicher Sicherheit „hartnäckig“. Die massenhafte Entwicklung von Wiper-Malware gegen die Ukraine, das Wiederauftauchen eines beliebten Infostealers, die anhaltende Aufmerksamkeit für schwerwiegende Schwachstellen wie Log4Shell und ProxyShell, die Auflösung der Conti-Ransomware-Gruppe zur Unterstützung anderer Ransomware-Operationen, das Auftauchen neuer Taktiken im (noch nicht toten) Emotet-Botnetz und die fortlaufende Weiterentwicklung der Taktiken der großen Cybercrime-Gruppe FIN7 sind Beispiele für eine kriminelle Untergrund- und APT-Bedrohungslandschaft, in der viele Bedrohungen vorübergehend verschwinden oder sich ändern können, es jedoch sehr schwierig ist, sie vollständig zu stoppen. Das Auftauchen von Lockbit 3.0 als neuste Version dieser Ransomware, obwohl es nicht direkt im ersten Halbjahr 2022 geschah, untermauert diese Sicht der Bedrohungslandschaft weiter.
Eine ähnliche Hartnäckigkeit zeigt auch die kriminelle Unterwelt, auf die sich die Bedrohungsakteure bei der Entwicklung neuer Schadsoftware oder der Ausnutzung von Sicherheitslücken verlassen. Der „Faceless“-Proxy-Dienst, über den wir im April 2022 berichteten, beinhaltet viele der Aspekte, die wir im ersten Halbjahr 2022 bei Malware und Schwachstellen gesehen haben: Malware, die auf Online-Händler abzielt, Schwerpunkt auf Remote Code Execution (RCE) und Zero-Day-Schwachstellen sowie langfristige kriminelle Aktivitäten, die Strafverfolgungsmaßnahmen, Rebranding und fehlenden Zugriff auf die Infrastruktur überstehen können. Ebenso zeigt die Gründung von BreachForums nach der Beschlagnahmung von Raid Forums durch die Strafverfolgungsbehörden die Hartnäckigkeit krimineller Netzwerke und die Leichtigkeit, mit der neue Foren geschlossene Foren ersetzen können, wenn weiterhin Bedarf besteht.
Die folgenden Diagramme zeigen die am häufigsten genannten Malware-Varianten und Schwachstellen im Zusammenhang mit gemeldeten Cyberangriffen im ersten Halbjahr 2022. Diese basierten auf Abfragen nach Schadsoftware oder Schwachstellen, die in den auf der Recorded Future Platform gesammelten Berichten über Cyberangriffe auftauchten.
Der Malware-Datensatz zeigt am besten, dass sich Bedrohungsakteure weiterhin auf Cobalt Strike als Command-and-Control-Infrastruktur (C2) verlassen, obwohl in naher Zukunft eine stärkere Umstellung auf das Pentesting-Tool Brute Ratel C4 möglich sein könnte. Ein weiterer Trend, der in Abbildung 1 hervorgehoben wird, ist die anhaltende Bedrohung durch Ransomware. Angreifer entwickeln weiterhin neue Ransomware für bestimmte Ziele wie QNAP (im Fall von DeadBolt).
Abbildung 1: Malware taucht in den meisten Verweisen auf gemeldete Cyberangriffe auf, H1 2022 (Quelle: Recorded Future)
Der in Abbildung 2 zusammengefasste Datensatz zu Schwachstellen unterstreicht die anhaltende Dominanz von Microsoft-Schwachstellen bei der Ausnutzung durch Cyberkriminelle und APTs.
Figur 2: Schwachstellen, die in den meisten Verweisen auf gemeldete Cyberangriffe auftauchen, H1 2022. ProxyShell enthält drei verschiedene Schwachstellen (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207). (Quelle: Aufgezeichnete Zukunft)
Wiper, Infostealer und Ransomware im Fokus der Malware-Berichterstattung
Einer der größten Treiber der Diskussion über neue Schadsoftware und die Ausnutzung von Schwachstellen im ersten Halbjahr 2022 war die Invasion Russlands in der Ukraine und das anschließende Auftauchen von Cyber-Bedrohungskampagnen, die offenbar darauf abzielten, Russland bei der Störung ukrainischer Ziele oder der Zerstörung sensibler ukrainischer Daten zu unterstützen. Insbesondere die Offenlegung von neun verschiedenen Varianten der Wiper-Malware im Einklang mit früheren vom russischen Staat geförderten Aktivitäten veranschaulicht den umfassenden Kriegsansatz der russischen Regierung gegen ihr Nachbarland, der sowohl kinetische als auch Cyber-Angriffe umfasst. Dieser Trend scheint auch darauf hinzudeuten, dass einer feindlichen Regierung weniger Zeit und Ressourcen zur Verfügung stehen, um Schadsoftware gegen wichtige geopolitische Ziele zu entwickeln: Die neun gegen die Ukraine eingesetzten Wiper-Malware-Programme wurden mit der Zeit immer einfacher entwickelt , wobei die Entwicklung weniger Verschleierung und weniger Phasen zwischen den Varianten beinhaltete.
Eine Malware-Kategorie, die Darknet-Marktplätze wie den Russian Market regelmäßig mit kompromittierten Daten versorgt, sind Infostealer. Diese sind darauf ausgelegt, vertrauliche Daten auf den Rechnern der Opfer zu identifizieren und zu exfiltrieren. Nachdem die beliebte Infostealer-Malware Raccoon Stealer im März 2022 ihren Betrieb vorübergehend einstellte, wechselten viele Bedrohungsakteure von Raccoon Stealer zu anderen Infostealer-Marken wie Mars Stealer, MetaStealer, BlackGuard, RedLine und Vidar. Allerdings ist Raccoon Stealer 2.0 Ende der ersten Hälfte des Jahres 2022 wieder aufgetaucht und hat sich als genauso beliebt erwiesen wie bei unserer Analyse im Jahr 2019, als wir feststellten, dass seine „Popularität und Aktivität in Untergrundforen sprunghaft zunahm“.
