Palo Alto Networks: хакеры используют вредоносное ПО для поиска уязвимостей программного обеспечения

Palo Alto Networks: хакеры используют вредоносное ПО для поиска уязвимостей программного обеспечения

Изображение: palo-alto-networks

Многие хакеры используют вредоносное программное обеспечение, чтобы сканировать уязвимости, которые они могут использовать в будущих хакерских атаках. Аналитики из команды Unit 42, подразделения анализа угроз поставщика кибербезопасности Palo Alto Networks, обнаружили значительное количество сканирований, инициированных вредоносным ПО, среди сканирующих атак, которые были выявлены в 2023 году.

Сканирование уязвимостей — это широко распространённый шаг разведки для злоумышленников, желающих совершить кибератаки. Подобно сканированию портов и снятию отпечатков пальцев операционной системы, сканирование уязвимостей включает в себя инициацию сетевых запросов в попытке использовать потенциальные уязвимости целевых хостов. Традиционные подходы к сканированию уязвимостей инициируются с безопасного целевого хоста (ОС, маршрутизатора).

В частности, среди злоумышленников чрезвычайно популярны маршрутизаторы. В недавних инцидентах российские хакеры пытались взломать Ubiquiti EdgeRouters, а китайский ботнет для небольших домашних офисов (SOHO) атаковал маршрутизаторы Cisco и NetGear.

Однако исследователи Unit 42 заметили, что в 2023 году всё большее число злоумышленников проводили сканирование уязвимостей с ранее скомпрометированного хоста. Этот тип сканирования уязвимостей на основе вредоносного ПО позволяет действовать более скрытно и эффективно:

Используя скомпрометированный хост, злоумышленники могут:

  • легче скрыть следы проникновения;
  • обойти геолокационные ограничения;
  • расширить бот-сети (ботнеты), которые они используют;
  • использовать ресурсы этих взломанных устройств для создания большего объема запросов на сканирование по сравнению с тем, чего они могли бы достичь, используя только свои собственные устройства.

Телеметрия Unit 42 показала, что многие группы действий по сканированию уязвимостей были нацелены на уязвимости в таких стандартных продуктах, как решения Ivanti Connect Secure и Policy Secure, а также MOVEit Transfer компании Progress.

С полной версией отчета можно ознакомиться по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: