安全資訊

2023年，網(wǎng)絡(luò )威脅領(lǐng)域呈現出一些新的發(fā)展趨勢，攻擊類(lèi)型趨于多樣化，例如：從MOVEit攻擊可以看出勒索攻擊者開(kāi)始拋棄基于加密的勒索軟件，轉向竊取數據進(jìn)行勒索；同時(shí)，攻擊者們還減少了對傳統惡意軟件的依賴(lài)，轉向利用遠程監控和管理（RMM）等合法工具；此外，為了繞過(guò)端點(diǎn)檢測和響應（EDR）的防護，基于身份的攻擊還在繼續激增。

日前，專(zhuān)業(yè)網(wǎng)絡(luò )媒體CRN訪(fǎng)談了Huntress、CrowdStrike、Zscaler、Mandiant、Microsoft和Cisco等多家公司的專(zhuān)業(yè)安全研究人員，并整理出當前值得關(guān)注的10種新興威脅趨勢和黑客攻擊手法，涉及了網(wǎng)絡(luò )釣魚(yú)和社會(huì )工程、數據竊取和勒索以及軟件供應鏈攻擊等多個(gè)方面。

01、最小破壞性攻擊

安全研究人員發(fā)現，今天的攻擊者更加關(guān)注竊取數據和獲取利益，因此他們在實(shí)施網(wǎng)絡(luò )攻擊時(shí)，會(huì )盡量避免給受害者帶來(lái)嚴重的破壞，因此不再使用大范圍加密數據的攻擊模式，而是選擇最小破壞性的攻擊手法。

研究人員甚至發(fā)現，一些攻擊者在進(jìn)行攻擊的同時(shí)，還會(huì )將自己重新塑造成一種“安全顧問(wèn)”的角色。一些勒索軟件攻擊者在完成勒索攻擊后，甚至還推出了“安全顧問(wèn)服務(wù)”，他們會(huì )為被攻擊的企業(yè)提供付費版安全性審計報告，概述如何更有效地保護企業(yè)網(wǎng)絡(luò )系統環(huán)境。通過(guò)這些方式，攻擊者似乎在向受害者表明，他們其實(shí)是在“幫助”企業(yè)，而不是在搞破壞。

02、新型勒索軟件攻擊

2023年網(wǎng)絡(luò )威脅領(lǐng)域的一個(gè)新動(dòng)向是，由于獲得了訪(fǎng)問(wèn)泄露源代碼和應用構建工具的權限，各大勒索攻擊團伙開(kāi)始不斷改進(jìn)攻擊手法和模式，使得新一代勒索軟件攻擊變得更加復雜和更有針對性。在面對新型勒索軟件攻擊時(shí)，大多數企業(yè)組織會(huì )處于極度弱勢，根本難以招架。美國聯(lián)邦調查局（FBI）在9月份發(fā)出警告，提醒企業(yè)組織關(guān)注勒索軟件威脅出現了兩個(gè)新趨勢，第一個(gè)新趨勢是威脅組織對同一受害者接連進(jìn)行多次勒索軟件攻擊，并且攻擊時(shí)間挨得很近。這類(lèi)攻擊通常會(huì )部署多種不同的勒索軟件變體；第二個(gè)新趨勢是，勒索軟件威脅分子在攻擊過(guò)程中采用新的手法來(lái)破壞數據，部署擦除器工具，試圖向受害者施壓。

03、向受害者更大施壓

攻擊者們普遍認為，只有向受害企業(yè)實(shí)施更大的壓力，他們才會(huì )更好滿(mǎn)足自己提出的贖金要求。以勒索犯罪組織Clop為例，該組織實(shí)施了今年最大規模勒索攻擊之一的MOVEitluo活動(dòng)。在攻擊活動(dòng)中，Clop一直在嘗試不同的方法來(lái)發(fā)布和推送這些信息。最傳統的方式是在開(kāi)放的互聯(lián)網(wǎng)上搭建泄密網(wǎng)站，但這類(lèi)網(wǎng)站很容易被識別和阻止，因此攻擊者們開(kāi)始提供被盜數據種子文件，并采用去中心化的分發(fā)系統，這些種子文件更難被刪除，而且下載起來(lái)更快。

04、為了利益的結盟合作

在最近針對賭場(chǎng)運營(yíng)商米高梅（MGM）和凱撒娛樂(lè )的攻擊活動(dòng)中，研究人員發(fā)現了許多令人擔憂(yōu)的因素，攻擊者不僅利用社會(huì )工程伎倆欺騙了IT服務(wù)臺，成功獲取到非法的訪(fǎng)問(wèn)權限，同時(shí)，另一個(gè)更加令人不安的動(dòng)向是，兩起攻擊事件的背后都有多個(gè)攻擊組織的合作，包括講英語(yǔ)的Scattered Spider黑客組織與講俄語(yǔ)的Alphv勒索軟件團伙。Scattered Spider使用了由Alphv提供的BlackCat勒索軟件，而Alphv團伙的成員之前隸屬DarkSide，該組織是Colonial Pipeline攻擊的幕后黑手。歐美的黑客組織與講俄語(yǔ)的黑客組織結盟合作在之前非常罕見(jiàn)，這或許會(huì )促使網(wǎng)絡(luò )攻擊的威脅態(tài)勢往令人不安的新方向發(fā)展。

