今天小編分享的科技經驗:2023年第一季度IT攻擊概述,歡迎閱讀。
BlueNoroff 引入繞過 MotW 的新方法
早 2022 年底,研究人員就發布過 BlueNoroff 組織的活動,這是一個以盜竊加密貨币而聞名的出于經濟動機的組織,通常利用 Word 文檔,使用快捷方式檔案進行初始攻擊。不過最近的追蹤發現,該組織采用了新的方法來傳播其惡意軟體。
其中一種是使用 .ISO(光盤映像)和 VHD(虛拟硬碟)檔案格式,旨在避開 Web 标記(MotW)标志。MOTW 是 Windows Internet Explorer 通過強制使 IE 浏覽器浏覽存儲下來的網頁在安全的位置的一種機制,目的是增強安全性。
該組織似乎也在嘗試用新的檔案類型來傳播其惡意軟體。研究人員觀察到一個新的 Visual Basic 腳本、一個以前未見過的 Windows 批處理檔案和一個 Windows 可執行檔案。
分析顯示,該組織使用了 70 多個網域名,這意味着他們直到最近都非常活躍。他們還創建了許多看起來像風險投資和銀行網域名的假網域名,這些網域名大多模仿日本風險投資公司,表明該組織對日本金融機構有着廣泛的興趣。
Roaming Mantis 使用了新的 DNS Changer ( DNS 解析器 )
Roaming Mantis(又名 Shaoye)是一個針對亞洲國家的知名攻擊組織。從 2019 年到 2022 年,這名攻擊者主要使用 "smishing" 來提供其登陸頁面的鏈接,目的是控制受攻擊的安卓設備并竊取設備信息,包括用戶憑據。
然而,在 2022 年 9 月,研究人員發現 Roaming Mantis 使用了新的 Wroba.o Android 惡意軟體,并發現了一個 DNS 解析器功能,該功能主要針對韓國使用的特定 Wi-Fi 路由器。
這可以用于管理來自使用惡意 DNS 設定的受攻擊 Wi-Fi 路由器的設備的所有通信,例如,将某人重定向到惡意主機并幹擾安全產品更新。用戶将受攻擊的安卓設備連接到咖啡館、酒吧、圖書館、酒店、購物中心和機場等場所的免費公共 Wi-Fi。當連接到具有易受攻擊設定的目标 Wi-Fi 型号時,惡意軟體将破壞路由器并影響其他設備。因此,它可以在目标區網域廣泛傳播。
BadMagic:與俄烏衝突有關的新 APT 組織
自俄烏衝突開始以來,研究人員已經發現了大量地緣政治網絡攻擊。
去年 10 月,研究人員就發現了 BadMagic 的攻擊。最初的攻擊途徑尚不清楚,但接下來要使用魚叉式網絡釣魚或類似的方法。攻擊目标被導航到一個 URL,該 URL 指向托管在惡意 web 伺服器上的 ZIP 文檔。該文檔包含兩個檔案:一個是誘餌文檔(研究人員發現了 PDF、XLSX 和 DOCX 版本),另一個是帶有雙重擴展名的惡意 LNK 檔案(例如 PDF.LNK),打開後會導致攻擊。
在一些情況下,誘餌文檔的内容與惡意 LNK 的名稱直接相關,以誘使用戶激活它。
LNK 檔案下載并安裝了一個名為 "PowerMagic" 的 PowerShell 後門,該後門反過來部署了一個復雜的模塊化框架 "CommonMagic"。研究人員發現 CommonMagic 插件能夠從 USB 設備中竊取檔案,并進行截屏将其發送給攻擊者。
在初步分析中,研究人員無法找到任何證據将他們發現的樣本和活動中使用的數據與任何以前已知的攻擊者聯系起來。
Prilex 針對非接觸式信用卡交易發起攻擊
Prilex 已經從專注于 ATM 的攻擊演變成了涉及 PoS 的攻擊。該組織開發的最新惡意軟體不是基于 PoS 攻擊中常見的内存抓取器技術,而是直接開發了一種高度先進的惡意軟體,該軟體包括獨特的加密方案、目标軟體的實時補丁、強制協定降級、操縱密碼、執行所謂的 "GHOST 交易 " 和信用卡欺詐,甚至是芯片和 PIN 卡上的欺詐。
在調查一起事件時,研究人員發現了新的 Prilex 樣本,其中一個新功能包括阻止非接觸式交易的功能。這些交易生成一個僅對一筆交易有效的唯一标識符,這樣攻擊者就沒有辦法利用它了。通過阻止交易,Prilex 試圖迫使客戶插入他們的卡來進行芯片和 PIN 交易,這樣攻擊者就有機會使用他們的标準技術從卡中捕獲數據。
