Hakerzy stosują co raz bardziej zaawansowane metody w unikaniu technologii AI/ML
Zespół Deep Instinct Threat Research zbadał dogłębnie liczbę i typy ataków, a następnie przedstawił wyniki, które pozwolą przewidywać i zaplanować właściwe scenariusze cyberbezpieczeństwa. Kluczowe wnioski z tego raportu obejmują wzorce zagrożeń z 2021 r., które wskazują, że hakerzy stają się coraz bardziej wyrafinowani w unikaniu technologii AI/ML, co przekłada się na konieczność podwojenia nakładów w walce z cyberzagrożeniami, w których kampaniach zastosowanie ma również sztuczna inteligencja i nauczania maszynowe (AI/ML).Z raportu wynika, że poszczególne wektory ataków znacznie wzrosły, w tym o 170% wzrost użycia Office droppers i o 125% wzrost wszystkich rodzajów zagrożeń. Liczba wariantów złośliwego oprogramowania jest znacznie wyższa w porównaniu z przypadkami sprzed pandemii. Poza tym hakerzy przekwalifikowali się w kierunku nowszych języków, takich jak Python i Go, uciekając od C i C++. Nowe języki programowania oferują łatwą naukę w porównaniu z ich wcześniejszymi wersjami. Języki programowania nie są obecnie, tak powszechnie stosowane, stąd mniejsze szanse na wykrycie przez narzędzia cyberbezpieczeństwa lub zidentyfikowanie przez ekspertów ds. cyberbezpieczeństwa.
Ataki na łańcuch dostaw. Duże organizacje o szerokim spektrum współpracy z różnymi podmiotami, działającymi w różnych branżach przemysłu, bardzo często stają się łatwym celem ataków na łańcuch dostaw, czego wzrost odnotowano w 2021 r. W tym przypadku hakerzy chcą uzyskać dostęp do środowiska, a także atakują klientów używając proxy.
Powszechna współpraca organów ścigania w sektorze publicznym i prywatnym – W ubiegłym roku zaobserwowano znaczny wzrost współpracy pomiędzy organami ścigania na arenie międzynarodowej, której celem było zidentyfikowanie i złapanie grup cyberprzestępczych.
Luki Zero-day- W ciągu jednego dnia od ujawnienia luki wykorzystano i nadużyto główne luki w zabezpieczeniach systemów. Dobrze znanym przykładem jest chociażby grupa HAFNIUM, która zaatakowała serwery MS Exchange z podatnością 0-day. HAFNIUM jest nakierowany przede wszystkim na podmioty działające w Stanach Zjednoczonych, z wielu sektorów przemysłu, w tym naukowców zajmujących się chorobami zakaźnymi, kancelarie prawne, instytucje szkolnictwa wyższego, firmy obronności narodowej, think tanków politycznych i organizacji pozarządowych. HAFNIUM wykorzystywał luki w serwerach z dostępem do Internetu, a do dowodzenia i kontroli używał legalnych frameworków o otwartym kodzie źródłowym, takich jak Covenant . Po uzyskaniu dostępu do sieci ofiar, HAFNIUM zazwyczaj eksfiltrował dane do witryn udostępniających pliki, takich jak MEGA. W kampaniach niezwiązanych z lukami Exchange Servers, Microsoft zaobserwował interakcję HAFNIUM z atakiem na Office 365. Chociaż często nie udaje im się naruszyć kont klientów, ta aktywność rozpoznawcza pomaga im zidentyfikować więcej szczegółów na temat środowisk docelowych. HAFNIUM działa głównie z dzierżawionych wirtualnych serwerów prywatnych (VPS) w Stanach Zjednoczonych.
Firma Microsoft wykryła wiele exploitów 0-day używanych do atakowania lokalnych instancji systemu Microsoft Exchange Server w ograniczonych i ukierunkowanych atakach. W zaobserwowanych atakach cyberprzestępcy wykorzystywali luki w zabezpieczeniach, aby uzyskać dostęp do lokalnych serwerów Exchange, które umożliwiły następnie dostęp do kont e-mail i pozwoliły na instalację dodatkowego złośliwego oprogramowania w celu ułatwienia długoterminowego dostępu do środowisk zaatakowanych. Microsoft Threat Intelligence Center (MSTIC) przypisuje tę kampanię HAFNIUM , grupie ocenianej jako sponsorowana przez państwo i działająca poza Chinami, wnioski wyciągnięte na podstawie zaobserwowanej wiktymologii, taktyk i procedur.
Wykorzystywane luki to CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065. Wszystkie zostały usunięte w wydaniu Microsoft Security Response Center (MSRC). Centrum zasobów, jest stale aktualizowane i jest dostępne pod adresem https://aka.ms/ExchangeVulns.
Niestety Hakerzy świetnie rozwinęli się w zakresie unikania identyfikacji i eskalacji uprawnień. Gangi cyberprzestępcze zaczęły inwestować w techniki cyberataków przeciwko sztucznej inteligencji i wykorzystywać te metody w swoich kampaniach