Der vielleicht dramatischste Moment einer Malware-Operation im ersten Halbjahr 2022 ereignete sich, als die Betreiber der Conti-Ransomware die Regierung von Costa Rica angriffen, erklärten, sie seien „entschlossen, diese Regierung im Rahmen einer Reihe lähmender Angriffe zu stürzen“, und dann im Rahmen einer Auflösung die Infrastruktur ihrer Erpresser-Website abschalteten , was es einzelnen Mitgliedern ermöglichte, andere Ransomware-Banden zu unterstützen. Abgesehen von Contis Eskapaden ist die Störung wichtiger Regierungsdienste in Costa Rica eines von zahlreichen Beispielen im ersten Halbjahr 2022 dafür, wie Ransomware-Angreifer den Betrieb von Organisationen zum Erliegen bringen. Zu den produktivsten Betreibern zählen diejenigen, die hinter den Ransomware-Familien LockBit 3.0 und Hive stehen.
Die finanziell motivierte Cybercrime-Gruppe FIN7, die die Conti-Bande mit ihrem Draufgängertum widerspiegelt, wurde von Recorded Future als jemand identifiziert , der ein gefälschtes Cybersecurity-Unternehmen namens Bastion Secure gegründet hatte. Mit diesem versuchte sie, Post-Exploitation-Tools wie Carbanak zu verbreiten, als handele es sich dabei um Tools für das Informationstechnologie-(IT-)Management und die Sicherheitsüberwachung. Dies war ein Beispiel für die Entwicklung neuer Taktiken der Gruppe. Der aktualisierte Bericht von Mandiant zu den Aktivitäten von FIN7 wies darauf hin, dass die Gruppe in großem Umfang Junk-Strings verwendet, um ihre Schadsoftware zu verschleiern. Sein LOADOUT-Downloader, eine VBS-basierte Nutzlast, hat zur Verschleierung Junk-Code (wie beispielsweise die nicht gerade subtile Zeichenfolge „FUCKAV“) verwendet. Darüber hinaus stellte Mandiant fest, dass FIN7 öffentliche Code-Analyse-Repositorys nutzte, um zu testen, ob Versionen von LOADOUT von Antiviren-Engines erkannt wurden. Wenn dies der Fall war, fügte die Gruppe schnell noch mehr Junk-Code hinzu, um der Erkennung zuvorzukommen.
Im ersten Halbjahr 2022 berichteten mehrere Forscher über sich überschneidende Malware- und Schwachstellentrends und meldeten Cyberangriffskampagnen der Betreiber der DeadBolt-Ransomware, die gezielt auf Network Attached Storage (NAS)-Geräte von QNAP abzielten. Dabei wurde unter anderem die Linux-Schwachstelle „Dirty Pipe“ (CVE-2022-0847) ausgenutzt. Als Dirty Pipe erstmals bekannt wurde, ergab unsere Analyse dieser Linux-Sicherheitslücke zur lokalen Rechteausweitung (LPE), dass es mehrere Proof-of-Concept-Exploits (POC) dafür gab, die eine Ausnutzung durch zahlreiche Bedrohungsakteure leicht machten. Generell handelt es sich bei auf Linux abzielender Ransomware mittlerweile um einen jahrelangen Trend, der den Wunsch der Cyberkriminellen widerspiegelt, schnell große Mengen virtualisierter Speicher anzugreifen, die oft auf dem Linux-basierten Hypervisor VMWare ESXi basieren.
Log4Shell und Follina beenden ein halbes Jahr der Zero-Day-Exploits
Von 2021 bis 2022 war Log4Shell eines der am meisten diskutierten Themen im Zusammenhang mit der Cybersicherheit. Dabei handelte es sich um eine einfach auszunutzende Schwachstelle in der Log4J-Software von Apache, die aufgrund der weit verbreiteten Verwendung des Protokollierungsprogramms Hunderttausende von Organisationen offenlegte. Noch im Juni 2022 erreichten uns immer wieder Nachrichten über Cyberangreifer, die Log4Shell-Angriffe durchführen. Auch die Ausnutzung einer früheren Reihe von Sicherheitslücken namens ProxyShell, die Microsoft Exchange betreffen, war eine anhaltende Bedrohung durch mehrere Bedrohungsakteure. Wie wir in den vergangenen Jahren bei Untersuchungen zu Schwachstellen festgestellt haben, zielen Cyberkriminelle bevorzugt auf eine kleine Anzahl bekannter Schwachstellen ab, bei denen sie davon ausgehen können, dass diese in den Systemen der Opfer vorhanden sind.
In der folgenden Tabelle sind die Schwachstellen aufgeführt, die in der Recorded Future-Plattform die höchsten Risikobewertungen aufwiesen und im ersten Halbjahr 2022 offengelegt wurden. Bei allen diesen Schwachstellen wurde festgestellt, dass sie in freier Wildbahn ausgenutzt wurden, entweder basierend auf Open-Source-Berichten oder unserem internen Honeypot-Tracking. Aus Produktperspektive ist der bemerkenswerteste Aspekt dieser Liste, dass es mehr Sicherheitslücken bei Linux gibt als bei Microsoft.
Anmerkung des Herausgebers: Dieser Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Verwandt