Согласно новому отчету Mandiant, опубликованному в среду, злоумышленники процветают, используя дефекты программного обеспечения в устройствах безопасности.
В опубликованном в среду отчете Mandiant M-Trends говорится, что наиболее распространенным вектором первоначального заражения были эксплойты, на долю которых пришлось 1 из 3 атак в 2024 году, а четыре наиболее часто эксплуатируемые уязвимости содержались в периферийных устройствах, таких как VPN, межсетевые экраны и маршрутизаторы.
«Эксплуатация этих уязвимостей составила чуть менее половины всех наблюдаемых случаев эксплуатации уязвимостей», — сказала Кирсти Фейли, главный аналитик угроз в Google Threat Intelligence Group, под управлением которой работает бренд Mandiant.
Исследователи угроз и федеральные органы по кибербезопасности уже более года бьют тревогу по поводу атак на периферийные сетевые устройства. С 2024 года эксплойты, связанные с устройствами безопасности, привели к атакам на государственные учреждения и некоторые из самых дорогих публичных компаний мира.
Эти лёгкие устройства и сервисы предназначены для улучшения защиты и предотвращения вторжений. Однако, поскольку они, как правило, не поддерживают стороннее программное обеспечение, включая функции обнаружения и реагирования на конечные точки, организации часто оказываются застигнутыми врасплох, когда злоумышленники получают доступ к их сетям через высокопривилегированную систему.
«Три из четырёх уязвимостей были впервые использованы как уязвимости нулевого дня», — говорится в отчёте Mandiant. «Хотя в последнее время широкий спектр злоумышленников атаковал периферийные устройства, Mandiant также отметила рост числа атак со стороны российских и китайских кибершпионажей».
Уязвимость CVE-2024-3400 , связанная с внедрением команд в функцию GlobalProtect операционной системы PAN-OS компании Palo Alto Networks , была наиболее часто эксплуатируемой во всех операциях Mandiant по реагированию на инциденты в прошлом году. Mandiant сообщила, что одна группа злоумышленников использовала её в качестве уязвимости нулевого дня, но вскоре после этого вредоносная активность резко возросла.
Компания Mandiant зафиксировала более десятка групп злоумышленников, эксплуатирующих уязвимость в течение двух недель после того, как Palo Alto Networks раскрыла CVE и опубликовала прототип эксплойт-кода в апреле 2024 года. Среди них был филиал Ransomhub, который использовал уязвимость, получившую оценку 10 по шкале CVSS, для получения первоначального доступа к системам организаций и запуска многогранной кампании вымогательства.
Следующими по частоте эксплуатируемых уязвимостей в 2024 году, по данным Mandiant, являются две уязвимости — CVE-2023-46805 и CVE-2024-21887 , — затрагивающие устройства Ivanti Connect Secure VPN и Ivanti Policy Secure. Ivanti сообщила об этих уязвимостях в январе, через месяц после того, как UNC5221, предположительно спонсируемая государством китайская шпионская группировка, использовала их в реальных условиях, используя их как уязвимости нулевого дня.
В отчете Mandiant говорится, что злоумышленники добились неавторизованного выполнения произвольных команд в системах, объединив уязвимости в цепочку.
К середине января 2024 года компания Mandiant обнаружила, что группа UNC5135, предположительно связанная с Volt Typhoon, сканирует устройства Ivanti Connect Secure, но не зафиксировала успешной эксплуатации. Восемь отдельных кластеров, включая пять предполагаемых китайских шпионских групп, эксплуатировали одну или несколько уязвимостей Ivanti , включая третью уязвимость, обозначенную как CVE-2024-21893 к апрелю 2024 года.
Уязвимость SQL-инъекции в FortiClient Endpoint Management Server от Fortinet, CVE-2023-48788 , стала четвертой по частоте эксплуатируемой уязвимостью во всех операциях Mandiant по реагированию на инциденты в прошлом году.
