10種新興網(wǎng)絡(luò)安全威脅和攻擊手法
2023年,網(wǎng)絡(luò)威脅領(lǐng)域呈現(xiàn)出一些新的發(fā)展趨勢(shì),攻擊類型趨于多樣化,例如:從MOVEit攻擊可以看出勒索攻擊者開始拋棄基于加密的勒索軟件,轉(zhuǎn)向竊取數(shù)據(jù)進(jìn)行勒索;同時(shí),攻擊者們還減少了對(duì)傳統(tǒng)惡意軟件的依賴,轉(zhuǎn)向利用遠(yuǎn)程監(jiān)控和管理(RMM)等合法工具;此外,為了繞過端點(diǎn)檢測(cè)和響應(yīng)(EDR)的防護(hù),基于身份的攻擊還在繼續(xù)激增。
日前,專業(yè)網(wǎng)絡(luò)媒體CRN訪談了Huntress、CrowdStrike、Zscaler、Mandiant、Microsoft和Cisco等多家公司的專業(yè)安全研究人員,并整理出當(dāng)前值得關(guān)注的10種新興威脅趨勢(shì)和黑客攻擊手法,涉及了網(wǎng)絡(luò)釣魚和社會(huì)工程、數(shù)據(jù)竊取和勒索以及軟件供應(yīng)鏈攻擊等多個(gè)方面。
01、最小破壞性攻擊
安全研究人員發(fā)現(xiàn),今天的攻擊者更加關(guān)注竊取數(shù)據(jù)和獲取利益,因此他們?cè)趯?shí)施網(wǎng)絡(luò)攻擊時(shí),會(huì)盡量避免給受害者帶來嚴(yán)重的破壞,因此不再使用大范圍加密數(shù)據(jù)的攻擊模式,而是選擇最小破壞性的攻擊手法。
研究人員甚至發(fā)現(xiàn),一些攻擊者在進(jìn)行攻擊的同時(shí),還會(huì)將自己重新塑造成一種“安全顧問”的角色。一些勒索軟件攻擊者在完成勒索攻擊后,甚至還推出了“安全顧問服務(wù)”,他們會(huì)為被攻擊的企業(yè)提供付費(fèi)版安全性審計(jì)報(bào)告,概述如何更有效地保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)環(huán)境。通過這些方式,攻擊者似乎在向受害者表明,他們其實(shí)是在“幫助”企業(yè),而不是在搞破壞。
02、新型勒索軟件攻擊
2023年網(wǎng)絡(luò)威脅領(lǐng)域的一個(gè)新動(dòng)向是,由于獲得了訪問泄露源代碼和應(yīng)用構(gòu)建工具的權(quán)限,各大勒索攻擊團(tuán)伙開始不斷改進(jìn)攻擊手法和模式,使得新一代勒索軟件攻擊變得更加復(fù)雜和更有針對(duì)性。在面對(duì)新型勒索軟件攻擊時(shí),大多數(shù)企業(yè)組織會(huì)處于極度弱勢(shì),根本難以招架。美國(guó)聯(lián)邦調(diào)查局(FBI)在9月份發(fā)出警告,提醒企業(yè)組織關(guān)注勒索軟件威脅出現(xiàn)了兩個(gè)新趨勢(shì),第一個(gè)新趨勢(shì)是威脅組織對(duì)同一受害者接連進(jìn)行多次勒索軟件攻擊,并且攻擊時(shí)間挨得很近。這類攻擊通常會(huì)部署多種不同的勒索軟件變體;第二個(gè)新趨勢(shì)是,勒索軟件威脅分子在攻擊過程中采用新的手法來破壞數(shù)據(jù),部署擦除器工具,試圖向受害者施壓。
03、向受害者更大施壓
攻擊者們普遍認(rèn)為,只有向受害企業(yè)實(shí)施更大的壓力,他們才會(huì)更好滿足自己提出的贖金要求。以勒索犯罪組織Clop為例,該組織實(shí)施了今年最大規(guī)模勒索攻擊之一的MOVEitluo活動(dòng)。在攻擊活動(dòng)中,Clop一直在嘗試不同的方法來發(fā)布和推送這些信息。最傳統(tǒng)的方式是在開放的互聯(lián)網(wǎng)上搭建泄密網(wǎng)站,但這類網(wǎng)站很容易被識(shí)別和阻止,因此攻擊者們開始提供被盜數(shù)據(jù)種子文件,并采用去中心化的分發(fā)系統(tǒng),這些種子文件更難被刪除,而且下載起來更快。
04、為了利益的結(jié)盟合作
在最近針對(duì)賭場(chǎng)運(yùn)營(yíng)商米高梅(MGM)和凱撒娛樂的攻擊活動(dòng)中,研究人員發(fā)現(xiàn)了許多令人擔(dān)憂的因素,攻擊者不僅利用社會(huì)工程伎倆欺騙了IT服務(wù)臺(tái),成功獲取到非法的訪問權(quán)限,同時(shí),另一個(gè)更加令人不安的動(dòng)向是,兩起攻擊事件的背后都有多個(gè)攻擊組織的合作,包括講英語的Scattered Spider黑客組織與講俄語的Alphv勒索軟件團(tuán)伙。Scattered Spider使用了由Alphv提供的BlackCat勒索軟件,而Alphv團(tuán)伙的成員之前隸屬DarkSide,該組織是Colonial Pipeline攻擊的幕后黑手。歐美的黑客組織與講俄語的黑客組織結(jié)盟合作在之前非常罕見,這或許會(huì)促使網(wