Что делает великое искусство, будь то литература, живопись, кино или фотография, настолько сложным и ценным, что оно кажется недоступным нашему пониманию? В любом подобном искусстве есть нечто большее, чем кажется на первый взгляд. Нам неизвестно, скрывали ли эти художники какие-то послания для поколений в своем искусстве.
Поскольку мир перешел в цифровую эпоху, мы начали использовать эту технику для передачи большого количества информации в одном изображении. Рассмотрим QR-код, маленький квадрат, который содержит множество данных. Как часто вы сканируете QR-код, который прилагается к вашей любимой закуске или бутылке с водой?
В цифровую эпоху изображения по-прежнему являются одним из наиболее часто используемых методов сокрытия данных. Менее подозрительно скрывать данные внутри цифровых изображений, которыми обычно обмениваются пользователи Интернета. Как две стороны медали, у нас также есть другая сторона этой стратегии, которую хакеры освоили. Хакеры недавно всплыли с этой вековой техникой, но переделали ее в соответствии с этим поколением, скрыв код в изображении.
Кто эти хакеры?
Было обнаружено, что Witchetty, банда кибершпионажа и подгруппа связанной с Китаем группы TA410 (она же APT10), использует новые инструменты для нападений на ближневосточные предприятия. Witchetty (он же Lookingfrog) был впервые задокументирован ESET в апреле 2022 года.
Бэкдор, известный как X4, ранее использовался Witchetty вместе с вредоносным ПО второй стадии под названием LookBack.
Новые инструменты группы включают в себя троянский бэкдор (Backdoor.Stegmap), который использует стеганографию, редко встречающийся метод, при котором вредоносный код скрывается внутри изображения.
Первоначальный доступ для участников угрозы был получен путем использования уязвимостей Microsoft Exchange ProxyShell и ProxyLogon (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 и CVE-2021-27065). Это было сделано для установки веб-оболочек на общедоступных серверах, а затем извлечения вредоносного файла.
Как вы можете избежать таких атак с помощью решения для управления конечными точками и обеспечения безопасности?
1) Обучайте своих сотрудников. Хотя каждый год проводится множество этапов обучения, всегда есть один сотрудник, который нажимает на фишинговые электронные письма, которые ставят под угрозу всю организацию.
2) Убедитесь, что ваш endpoint management блокирует загрузку вложений электронной почты с помощью функции, которая блокирует исполняемые файлы.
3) Решение для управления конечными точками должно иметь встроенную функцию обнаружения и реагирования на конечные точки, чтобы блокировать запись файлов на диск.
4) Убедитесь, что вы в курсе ваших исправлений. Хакеры в основном полагаются на прошлогодние уязвимости для взлома целевой сети, пользуясь плохим администрированием общедоступных, не исправленных серверов.
Распространенная поговорка гласит: “Слишком много поваров портят бульон”. Со многими агентами, приложениями, решениями и процессами безопасности мы думаем, что мы в безопасности. Но мы не можем понять, будут ли все эти разные повара работать вместе или испортят блюдо. Бесшовная интеграция между агентами различных решений является обязательным условием для создания рабочей среды без помех. Так зачем полагаться на “слишком много” решений, когда одно может сделать всю работу за вас?
Endpoint Central — это комплексное решение с собственной командой разработчиков, работающей над созданием безопасного и надежного решения для управления предприятиями и предприятиями. Подпишитесь на бесплатную пробную версию и попробуйте Endpoint Central прямо сейчас!