Финансово мотивированная группа злоумышленников воспользовалась уязвимостью в течение двух недель после раскрытия информации Fortinet в марте 2024 года. В конце года, в октябре и ноябре, другая финансово мотивированная группа злоумышленников отслеживала, как FIN8 воспользовалась уязвимостью для развертывания программы-вымогателя и кражи данных.
«Mandiant зафиксировала десятки организаций, пострадавших от эксплуатации этих уязвимостей, и наши наблюдения, несомненно, составляют лишь малую часть от общего числа организаций, пострадавших от этой деятельности», — заявила Келли Вандерли, старший менеджер Google Threat Intelligence Group. «Эти кампании затронули организации как минимум из 13 отраслей, расположенные на четырёх континентах».
В прошлом году программы-вымогатели составили 21% от всех операций Mandiant по реагированию на инциденты. Эти атаки, связанные с программами-вымогателями, затронули организации здравоохранения, местного самоуправления, энергетики, технологий, образования и финансов в Северной и Южной Америке, Европе, на Ближнем Востоке, в Азиатско-Тихоокеанском регионе и Японии, говорится в отчёте исследователей.
Атаки методом подбора паролей, включая подбор паролей, взлом VPN с использованием учётных данных по умолчанию и массовые попытки входа в систему по протоколу удалённого рабочего стола, были наиболее распространёнными векторами первоначального доступа для атак программ-вымогателей в прошлом году. Mandiant связывает 26% атак программ-вымогателей с методами подбора паролей, 21% — с кражей учётных данных, ещё 21% — с эксплойтами, 15% — с предыдущей компрометацией и 10% — со взломом третьих лиц.
Компания Mandiant отметила, что потенциальные недостатки в корпоративном журналировании и обнаружении атак, вероятно, способствовали возникновению значительной «слепой зоны» в отношении первоначальных векторов доступа. Компания, занимающаяся реагированием на инциденты, не смогла определить первоначальный вектор доступа для 34% всех вторжений.
Компания Mandiant заявила, что ее ежегодный отчет M-Trends основан на 450 000 часах реагирования на инциденты, проведенных в течение 2024 года.
В опубликованном в среду отчете Mandiant M-Trends говорится, что наиболее распространенным вектором первоначального заражения были эксплойты, на долю которых пришлось 1 из 3 атак в 2024 году, а четыре наиболее часто эксплуатируемые уязвимости содержались в периферийных устройствах, таких как VPN, межсетевые экраны и маршрутизаторы.
«Эксплуатация этих уязвимостей составила чуть менее половины всех наблюдаемых случаев эксплуатации уязвимостей», — сказала Кирсти Фейли, главный аналитик угроз в Google Threat Intelligence Group, под управлением которой работает бренд Mandiant.
Исследователи угроз и федеральные органы по кибербезопасности уже более года бьют тревогу по поводу атак на периферийные сетевые устройства. С 2024 года эксплойты, связанные с устройствами безопасности, привели к атакам на государственные учреждения и некоторые из самых дорогих публичных компаний мира.
Эти лёгкие устройства и сервисы предназначены для улучшения защиты и предотвращения вторжений. Однако, поскольку они, как правило, не поддерживают стороннее программное обеспечение, включая функции обнаружения и реагирования на конечные точки, организации часто оказываются застигнутыми врасплох, когда злоумышленники получают доступ к их сетям через высокопривилегированную систему.
«Три из четырёх уязвимостей были впервые использованы как уязвимости нулевого дня», — говорится в отчёте Mandiant. «Хотя в последнее время широкий спектр злоумышленников атаковал периферийные устройства, Mandiant также отметила рост числа атак со стороны российских и китайских кибершпионажей».
Уязвимость CVE-2024-3400 , связанная с внедрением команд в функцию GlobalProtect операционной системы PAN-OS компании Palo Alto Networks , была наиболее часто эксплуатируемой во всех операциях Mandiant по реагированию на инциденты в прошлом году. Mandiant сообщила, что одна группа злоумышленников использовала её в качестве уязвимости нулевого дня, но вскоре после этого вредоносная активность резко возросла.
Компания Mandiant зафиксировала более десятка групп злоумышленников, эксплуатирующих уязвимость в течение двух недель после того, как Palo Alto Networks раскрыла CVE и опубликовала прототип эксплойт-кода в апреле 2024 года. Среди них был филиал Ransomhub, который использовал уязвимость, получившую оценку 10 по шкале CVSS, для получения первоначального доступа к системам организаций и запуска многогранной кампании вымогательства.
Следующими по частоте эксплуатируемых уязвимостей в 2024 году, по данным Mandiant, являются две уязвимости — CVE-2023-46805 и CVE-2024-21887 , — затрагивающие устройства Ivanti Connect Secure VPN и Ivanti Policy Secure. Ivanti сообщила об этих уязвимостях в январе, через месяц после того, как UNC5221, предположительно спонсируемая государством китайская шпионская группировка, использовала их в реальных условиях, используя их как уязвимости нулевого дня.
В отчете Mandiant говорится, что злоумышленники добились неавторизованного выполнения произвольных команд в системах, объединив уязвимости в цепочку.
К середине января 2024 года компания Mandiant обнаружила, что группа UNC5135, предположительно связанная с Volt Typhoon, сканирует устройства Ivanti Connect Secure, но не зафиксировала успешной эксплуатации. Восемь отдельных кластеров, включая пять предполагаемых китайских шпионских групп, эксплуатировали одну или несколько уязвимостей Ivanti , включая третью уязвимость, обозначенную как CVE-2024-21893 к апрелю 2024 года.
Уязвимость SQL-инъекции в FortiClient Endpoint Management Server от Fortinet, CVE-2023-48788 , стала четвертой по частоте эксплуатируемой уязвимостью во всех операциях Mandiant по реагированию на инциденты в прошлом году.
Финансово мотивированная группа злоумышленников воспользовалась уязвимостью в течение двух недель после раскрытия информации Fortinet в марте 2024 года. В конце года, в октябре и ноябре, другая финансово мотивированная группа злоумышленников отслеживала, как FIN8 воспользовалась уязвимостью для развертывания программы-вымогателя и кражи данных.
«Mandiant зафиксировала десятки организаций, пострадавших от эксплуатации этих уязвимостей, и наши наблюдения, несомненно, составляют лишь малую часть от общего числа организаций, пострадавших от этой деятельности», — заявила Келли Вандерли, старший менеджер Google Threat Intelligence Group. «Эти кампании затронули организации как минимум из 13 отраслей, расположенные на четырёх континентах».
В прошлом году программы-вымогатели составили 21% от всех операций Mandiant по реагированию на инциденты. Эти атаки, связанные с программами-вымогателями, затронули организации здравоохранения, местного самоуправления, энергетики, технологий, образования и финансов в Северной и Южной Америке, Европе, на Ближнем Востоке, в Азиатско-Тихоокеанском регионе и Японии, говорится в отчёте исследователей.
Атаки методом подбора паролей, включая подбор паролей, взлом VPN с использованием учётных данных по умолчанию и массовые попытки входа в систему по протоколу удалённого рабочего стола, были наиболее распространёнными векторами первоначального доступа для атак программ-вымогателей в прошлом году. Mandiant связывает 26% атак программ-вымогателей с методами подбора паролей, 21% — с кражей учётных данных, ещё 21% — с эксплойтами, 15% — с предыдущей компрометацией и 10% — со взломом третьих лиц.
Компания Mandiant отметила, что потенциальные недостатки в корпоративном журналировании и обнаружении атак, вероятно, способствовали возникновению значительной «слепой зоны» в отношении первоначальных векторов доступа. Компания, занимающаяся реагированием на инциденты, не смогла определить первоначальный вектор доступа для 34% всех вторжений.
Компания Mandiant заявила, что ее ежегодный отчет M-Trends основан на 450 000 часах реагирования на инциденты, проведенных в течение 2024 года.