05、針對虛擬設備的RaaS

據研究人員觀(guān)察，勒索軟件即服務(wù)（RaaS）已經(jīng)將目標移到了VMware流行的ESXi虛擬機管理程序。2023年4月，一個(gè)名為MichaelKors的新RaaS團伙為其加盟者提供了針對Windows和ESXi/Linux系統的勒索軟件二進(jìn)制文件。使用專(zhuān)門(mén)針對ESXi的RaaS平臺成為越來(lái)越吸引網(wǎng)絡(luò )犯罪分子的新目標，原因是這些虛擬設備上缺少安全工具、對ESXi接口缺乏足夠的網(wǎng)絡(luò )分段，同時(shí)，大量的ESXi漏洞也讓攻擊者更容易得手。

06、生成式AI威脅

基于生成式AI的網(wǎng)絡(luò )攻擊是一種非常新的威脅，它們帶來(lái)了諸多眾所周知的安全風(fēng)險，其中之一是降低了惡意分子的攻擊門(mén)檻，比如黑客通過(guò)使用OpenAI撰寫(xiě)出更逼真的網(wǎng)絡(luò )釣魚(yú)郵件。

安全研究人員還發(fā)現了專(zhuān)門(mén)供惡意黑客及其他犯罪分子使用的生成式AI工具，包括WormGPT、FraudGPT和DarkGPT。甚至連ChatGPT本身也可以為黑客提供重要幫助，比如為非英語(yǔ)母語(yǔ)人群改善語(yǔ)法。目前，還沒(méi)有有效的防護措施來(lái)阻止基于生成式AI的攻擊威脅。

07、深度偽造工具

深度偽造被視為潛在的安全威脅已有一段時(shí)日，它們可以成功地欺騙受害者。這個(gè)領(lǐng)域最近的一個(gè)動(dòng)向是出現了為網(wǎng)絡(luò )釣魚(yú)設計的深度偽造視頻制作軟件。8月中旬，Mandiant的研究人員在地下論壇看到了宣傳這種軟件的廣告。該軟件旨在通過(guò)使用深度偽造功能，幫助惡意團伙看起來(lái)更加個(gè)性化。這是目前發(fā)現的首款專(zhuān)為網(wǎng)絡(luò )釣魚(yú)騙局設計的深度偽造視頻技術(shù)。

同時(shí)，音頻深度偽造在2023年也開(kāi)始興風(fēng)作浪，一方面是由于語(yǔ)音克隆軟件日益普及。音頻深度偽造也被廣泛用于轉賬騙局。這個(gè)領(lǐng)域更嚴重的威脅是，攻擊者可能最終能夠實(shí)現實(shí)時(shí)語(yǔ)音深度偽造，從而能夠以最小的延遲將自己的聲音轉換成克隆的聲音。

08、利用Teams的網(wǎng)絡(luò )釣魚(yú)

2023年，安全研究人員發(fā)現了利用微軟Teams的攻擊活動(dòng)。攻擊者使用了受攻擊的微軟365賬戶(hù)進(jìn)行網(wǎng)絡(luò )釣魚(yú)攻擊，使用Teams消息發(fā)送誘餌來(lái)引誘用戶(hù)，并確保多因素身份驗證（MFA）提示獲得批準，從目標組織竊取憑據。研究人員表示，這個(gè)名為Midnight Blizzard的組織很可能在基于Teams的攻擊中達成目標。

9月初，Truesec公司調查了另一起使用Teams網(wǎng)絡(luò )釣魚(yú)郵件分發(fā)附件的活動(dòng)，該活動(dòng)旨在安裝DarkGate Loader惡意軟件，而這個(gè)惡意軟件可用于從事諸多惡意活動(dòng)（包括部署勒索軟件）。

同樣在9月份，一個(gè)編號為Storm-0324的網(wǎng)絡(luò )犯罪組織使用開(kāi)源工具分發(fā)攻擊載荷時(shí)，通過(guò)微軟Teams聊天發(fā)送網(wǎng)絡(luò )釣魚(yú)誘餌。不過(guò)這些攻擊與使用Teams的Midnight Blizzard活動(dòng)無(wú)關(guān)，它們的目的主要是為了獲得初始訪(fǎng)問(wèn)權限以從事惡意活動(dòng)，比如部署勒索軟件。

09、雙重供應鏈攻擊

2023年3月，應用廣泛的通信軟件開(kāi)發(fā)商3CX遭受了一次類(lèi)似SolarWinds的嚴重供應鏈攻擊。研究人員調查后發(fā)現，與過(guò)去的軟件供應鏈攻擊相比，3CX攻擊的最大特點(diǎn)是雙重供應鏈攻擊，因為這是由早期的供應鏈攻擊造成的，攻擊者篡改了金融軟件公司Trading Technologies分發(fā)的軟件包，因此，可以認為是一起軟件供應鏈攻擊導致了另一起軟件供應鏈攻擊。研究人員特別指出，3CX攻擊是在幾周內而不是在幾個(gè)月內被發(fā)現的，這似乎限制了這起事件給3CX及終端客戶(hù)造成的影響。

10、升級版應付賬款欺詐

應付賬款欺詐指攻擊者冒充供應商，向目標受害者發(fā)送使用自己賬號的發(fā)票，這不是新騙局。然而，這種威脅目前有了一種更隱蔽的新變體，可以用來(lái)實(shí)施針對性很強的欺騙。攻擊者會(huì )通過(guò)社會(huì )工程進(jìn)入到受害者的郵件賬戶(hù)并篡改郵件規則，將企業(yè)收到的發(fā)票轉發(fā)給自己并刪除發(fā)票，防止受害者收到真正的發(fā)票。在此之后，攻擊者就會(huì )篡改發(fā)票，添加其自己的賬號，并再此發(fā)送給受害者。

原文來(lái)源：安全牛