Seznam důležitých kybernetických hrozeb a událostí za období 9. – 15. 2. 2022.
Název: Zneužívání Regsvr32 v kybernetických útocích
Technologie: Windows, Windows Server
Důležitost: Střední
CVE: –
Popis: Bylo zaznamenáno výrané zvýšení zneužívání commandline utility Regsvr32, která slouží registraci knihoven do systému. Zneužití je standardně spuštěno z Office dokumentu a registruje typicky .OCX soubor. Technika začala být využívána k útokům Qbot a Lokibot.
Doporučení: Posoudit možnosti sledování využití Regsvr32, kde parent proces patří k Office aplikacím, a spuštění Regsvr32, které používá scrobj.dll ke spuštění skriptu
Zdroje: https://threatpost.com/cybercriminals-windows-utility-regsvr32-malware/178333/, https://github.com/uptycslabs/IOCs/tree/main/Attacker%20increasingly%20adopting%20Squiblydoo%20technique%20via%20office%20documents