Netskope Threat Labs veröffentlicht vierteljährlich einen zusammenfassenden Blogbeitrag zu den größten Bedrohungen, die wir auf der Netskope-Plattform verfolgen. Ziel dieses Beitrags ist es, strategische, umsetzbare Informationen zu aktiven Bedrohungen für Unternehmensbenutzer weltweit bereitzustellen.

Zusammenfassung

• OneDrive und SharePoint standen ganz oben auf der Liste der am häufigsten für Malware-Downloads verwendeten Cloud-Apps. Den dritten Platz belegt GitHub, da es häufig zum Herunterladen von Post-Exploitation-Tools verwendet wird.
• Zu den im letzten Quartal am stärksten aktiven Malware-Familien gehörten der Infostealer AgentTesla und der Trojaner ZLoader.

Bereitstellung von Cloud-Malware

Angreifer versuchen, unbemerkt zu bleiben, indem sie schädliche Inhalte über beliebte Cloud-Apps verbreiten. Durch den Missbrauch von Cloud-Apps zur Verbreitung von Malware können Angreifer Sicherheitskontrollen umgehen, die in erster Linie auf Domänensperrlisten und URL-Filterung basieren oder den Cloud-Verkehr nicht prüfen.

Angreifer erzielen den größten Erfolg bei der Erreichung von Unternehmensbenutzern, wenn sie Cloud-Anwendungen missbrauchen, die im Unternehmen bereits beliebt sind. Microsoft OneDrive, die beliebteste Cloud-App für Unternehmen, hält seit mehr als sechs Monaten erneut den Spitzenplatz bei den meisten Cloud-Malware-Downloads. 

Die Top-3-Apps sind im Vergleich zu den im letzten Quartal verwendeten Apps weitgehend unverändert geblieben. Beim Vergleich der App-Nutzung dieses Quartals mit unserem letzten Bericht stellten wir einen leichten Anstieg der SharePoint- und GitHub-Nutzung fest. Insbesondere bei GitHub hat das Team von Threat Labs beobachtet, dass es zum Herunterladen von Post-Exploitation-Tools wie Mimikatz und Sharphound verwendet wird. Diese Tools sind ein guter Indikator dafür, dass sich möglicherweise bereits ein Bedrohungsakteur in der Umgebung befindet und im Netzwerk Maßnahmen ergriffen werden müssen.

Die folgende Top-10-Liste spiegelt die Taktiken der Angreifer, das Benutzerverhalten und die Unternehmensrichtlinien wider.

Die wichtigsten Malware-Familien

Die folgende Liste enthält die wichtigsten Malware-Familien, die von Netskope zwischen dem 1. April und dem 1. Juli blockiert wurden:

• Downloader.Guloader ist ein kleiner Downloader, der für die Bereitstellung von Remote-Access-Trojanern und Infostealern wie AgentTesla, Formbook und Remcos bekannt ist.
• Infostealer.AgentTesla ist ein .NET-basierter Remote-Access-Trojaner mit zahlreichen Funktionen, z. B. dem Stehlen von Browser-Passwörtern, dem Aufzeichnen von Tastatureingaben, der Zwischenablage usw.
• RAT.AsyncRAT ist ein 2019 auf GitHub veröffentlichtes Open-Source-Tool zur Fernverwaltung, das für die Fernsteuerung von Computern über eine verschlüsselte Verbindung konzipiert ist.
• Trojan.ZLoader (auch bekannt als DELoader) ist ein modularer Trojaner, der auf dem durchgesickerten ZeuS-Quellcode basiert. Die Malware kann Aufgaben wie das Aufnehmen von Screenshots, den Diebstahl von Bankdaten, die Bereitstellung von VNC-Zugriff und mehr ausführen.
• Trojan.Grandoreiro ist ein lateinamerikanischer Banking-Trojaner mit dem Ziel, vertrauliche Bankdaten zu stehlen. Normalerweise zielen die Trojaner auf Brasilien, Mexiko, Spanien und Peru ab.

Empfehlungen

Angreifer versuchen schon immer, der Entdeckung zu entgehen und keinen Verdacht zu erregen, wenn sie Schadsoftware verbreiten. Netskope Threat Labs empfiehlt Ihnen, Ihre Sicherheitslage zu überprüfen, um sicherzustellen, dass Sie gegen diese beiden Trends ausreichend geschützt sind:

• Überprüfen Sie alle HTTP- und HTTPS-Downloads, einschließlich des gesamten Web- und Cloud-Datenverkehrs, um zu verhindern, dass Malware in Ihr Netzwerk eindringt. Netskope-Kunden können ihr Netskope NG-SWG mit einer Threat Protection-Richtlinie konfigurieren, die für Downloads aus allen Kategorien und für alle Dateitypen gilt.
• Stellen Sie sicher, dass Ihre Sicherheitskontrollen den Inhalt beliebter Archivdateien, z. B. ZIP-Dateien, rekursiv auf schädliche Inhalte überprüfen. Netskope Advanced Threat Protection überprüft rekursiv den Inhalt von Archiven, einschließlich ISO, TAR, RAR, 7Z und ZIP.
• Stellen Sie sicher, dass Dateitypen mit hohem Risiko, wie z. B. ausführbare Dateien und Archive, vor dem Herunterladen sowohl mit statischer als auch mit dynamischer Analyse überprüft werden.Netskope Advanced Threat Protection-Kunden können eine Patient Zero Prevention-Richtlinie verwenden, um Downloads zurückzuhalten, bis sie vollständig überprüft wurden.
• Konfigurieren Sie Richtlinien, um Downloads von Apps zu blockieren, die in Ihrer Organisation nicht verwendet werden, um Ihr Risiko auf die Apps und Instanzen zu reduzieren, die für das Unternehmen erforderlich sind.
• Konfigurieren Sie Richtlinien, um den Download bekannter Post-Exploitation-Tools zu blockieren, die in Ihrer Organisation nicht verwendet werden, und generieren Sie eine Hochrisikowarnung, wenn ein nicht autorisiertes Tool heruntergeladen wird, da dies auf die späteren Phasen eines Angriffs hinweisen könnte.
• Blockieren Sie Downloads aller riskanten Dateitypen von neu registrierten und neu beobachteten Domains.

Zusätzlich zu den oben genannten Empfehlungen kann die Remote Browser Isolation (RBI )-Technologie zusätzlichen Schutz bieten, wenn Websites besucht werden müssen, die in Kategorien fallen, die ein höheres Risiko darstellen, wie z. B. neu beobachtete und neu registrierte Domains.

Über diesen Bericht

Netskope bietet Millionen von Benutzern weltweit Bedrohungs- und Datenschutz. Die in diesem Bericht dargestellten Informationen basieren auf anonymisierten Nutzungsdaten, die von der Netskope Security Cloud-Plattform für eine Teilmenge von Netskope-Kunden mit vorheriger Autorisierung erfasst wurden. Dieser Bericht enthält Informationen zu Erkennungen durch das Next Generation Secure Web Gateway (SWG) von Netskope, ohne die Bedeutung der Auswirkungen der einzelnen Bedrohungen zu berücksichtigen. Die Statistiken in diesem Bericht basieren auf dem Zeitraum vom 1. April 2024 bis zum 1. Juli 2024. Statistiken spiegeln die Taktiken der Angreifer, das Benutzerverhalten und die Organisationsrichtlinien wider.