Darktrace: 96% фишинговых атак в 2024 году использовали доверенные домены, включая Docs SharePoint & Zoom

Актеры угроз все чаще нацелены на доверенные бизнес -платформы, такие как Dropbox, SharePoint и QuickBooks, в своих фишинговых электронных кампаниях и использование законных доменов для обхода мер безопасности, опубликованный сегодня новый отчет. Внедряя адреса отправителя или ссылки на полезную нагрузку в законные домены, злоумышленники уклоняются от традиционных методов обнаружения и обманывают ничего не подозревающих пользователей.

Согласно ежегодному отчету Darktrace от 2024 года, авторы обнаружили более 30,4 миллиона фишинговых электронных писем, усилив фишингу в качестве предпочтительной техники атаки.

Законные корпоративные услуги угнали для большинства фишинговых кампаний в 2024 году

Darktrace отметил, что киберпреступники используют сторонние сервисы предприятия, в том числе Zoom Docs, HelloSign, Adobe и Microsoft SharePoint. В 2024 году 96% фишинговых электронных писем использовали существующие домены, а не регистрировали новые, что затрудняет их обнаружение.

Злоумышленники наблюдались с использованием перенаправлений через законные услуги, такие как Google, для доставки вредоносных полезных нагрузок. В случае атаки Dropbox электронная почта содержала ссылку, ведущую к PDF, ведущему с Dropbox, со встроенным злонамеренным URL.

См.: Как бизнес -электронная почта Компромиссные атаки эмулируют законные веб -сервисы, чтобы заманить клики

В качестве альтернативы, актеры угроз злоупотребляли ухищенными учетными записями по электронной почте, в том числе от Amazon Simple Email Service, принадлежности к деловым партнерам, поставщикам и другим доверенным третьим сторонам. Авторы доклада говорят, что «выделение (и), что идентичность по -прежнему остается дорогостоящей проблемой во всем имуществе и постоянным источником боли в предприятиях и деловых сетях».

Фишинговые атаки всплывают с помощью AI-сгенерированной тактики

Среди фишинговых электронных писем, которые нашел Darktrace:

2,7 миллиона содержали многоступенчатые вредоносные полезные нагрузки. Более 940 000 содержали злонамеренные QR -коды.

Сложность попыток фишинга продолжает расти, с фишингом копья-высокоцелевые атаки по электронной почте-составляют 38% случаев. Между тем, 32% используют новые методы социальной инженерии, такие как текст, сгенерированный AI, с лингвистической сложностью. Эта сложность может проявляться как увеличение объема текста, пунктуации или длины предложения.

Darktrace сопоставила информацию от более чем 10 000 глобальных клиентов для своего ежегодного отчета об угрозах 2024 года, используя самообучение искусственного интеллекта, обнаружение на основе аномалий и тщательный анализ от своей исследовательской группы по угрозам.

Жизненные методы: растущая угроза безопасности

Другой метод атаки включает в себя первоначальные нарушения сети посредством уязвимостей в устройствах Edge, периметра или интернета, за которыми следуют методы жизни или лот.

Darktrace обнаружил, что 40% идентифицированной активности кампании в начале 2024 года включало эксплуатацию устройств, ориентированных на Интернет, в том числе из Ivanti Connect Secure, Ivanti Policy Secure, Palo Alto Network и Fortinet. Злоумышленники предпочитают методы LOTL, потому что они устраняют необходимость в нестандартной вредоносной программе и снижают риск запуска традиционных предупреждений о безопасности.

В дополнение к использованию уязвимостей в этих устройствах с краями, субъекты угроз все чаще используют украденные учетные данные для входа в решения удаленного доступа к сети, такие как VPNS для первоначального доступа к сети, прежде чем использовать методы LOTL.

Группы вымогателей Используйте корпоративные инструменты для стелс -атак

Группы вымогателей, в том числе Akira, Ransomhub, Black Basta, Fog и Qilin, а также Lynx Emerging Actors, все чаще используют законное корпоративное программное обеспечение. Darktrace наблюдал эти группы, используя:

AnyDesk и Atera, чтобы маскировать командование и контроль. Данные эксфильтрация в услуги облачного хранения. Технология переноса файлов для быстрой эксплуатации и двойного вымогательства.

См.: Большинство атак вымогателей происходят, когда сотрудники службы безопасности спят, находки исследования

Эти группы также часто набираются на вымогательную программу, как услугу, или вредоносные программы, с использованием инструментов MAAS, увеличившись на 17% от первой до второй половины 2024 года. Использование троянов удаленного доступа, вредоносное ПО. что позволяет злоумышленнику удаленно управлять зараженным устройством, также увеличившись на 34% за тот же период.