Microsoft’un en popüler Office uygulamalarında Visual Basic for Applications (VBA) ve Excel 4.0 (XL4) makrolarını varsayılan olarak engelleyerek kötü niyetli aktörlerin kullanıcıları kötü amaçlı yazılım ve fidye yazılımı yürütmeleri için kandırmasını engelleme girişimi, siber suç ortamı üzerinde derin bir etkiye sahip oldu. , Proofpoint’ten alınan verilere göre.
Microsoft, ilk olarak Şubat 2022’de VBA makrolarını engellemeye başlama planlarını duyurdu ve politika Nisan sonunda yürürlüğe girecek. Microsoft Office paketi, makroları yıllarca desteklemişti, ancak o noktaya kadar – kullanıcıları makroları etkinleştirmenin riskleri konusunda uyarsa da – bunu bir düğmeyi tıklatarak yapabilirlerdi. Bu, siber suçluların bozuk Office dosyaları aracılığıyla kötü amaçlı yükler iletmek için makroları kullanabileceklerini çok iyi bildikleri bir duruma yol açtı.
Politikaya göre, kullanıcılar bir fare tıklamasıyla makroları etkinleştiremezler, bunun yerine makroların engellendiğini ve daha fazla bilgi edinme seçenekleriyle birlikte bir mesaj çubuğu görürler. İsterlerse yine de makroları etkinleştirebilirler, ancak bunu yapmak artık daha fazla katmanı tıklamalarını gerektirerek ikna edici bir kimlik avı e-postasına yanlışlıkla tıklama olasılığını azaltır.
Proofpoint, daha fazla sürtüşme eklemenin basit yöntemiyle, küçük çaplı oyunculardan deneyimli siber suç fidye yazılımı çetelerine kadar geniş bir yelpazedeki tehdit aktörlerinin “iş” yürütme şekillerinde büyük değişiklikler yapmak zorunda kaldıklarını söyledi.
Verilerine göre, 2022’de her iki türden makro kullanan kampanyaların toplam sayısı 2022 boyunca üçte iki oranında azaldı ve 2023’ün yaklaşık altı ayında makrolar gözlemlenen kampanyaların hiçbirinde neredeyse hiç yer almadı.
Ancak bunun bir sonucu olarak, Proofpoint araştırmacıları Selena Larson ve Joe Wise’a göre siber suç ekosistemi, etkinlik ve davranışlarda daha önce hiç görülmemiş şekillerde “muazzam bir değişim” yaşadı.
Larson ve Wise, yeni yayınlanan bir teknik incelemede, “E-posta yoluyla ilk erişim elde eden finansal olarak motive olmuş tehdit aktörleri artık statik, öngörülebilir saldırı zincirleri değil, dinamik, hızla değişen teknikler kullanıyor” diye yazdı. “Proofpoint’in … telemetrisine dayanarak günde milyarlarca mesajı analiz ediyor, [we] eski dosya türlerini, beklenmedik saldırı zincirlerini ve fidye yazılımı da dahil olmak üzere kötü amaçlı yazılım bulaşmasına neden olan çeşitli teknikleri kullanarak kötü amaçlı yazılım yükü tesliminde yaygın tehdit aktörü deneyleri gözlemledik.”
Larson ve Wise’a göre, tehdit aktörleri, ilk erişimi elde etmek için e-posta kullanmanın en etkili yöntemini bulmaya çalışmak için hala çeşitli davranışları test ediyor ve henüz makrolara güvenilir, tutarlı bir alternatif ortaya çıkmadı.
Fidye yazılımı çeteleri de dahil olmak üzere daha sofistike aktörlerin yeni kötü amaçlı yazılım dağıtım taktikleri, teknikleri ve prosedürleri (TTP’ler) geliştirdiği, yinelediği ve test ettiği gözlemlenirken, siber suç topluluğunun başka yerlerinde bir “lideri takip etme” oyunu görünüyor. zamanla yeraltında viral bir şekilde yayılan yeni tekniklerle ortaya çıkıyor.
