Негизги алып салуулар
- Microsoft'тун макросторду бөгөттөө чечими коркунучтуу актерлорду кесепеттүү программаны жайылтуу үчүн бул популярдуу каражаттан ажыратат.
- Бирок, изилдөөчүлөр киберкылмышкерлер акыркы кесепеттүү программалык кампанияларда макросторду колдонуу ыкмаларын эчак эле өзгөртүп, кыйла кыскарганын белгилешет.
- Макросторду бөгөттөө - бул туура багыттагы кадам, бирок акырында адамдар инфекцияны жуктурбоо үчүн сергек болушу керек, - дейт адистер.
Microsoft Microsoft Office'те макросторду демейки боюнча бөгөт коюуну чечкени менен, коркунучтун катышуучулары бул чектөөнү тез аранын ичинде чечип, жаңы чабуул векторлорун иштеп чыгышты.
Коопсуздук камсыздоочу Proofpoint жаңы изилдөөсүнө ылайык, макростор зыяндуу программаларды таратуунун сүйүктүү каражаты болбой калды. Жалпы макросторду колдонуу 2021-жылдын октябрынан 2022-жылдын июнь айына чейин болжол менен 66% га кыскарган. Башка жагынан алганда, ISO файлдарын (диск сүрөтү) колдонуу 150% га өстү, ал эми LNK (Windows File Shortcut) Ошол эле убакыт аралыгында файлдар таң калыштуу 1,675% көбөйдү. Бул файл түрлөрү Microsoftтун макро бөгөттөөчү коргоолорун кыйгап өтө алат.
"Электрондук почтадагы макро-негизделген тиркемелерди түздөн-түз таратуудан баш тарткан коркунуч актерлору коркунучтун ландшафтындагы олуттуу өзгөрүүнү билдирет", - деди Шеррод ДеГриппо, Proofpointтин коркунучтарды изилдөө жана аныктоо боюнча вице-президенти, пресс-релизинде. "Коркунучтуу актерлор азыр кесепеттүү программаларды жеткирүү үчүн жаңы тактикаларды кабыл алууда жана ISO, LNK жана RAR сыяктуу файлдарды колдонуунун көбөйүшү улана бермекчи."
Заман менен жылышуу
Lifewire менен болгон электрондук кат алмашууда, Cyphere киберкоопсуздук кызматын камсыздоочусунун директору Харман Сингх макросторду Microsoft Office'те тапшырмаларды автоматташтыруу үчүн колдонула турган кичинекей программалар катары сыпаттады, XL4 жана VBA макростору эң көп колдонулган макростор болуп саналат. Office колдонуучулары.
Киберкылмыш көз карашынан алганда, Сингх коркунуч актерлору макросторду кээ бир жаман чабуул кампаниялары үчүн колдоно аларын айтты. Мисалы, макростор жабырлануучунун компьютеринде зыяндуу код саптарын ишке киргизиши мүмкүн. Коркунучтун катышуучулары бул мүмкүнчүлүктөн кыянаттык менен пайдаланып, бузулган компьютерден маалыматтарды эксфильтрациялай алышат же зыяндуу программанын серверлеринен кошумча зыяндуу мазмунду тартып алышы мүмкүн.
Бирок, Сингх кошумчалагандай, Office компьютердик системаларды жуктуруунун жалгыз жолу эмес, бирок "бул эң популярдуу [максаттардын] бири, анткени Интернетте дээрлик бардык адамдар Office документтерин колдонгон."
Коркунучтун алдын алуу үчүн Microsoft интернет сыяктуу ишенимсиз жерлерден келген кээ бир документтерди триггерлердин коопсуздук функцияларын белгилеген код саптары болгон Веб белгиси (MOTW) атрибуту менен белгилей баштады.
Изилдөөлөрүндө Proofpoint макростордун колдонулушунун кыскарышы Microsoftтун MOTW атрибутун файлдарга белгилөө чечимине түз жооп деп ырастайт.
Сингх таң калбайт. Ал ISO жана RAR файлдары сыяктуу кысылган архивдер Office'ке таянбай турганын жана зыяндуу кодду өз алдынча иштете аларын түшүндүрдү. "Тактиканы өзгөртүү киберкылмышкерлердин [адамдарды жуктуруп алуу] ыктымалдыгы эң жогору болгон чабуулдун эң мыкты ыкмасына аракет кылышын камсыз кылуу стратегиясынын бир бөлүгү экени анык."
Камтыган зыяндуу программа
ISO жана RAR файлдары сыяктуу кысылган файлдарга кесепеттүү программаны кыстаруу, ошондой эле файлдардын түзүмүн же форматын талдоого багытталган аныктоо ыкмаларынан качууга жардам берет, деп түшүндүрдү Сингх. "Мисалы, ISO жана RAR файлдарынын көптөгөн аныктоолору файл кол тамгаларына негизделген, аларды ISO же RAR файлын башка кысуу ыкмасы менен кысуу аркылуу оңой алып салууга болот."
Proofpoint ылайык, алардын алдында зыяндуу макростор сыяктуу эле, бул кесепеттүү программа жүктөлгөн архивдерди жеткирүүнүн эң популярдуу жолу - бул электрондук почта.
Proofpoint'тин изилдөөсү ар кандай белгилүү коркунуч актерлорунун аракеттерине көз салууга негизделген. Анда Bumblebee жана Emotet кесепеттүү программаларын тараткан топтор, ошондой эле бир нече башка киберкылмышкерлер колдонгон жаңы баштапкы кирүү механизмдерин зыяндуу программалардын бардык түрлөрү үчүн колдонгону байкалды.
"ISO файлдарын колдонгон 15 байкоо салынган коркунучтун жарымынан көбү [2021-жылдын октябрынан 2022-жылдын июнуна чейин] аларды 2022-жылдын январынан кийин кампанияларда колдоно башташты ", - деп баса белгиледи Proofpoint.
Коркунуч актерлорунун тактикасындагы бул өзгөрүүлөрдөн коргонууну бекемдөө үчүн Сингх адамдарга керексиз электрондук каттардан этият болууну сунуштайт. Ал ошондой эле бул файлдардын коопсуз экенине шектенбесе, шилтемелерди чыкылдатып, тиркемелерди ачууну эскертет.
"Тиркеме бар билдирүүнү күтпөйүнчө, эч кандай булактарга ишенбегиле", - деп кайталады Сингх. "Ишен, бирок, мисалы, [тиркемени ачардан] мурун байланышка чалып, бул чын эле досуңуздан келген маанилүү электрондук почтабы же алардын бузулган аккаунттарынан зыяндуу катпы экенин текшериңиз."
