Kybernetické hrozby – 2022-02-02

Kybernetické hrozby – 2022-06-03


Seznam důležitých kybernetických hrozeb a událostí za období 9. – 15. 2. 2022.


Název:                 Zneužívání Regsvr32 v kybernetických útocích

Technologie:     Windows, Windows Server

Důležitost:          Střední

CVE:                     –

Popis:                  Bylo zaznamenáno výrané zvýšení zneužívání commandline utility Regsvr32, která slouží registraci knihoven do systému. Zneužití je standardně spuštěno z Office dokumentu a registruje typicky .OCX soubor. Technika začala být využívána k útokům Qbot a Lokibot.

Doporučení:      Posoudit možnosti sledování využití Regsvr32, kde parent proces patří k Office aplikacím, a spuštění Regsvr32, které používá scrobj.dll ke spuštění skriptu

Zdroje:                https://threatpost.com/cybercriminals-windows-utility-regsvr32-malware/178333/, https://github.com/uptycslabs/IOCs/tree/main/Attacker%20increasingly%20adopting%20Squiblydoo%20technique%20via%20office%20documents