HTML kaçakçılığı ve kirli PDF’ler
Son 12 ayda kullanımında çarpıcı bir artış görülen en popüler tekniklerden biri, HTML kaçakçılığıdır. kötü amaçlı yazılım yükünü bir araya getirmek için kullanılır.
HTML kaçakçılığı kullanımı Haziran ve Ekim 2022 arasında keskin bir artış gösterdi ve ardından düşüşe geçti ve Şubat 2023’ten bu yana yeniden yükseldi. Geçen sonbahar ve yine Mart 2023’ten bu yana, Proofpoint tarafından TA577 olarak izlenen bir tehdit aktörü tarafından yoğun bir şekilde kullanılıyor. TA577, çok sayıda sektör ve coğrafyada geniş hedefleme yürüten, özellikle üretken, Rusça konuşan bir gruptur. Daha önce, muhtemelen kötü amaçlı makrolar aracılığıyla yaydığı Sodinokibi – namı diğer REvil – fidye yazılımının kullanımıyla ilişkilendirilmişti. Muhtemelen şimdi Black Basta saldırılarıyla bağlantı kurmaya başladı.
Diğerlerinin, tipik bir saldırı senaryosunda bulaşma zincirini başlatmak için tıklanması gereken bir URL içerecek olan PDF dosyalarının kullanımına geri döndüğü gözlemlendi. İlk erişim aracıları (IAB’ler) olarak çalışan birden çok grup, Aralık 2022’de bu tekniğin kullanımlarını artırmaya başladı ve o zamandan beri yaygınlığı artıyor.
PDF dosyalarını kullanmaya başlayan en büyük siber suç aktörlerinden biri, ProLock ve Egregor fidye yazılımlarıyla bağlantılı Qbot, diğer adıyla Qakbot truva atı kötü amaçlı yazılımının aktif bir üyesi olan TA570’dir. Son zamanlarda, Qbot’a giden bir kısayol içeren, sıkıştırılmış, parola korumalı bir IMG dosyasına yönlendiren PDF eklerinin gönderildiği gözlemlenmiştir. Nisan 2023’te, muhtemelen güvenlik ekiplerinin ve araştırmacıların etkinliğini belirlemesini zorlaştırmak amacıyla PDF şifrelemeyle deneyler yapıldığı gözlemlendi.
Larson ve Wise, “İzlenen tehdit aktörleri, özellikle IAB’ler tarafından yeni yük taşıma teknikleriyle ilgili deneyler ve bunlara düzenli olarak geçiş, 2022’den önce gözlemlenen saldırı zincirlerinden çok farklı ve yeni bir tehdit faaliyeti normalinin habercisi” diye yazdı. “Artık en deneyimli siber suç aktörleri bir veya birkaç tekniğe güvenmiyor, bunun yerine sık sık yeni TTP’ler geliştiriyor ve yineliyorlar. Birçok tehdit aktörünün hızlı değişim hızı, yeni teknikleri hızla geliştirmek ve uygulamak için zamana, yeteneğe ve tehdit ortamını anlamaya sahip olduklarını gösteriyor.”
TTP evriminin mevcut hızlı temposu, artık ortaya çıkan eğilimleri çok daha hızlı bir şekilde belirleme ve bunlara karşı korunmak için yeni savunmalar oluşturma olasılığıyla karşı karşıya olan güvenlik ekipleri, analistler ve araştırmacılar ile siber güvenlik geliştiricileri üzerinde de bir etkiye sahip.
Larson ve Wise, bu eğilimin öngörülebilir gelecekte devam edeceğine inanıyor ve tutarlı kalan tek bir saldırı zincirinin veya bir dizi tekniğin ortaya çıkmasının veya bir zamanlar makro sömürü ile aynı kalıcı güce sahip olmasının olası olmadığını değerlendirdi.