2023年10月14日
2023年,網絡威脅領域呈現出一些新的發展趨勢,攻擊類型趨于多樣化,例如:從MOVEit攻擊可以看出勒索攻擊者開始拋棄基于加密的勒索軟件,轉向竊取數據進行勒索;同時,攻擊者們還減少了對傳統惡意軟件的依賴,轉向利用遠程監控和管理(RMM)等合法工具;此外,為了繞過端點檢測和響應(EDR)的防護,基于身份的攻擊還在繼續激增。
日前,專業網絡媒體CRN訪談了Huntress、CrowdStrike、Zscaler、Mandiant、Microsoft和Cisco等多家公司的專業安全研究人員,并整理出當前值得關注的10種新興威脅趨勢和黑客攻擊手法,涉及了網絡釣魚和社會工程、數據竊取和勒索以及軟件供應鏈攻擊等多個方面。
01、最小破壞性攻擊 安全研究人員發現,今天的攻擊者更加關注竊取數據和獲取利益,因此他們在實施網絡攻擊時,會盡量避免給受害者帶來嚴重的破壞,因此不再使用大范圍加密數據的攻擊模式,而是選擇最小破壞性的攻擊手法。 研究人員甚至發現,一些攻擊者在進行攻擊的同時,還會將自己重新塑造成一種“安全顧問”的角色。一些勒索軟件攻擊者在完成勒索攻擊后,甚至還推出了“安全顧問服務”,他們會為被攻擊的企業提供付費版安全性審計報告,概述如何更有效地保護企業網絡系統環境。通過這些方式,攻擊者似乎在向受害者表明,他們其實是在“幫助”企業,而不是在搞破壞。 02、新型勒索軟件攻擊 2023年網絡威脅領域的一個新動向是,由于獲得了訪問泄露源代碼和應用構建工具的權限,各大勒索攻擊團伙開始不斷改進攻擊手法和模式,使得新一代勒索軟件攻擊變得更加復雜和更有針對性。在面對新型勒索軟件攻擊時,大多數企業組織會處于極度弱勢,根本難以招架。美國聯邦調查局(FBI)在9月份發出警告,提醒企業組織關注勒索軟件威脅出現了兩個新趨勢,第一個新趨勢是威脅組織對同一受害者接連進行多次勒索軟件攻擊,并且攻擊時間挨得很近。這類攻擊通常會部署多種不同的勒索軟件變體;第二個新趨勢是,勒索軟件威脅分子在攻擊過程中采用新的手法來破壞數據,部署擦除器工具,試圖向受害者施壓。 03、向受害者更大施壓 攻擊者們普遍認為,只有向受害企業實施更大的壓力,他們才會更好滿足自己提出的贖金要求。以勒索犯罪組織Clop為例,該組織實施了今年最大規模勒索攻擊之一的MOVEitluo活動。在攻擊活動中,Clop一直在嘗試不同的方法來發布和推送這些信息。最傳統的方式是在開放的互聯網上搭建泄密網站,但這類網站很容易被識別和阻止,因此攻擊者們開始提供被盜數據種子文件,并采用去中心化的分發系統,這些種子文件更難被刪除,而且下載起來更快。 04、為了利益的結盟合作 在最近針對賭場運營商米高梅(MGM)和凱撒娛樂的攻擊活動中,研究人員發現了許多令人擔憂的因素,攻擊者不僅利用社會工程伎倆欺騙了IT服務臺,成功獲取到非法的訪問權限,同時,另一個更加令人不安的動向是,兩起攻擊事件的背后都有多個攻擊組織的合作,包括講英語的Scattered Spider黑客組織與講俄語的Alphv勒索軟件團伙。Scattered Spider使用了由Alphv提供的BlackCat勒索軟件,而Alphv團伙的成員之前隸屬DarkSide,該組織是Colonial Pipeline攻擊的幕后黑手。歐美的黑客組織與講俄語的黑客組織結盟合作在之前非常罕見,這或許會促使網絡攻擊的威脅態勢往令人不安的新方向發展。 05、針對虛擬設備的RaaS 據研究人員觀察,勒索軟件即服務(RaaS)已經將目標移到了VMware流行的ESXi虛擬機管理程序。2023年4月,一個名為MichaelKors的新RaaS團伙為其加盟者提供了針對Windows和ESXi/Linux系統的勒索軟件二進制文件。使用專門針對ESXi的RaaS平臺成為越來越吸引網絡犯罪分子的新目標,原因是這些虛擬設備上缺少安全工具、對ESXi接口缺乏足夠的網絡分段,同時,大量的ESXi漏洞也讓攻擊者更容易得手。 06、生成式AI威脅 基于生成式AI的網絡攻擊是一種非常新的威脅,它們帶來了諸多眾所周知的安全風險,其中之一是降低了惡意分子的攻擊門檻,比如黑客通過使用OpenAI撰寫出更逼真的網絡釣魚郵件。 安全研究人員還發現了專門供惡意黑客及其他犯罪分子使用的生成式AI工具,包括WormGPT、FraudGPT和DarkGPT。甚至連ChatGPT本身也可以為黑客提供重要幫助,比如為非英語母語人群改善語法。目前,還沒有有效的防護措施來阻止基于生成式AI的攻擊威脅。 07、深度偽造工具 深度偽造被視為潛在的安全威脅已有一段時日,它們可以成功地欺騙受害者。這個領域最近的一個動向是出現了為網絡釣魚設計的深度偽造視頻制作軟件。8月中旬,Mandiant的研究人員在地下論壇看到了宣傳這種軟件的廣告。該軟件旨在通過使用深度偽造功能,幫助惡意團伙看起來更加個性化。這是目前發現的首款專為網絡釣魚騙局設計的深度偽造視頻技術。 同時,音頻深度偽造在2023年也開始興風作浪,一方面是由于語音克隆軟件日益普及。音頻深度偽造也被廣泛用于轉賬騙局。這個領域更嚴重的威脅是,攻擊者可能最終能夠實現實時語音深度偽造,從而能夠以最小的延遲將自己的聲音轉換成克隆的聲音。 08、利用Teams的網絡釣魚 2023年,安全研究人員發現了利用微軟Teams的攻擊活動。攻擊者使用了受攻擊的微軟365賬戶進行網絡釣魚攻擊,使用Teams消息發送誘餌來引誘用戶,并確保多因素身份驗證(MFA)提示獲得批準,從目標組織竊取憑據。研究人員表示,這個名為Midnight Blizzard的組織很可能在基于Teams的攻擊中達成目標。 9月初,Truesec公司調查了另一起使用Teams網絡釣魚郵件分發附件的活動,該活動旨在安裝DarkGate Loader惡意軟件,而這個惡意軟件可用于從事諸多惡意活動(包括部署勒索軟件)。 同樣在9月份,一個編號為Storm-0324的網絡犯罪組織使用開源工具分發攻擊載荷時,通過微軟Teams聊天發送網絡釣魚誘餌。不過這些攻擊與使用Teams的Midnight Blizzard活動無關,它們的目的主要是為了獲得初始訪問權限以從事惡意活動,比如部署勒索軟件。 09、雙重供應鏈攻擊 2023年3月,應用廣泛的通信軟件開發商3CX遭受了一次類似SolarWinds的嚴重供應鏈攻擊。研究人員調查后發現,與過去的軟件供應鏈攻擊相比,3CX攻擊的最大特點是雙重供應鏈攻擊,因為這是由早期的供應鏈攻擊造成的,攻擊者篡改了金融軟件公司Trading Technologies分發的軟件包,因此,可以認為是一起軟件供應鏈攻擊導致了另一起軟件供應鏈攻擊。研究人員特別指出,3CX攻擊是在幾周內而不是在幾個月內被發現的,這似乎限制了這起事件給3CX及終端客戶造成的影響。 10、升級版應付賬款欺詐 應付賬款欺詐指攻擊者冒充供應商,向目標受害者發送使用自己賬號的發票,這不是新騙局。然而,這種威脅目前有了一種更隱蔽的新變體,可以用來實施針對性很強的欺騙。攻擊者會通過社會工程進入到受害者的郵件賬戶并篡改郵件規則,將企業收到的發票轉發給自己并刪除發票,防止受害者收到真正的發票。在此之后,攻擊者就會篡改發票,添加其自己的賬號,并再此發送給受害者。