随着非接觸式卡交易的增加,該技術可以讓 Prilex 攻擊者繼續竊取卡信息。
攻擊者使用社會工程來攻擊 PoS 終端,他們試圖說服零售店的員工,他們迫切需要更新終端的軟體,并允許所謂 " 技術專家 " 訪問商店,或者至少提供遠程訪問終端的權限。所以,零售公司要警惕攻擊迹象,包括反復失敗的非接觸式交易,并教育員工了解這種攻擊方法。
對于零售公司(尤其是擁有許多分支機構的公司)來說,制定内部法規并向所有員工解釋技術支持或維護人員應該如何運作是很重要的。這至少可以防止對 pos 終端的未經授權的訪問。此外,提高員工對最新網絡威脅的意識總是一個好主意,這樣他們就不會那麼容易受到新的社會工程技巧的影響。
使用假冒 Tor 浏覽器竊取加密貨币
研究人員最近發現了一個正在進行的加密貨币盜竊活動,影響了 52 個國家的 1.5 萬多名用戶。攻擊者使用了一種已經存在了十多年的技術,最初是由銀行木馬用來替換銀行賬号的。然而,在最近的活動中,攻擊者使用木馬版的 Tor 浏覽器來竊取加密貨币。
目标從包含密碼保護的 RAR 文檔的第三方資源下載 Tor 浏覽器的木馬化版本,密碼用于防止其被安全解決方案檢測到。一旦檔案被釋放到目标計算機上,它就會在系統的自動啟動中自我注冊,并偽裝成一個流行應用程式(如 uTorrent)的圖示。
惡意軟體一直等到剪貼板中出現錢包地址,然後将輸入的剪貼板内容的一部分替換為攻擊者自己的錢包地址。
對現有樣本的分析表明,這些攻擊目标的估計損失至少為 40 萬美元,但實際被盜金額可能要大得多,因為研究人員的研究只關注 Tor 浏覽器濫用。其他活動可能使用不同的軟體和惡意軟體傳播方法,以及其他類型的錢包。
研究人員目前還無法确定一個承載安裝程式的網站,因此它可能是通過 torrent 下載或其他軟體下載程式傳播的。來自官方 Tor 項目的安裝程式是數字籤名的,不包含任何此類惡意軟體的迹象。因此,為了保證安全,你應該只從可靠和可信的來源下載軟體。即使有人下載了木馬化的版本,一個好的反病毒產品也應該能夠檢測到它。
還有一種方法可以檢查你的系統是否受到同類惡意軟體的攻擊。在記事本中輸入以下 " 比特币地址 ":
bc1heymalwarehowaboutyoureplacethisaddress
現在按 Ctrl+C 和 Ctrl+V。如果地址更改為其他地址,則系統可能受到剪貼板注入器惡意軟體的危害,并且使用起來很危險。
我們建議你用安全軟體掃描你的系統。如果你不确定是否有隐藏的後門,那麼一旦系統被破壞,你就不應該信任它,直到它被重建。
利用 ChatGPT 發起攻擊
自從 OpenAI 通過 ChatGPT 向公眾開放其大型 GPT-3 語言模型以來,人們對該項目的興趣猛增,争相探索它的可能性,包括寫詩、參與對話、提供信息、為網站創建内容等等。
關于 ChatGPT 對安全格局的潛在影響,也有很多讨論。
鑑于 ChatGPT 模仿人類互動的能力,使用 ChatGPT 的自動魚叉式網絡釣魚攻擊很可能已經發生了。ChatGPT 允許攻擊者在工業規模上生成有說服力的個性化電子郵件。此外,來自釣魚信息目标的任何回復都可以很容易地輸入聊天機器人的模型,在幾秒鍾内產生令人信服的後續活動。也就是說,雖然 ChatGPT 可能會讓攻擊者更容易偽造網絡釣魚信息,但它并沒有改變這種攻擊形式的本質。
攻擊者還在地下黑客論壇上介紹了他們如何使用 ChatGPT 創建新的木馬。由于聊天機器人能夠編寫代碼,如果有人描述了一個所需的功能,例如," 将所有密碼保存在檔案 X 中,并通過 HTTP POST 發送到伺服器 Y",他們可以在不具備任何編程技能的情況下創建一個簡單的信息竊取器。然而,這樣的木馬很可能是很低級的,并且可能包含效果較差的漏洞。至少就目前而言,聊天機器人只能編寫低級惡意軟體。
研究人員還發現了一個惡意活動,試圖利用 ChatGPT 日益流行的優勢。欺詐者創建了模仿愛好者社區的社交網絡群組。這些群組還包含預先創建的帳戶的虛假憑據,這些帳戶聲稱可以訪問 ChatGPT。這些群組包含一個看似合理的鏈接,邀請人們下載一個虛假的 Windows 版 ChatGPT。
