קספרסקי: התקפות הממנפות כלי פריצה ל- Microsoft Office צמחו פי 4

Google+ Pinterest LinkedIn Tumblr +

כלי פריצה (Exploits) ל-Microsoft Office זינקו ברבעון הראשון של 2018 לרשימת כאבי הראש הגדולים של הסייבר. סך המשתמשים שהותקפו על ידי מסמכי אופיס זדוניים גדל כמעט פי 4 בהשוואה לרבעון הראשון של 2017. בשלושה חודשים בלבד, נתח הפעילות של כלי פריצה אלה מבין כלל כלי הפריצה גדל בכמעט 50%. מדובר בנתח שוק גדול כמעט פי 2 בהשוואה ל-2017. אלה הם הממצאים המרכזיים בדוח איומי ה-IT של מעבדת קספרסקי לרבעון הראשון.

כלי פריצה הם סוג של תוכנות המנצלות באגים או פרצות בתוכנות. התקפות המבוססות על כלי פריצה נחשבות לעוצמתיות מאוד, מאחר והן אינן דורשות אינטראקציה עם המשתמש ומסוגלות להחדיר את הקוד המסוכן שלהם באופן חשאי. זו הסיבה שהן נמצאות בשימוש נרחב  גם על ידי עברייני סייבר המחפשים לייצר רווחים וגם על ידי שחקנים הפועלים בגיבוי מדינה.

ברבעון הראשון של 2018 צפינו בכניסה מאסיבית של כלי פריצה אלה הממוקדים בתוכנת Microsoft Office הנפוצה. על פי מומחי מעבדת קספרסקי, נראה שמדובר בשיא של מגמה מתמשכת – במהלך 2017-2018 זוהו לפחות 10 כלי פריצה הפעילים בשטח – בהשוואה לשני כלי פריצה יום אפס שהיו פעילים עבור הנגן של Adobe Flash. נתח פעילות כלי הפריצה של אדובי נמצא בירידה (מעט פחות מ- 3% ברבעון הראשון) – אחרי שאדובי ומיקרוסופט השקיעו מאמצים רבים כדי להקשות על ניצול נגן הפלאש.

לאחר שעברייני סייבר מגלים פירצה בתוכנה, הם בונים כלי פריצה מוכן להפעלה. לאחר מכן הם משתמשים בדרך כלל בפישינג ממוקד כערוץ התקיפה, ופוגעים במשתמשים וחברות דרך הודעות דואר אלקטרוני עם קבצים זדוניים מצורפים. העובדה שערוצי תקיפה דרך פישינג ממוקד הם בדרך כלל חשאים הופכים אותם למבוקשים מאוד במסגרת התקפות מתוחכמות – היו הרבה דוגמאות לכך בששת החודשים האחרונים.

לדוגמא, בסתיו 2017, מערכת ההגנה מפני כלי פריצה של מעבדת קספרסקי זיהתה כלי פריצה יום אפס חדש עבור אדובי פלאש אשר תקף את לקוחותיה. הפירצה נוצלה באמצעות מסמך של Microsoft Office והמטען הסופי היה הגרסה האחרונה של הקוד הזדוני FinSpy. ניתוח של המטען אפשר לחוקרים לקשר, ברמת ביטחון גבוהה, את ההתקפה לגורם האיום המתוחכם המוכר כ"BlackOasis". באותו החודש, מומחי מעבדת קספרסקי פרסמו ניתוח מפורט של СVE-2017-11826, פירצת יום אפס קריטית שנוצלה במסגרת התקפות ממוקדות על כל הגרסאות של אופיס. כלי הפריצה התבסס על מסמך RTF, שהמכיל מסמך DOCX המנצל את הפירצה ב- Office Open XML parser. לבסוף, רק לפני מספר ימים, פורסם מידע אודות פירצת יום אפס CVE-2018-8174  באינטרנט אקספלורר. פירצה זו כבר נמצאת בשימוש בהתקפות ממוקדות.

"אופק האיומים לרבעון הראשון של השנה מראה כי חוסר בתשומת לב לעדכוני תוכנה מהווה את אחד מסיכוני הסייבר הגדולים ביותר. בעוד הספקים מנפיקים בדרך כלל עדכונים עבור פרצות, המשתמשים בדרך כלל לא יכולים לעדכן את המוצרים שלהם בזמן, דבר המוביל לגלים של התקפות חשאיות ויעילות מאוד  ברגע שהפירצה נחשפה בקרב קהילת עברייני הסייבר הרחבה", אמר אלכסנדר ליסקין, חוקר אבטחה במעבדת קספרסקי.

שתף.

.