Операторы эксплойт-паков предпочитают американский хостинг Компания Palo Alto Networks опубликовала статистику по размещению эксплойт-паков, а также по эксплойтам, доставляемым по электронной почте. Результаты исследования были получены путем анализа вредоносных ссылок, обнаруженных в email-сообщениях в течение II квартала. За отчетный период эксперты совокупно выявили 440 вредоносных доменов, из которых загружаются эксплойты для наиболее часто используемых уязвимостей.
Второе место в рейтинге заняли Нидерланды, здесь число вредоносных находок за квартал возросло более чем в два раза — до 31. На третьей строчке остался Гонконг, несмотря на резко снизившийся показатель (41 против 9 в первом квартале). Значительно улучшилось положение также в Китае и России: в них нашлось лишь по 2 вредоносных домена (против 106 и 20 в предыдущем квартале соответственно), и обе страны теперь делят седьмое место в списке Palo Alto.
Из 1373 вредоносных URL-ссылок, ассоциируемых с эксплойт-паками, географическое расположение соответствующих ресурсов удалось установить для 1072. Как оказалось, около половины вредоносных URL (495) ведут на американские сайты. Второе место в этом рейтинге заняла Россия с показателем 147, третье — Китай (66).
Из наборов эксплойтов в настоящее время активны «интернациональные» Sundown, RIG и новичок Grandsoft. Несколько менее заметен KaiXin, операторы которого предпочитают веб-хостинг Китая, Гонконга и Кореи. В большинстве случаев все эти эксплойт-паки полагаются на давние, но не везде залатанные бреши.
В минувшем квартале из уязвимостей наиболее часто использовалась CVE-2016-0189 в движке VBscript, который использует Internet Explorer. На ее долю пришлось 472 вредоносных URL, тогда как в I квартале — лишь 219.
Вторую строчку в списке заняла свежая брешь CVE-2018-8174 в VBscript (291 URL), получившая известность как DoubleKill («Двойной удар»). Эта уязвимость примечательна тем, что ее использовала в целевых атаках APT-группа Darkhotel — еще до выхода патча; через две недели после появления заплатки CVE-2018-8174 была добавлена в эксплойт-паки.
Третье место в рейтинге уязвимостей занял лидер I квартала CVE-2014-6332 (67 URL) — баг удаленного исполнения кода в механизме OLE, реализованном в Windows. Microsoft устранила эту брешь еще в ноябре 2014 года, однако она до сих пор исправно служит операторам эксплойт-паков. Во II квартале CVE-2014-6332 чаще прочих использовал KaiXin.
В ведущую пятерку вошли также CVE-2008-4844 и CVE-2009-0075 в IE устаревших версий; на их долю суммарно пришлось около полусотни вредоносных URL. Уязвимость CVE-2015-5122 в Adobe Flash Player, прежде занимавшая третье место, свою популярность утратила.