該惡意鏈接安裝了一個木馬,可以竊取存儲在 Chrome、Edge、Firefox、Brave 和其他浏覽器中的帳戶憑證。
由于安全研究人員經常發布有關攻擊者的報告,包括 TTP(戰術、技術和程式)和其他指标,研究人員決定嘗試了解 ChatGPT 對安全格局的影響,以及它是否可以幫助常見的惡意工具和 IoC,如惡意哈希和網域。
基于主機的工件的響應看起來很有希望,所以研究人員指示 ChatGPT 編寫一些代碼,從測試 Windows 系統中提取各種元數據,然後問自己元數據是否是 IoC:
由于某些代碼片段比其他代碼片段更方便,研究人員繼續手動開發這種概念驗證:他們過濾了 ChatGPT 響應包含關于 IoC 存在的 "yes" 語句的事件的輸出,添加了異常處理程式和 CSV 報告,修復了小漏洞,并将代碼片段轉換為單獨的 cmdlet,從而生成了一個簡單的 IoC 掃描器 HuntWithChatGPT.psm1,它能夠通過 WinRM 掃描遠程系統。
雖然對于 OpenAI API 來說,IoC 掃描的精确實現目前可能不是一個非常劃算的解決方案,因為每台主機需要 15 到 20 美元,但它顯示了有趣的結果,并為未來的研究和測試提供了機會。
人工智能對我們生活的影響将遠遠超出 ChatGPT 和其他當前機器學習項目的能力。Ivan Kwiatkowski 是卡巴斯基實驗全球研究和分析團隊的一名研究員,他最近探讨了我們可以預期的長期變化的可能範圍。這些觀點不僅包括人工智能帶來的生產力提高,還包括它可能帶來的社會、經濟和政治變化的影響。
追蹤用戶的數字足迹
研究人員已經習慣了服務提供商、營銷機構和分析公司跟蹤用戶的滑鼠點擊、社交媒體帖子以及浏覽器和流媒體服務的歷史記錄。公司這麼做有很多原因,他們希望更好地了解我們的偏好,并建議我們更有可能購買的產品和服務。他們這樣做是為了找出我們最關注的影像或文本,甚至還向第三方出售我們的在線行為和偏好。
跟蹤是使用網絡信标(又名追蹤器像素和間諜像素)完成的。最流行的跟蹤技術是将 1 × 1 甚至 0x0 像素的微小影像插入電子郵件、應用程式或網頁。電子郵件客戶端或浏覽器通過傳輸伺服器記錄的有關用戶的信息來請求從伺服器下載影像。這包括時間、設備、作業系統、浏覽器和下載像素的頁面。這就是信标操作員了解你打開電子郵件或網頁的方式以及方式。通常使用網頁中的一小段 JavaScript 來代替像素,它可以收集更詳細的信息。這些信标被放置在每個頁面或應用程式螢幕上,使公司可以在你上網的任何地方跟蹤你。
在研究人員最近關于網絡追蹤器的報告中,他們列出了網站和電子郵件中最常見的 20 個信标。網絡信标的數據基于卡巴斯基匿名統計數據,該組件阻止網站追蹤器的加載。大多數公司至少與數字廣告和營銷有一定聯系,包括谷歌、微軟、亞馬遜和甲骨文等科技巨頭。
電子郵件信标的數據來自卡巴斯基郵件產品的匿名反垃圾郵件檢測數據。列表中的公司是電子郵件服務提供商(ESP)或客戶關系管理(CRM)公司。
使用追蹤器收集的信息不僅對合法公司有價值,對攻擊者也有價值。如果他們能夠獲得這些信息,例如,由于數據洩露,他們可以利用這些信息攻擊在線賬戶或發送虛假電子郵件。此外,攻擊者還利用網絡信标。你可以在此處找到有關如何保護自己免受跟蹤的信息。
通過搜索引擎插入惡意廣告
最近幾個月,研究人員觀察到使用谷歌廣告作為傳播惡意軟體手段的惡意活動數量有所增加。至少有兩個不同的竊取程式—— Rhadamanthys 和 RedLine,它們濫用了搜索引擎推廣計劃,以便向受害者的電腦發送惡意有效負載。
他們似乎使用了與著名軟體(如 Notepad++ 和 Blender 3D)相關的網站模仿技術。攻擊者創建合法軟體網站的副本,并使用 " 誤植網域名 " ( 使用拼寫錯誤的品牌或公司名稱作為 url ) 或 " 組合搶注 " ( 如上所述,但添加任意單詞作為 url ) 來使網站看起來合法。然後,他們付費在搜索引擎中推廣該網站,以将其推到搜索結果的首位。
惡意軟體的分布表明,攻擊者的目标是全球範圍内的個人和企業受害者。
