Witold Kepinski - 22 augustus 2024

CrowdStrike publiceert het 2024 Threat Hunting-rapport

CrowdStrike heeft het 2024 Threat Hunting Report gepubliceerd, waarin de nieuwste trends, campagnes en tactieken van aanvallers worden belicht op basis van de frontlinie-informatie van CrowdStrike's elite threat hunters en intelligence analisten

CrowdStrike publiceert het 2024 Threat Hunting-rapport image

Het rapport onthult een toename van aanvallers uit natiestaten en eCrime-groepen die gebruikmaken van legitieme inloggegevens en identiteiten om detectie en bestaande security controles te omzeilen. 

Daarnaast is er een toename van hands-on toetsenbordinbraken, domeinoverstijgende aanvallen en cloud control plane exploits. 

De belangrijkste bevindingen zijn onder andere:

  • Noord-Korea-Nexus aanvallers doen zich voor als legitieme Amerikaanse werknemers: FAMOUS CHOLLIMA infiltreerde meer dan 100, voornamelijk Amerikaanse, technologiebedrijven. Door gebruik te maken van vervalste of gestolen identiteitsdocumenten deden kwaadwillende insiders zich voor als IT-personeel op afstand om gegevens te exfiltreren en kwaadaardige activiteiten uit te voeren.
  • Hands-on-toetsenbord inbreuken stijgen met 55%: Meer threat actors maken gebruik van hands-on-toetsenbordactiviteiten om zich voor te doen als legitieme gebruikers en bestaande security controles te omzeilen. 86% van alle hands-on inbreuken wordt uitgevoerd door eCrime-aanvallers die financiële winst nastreven. Deze aanvallen stegen met 75% in de gezondheidszorg en 60% in de technologiesector, die al zeven jaar op rij de meest getargete sector blijft.
  • Misbruik van RMM-tools groeit met 70%: Aanvallers waaronder CHEF SPIDER (eCrime) en STATIC KITTEN (Iran-nexus) gebruiken legitieme Remote Monitoring and Management (RMM) tools zoals ConnectWise ScreenConnect voor endpoint-exploitatie. Misbruik van RMM-tools was verantwoordelijk voor 27% van alle hands-on-toetsenbord inbreuken.
  • Domeinoverstijgende aanvallen blijven aanhouden: threat actors maken steeds vaker misbruik van geldige inloggegevens om in te breken in cloudomgevingen en vervolgens die toegang te gebruiken om endpoints te bereiken. Deze aanvallen laten minimale sporen achter in elk van deze domeinen, vergelijkbaar met afzonderlijke puzzelstukjes, waardoor ze moeilijker te detecteren zijn.
  • Cloud aanvallers richten zich op de control plane: Cloudbewuste aanvallers zoals SCATTERED SPIDER (eCrime) maken gebruik van social engineering, beleidswijzigingen en wachtwoordbeheertoegang om te infiltreren in cloudomgevingen. Ze maken gebruik van verbindingen tussen het cloud control plane en endpoints om lateraal te bewegen, volharding te behouden en gegevens te exfiltreren.
Axians 12/11/2024 t/m 26/11/2024 BN+BW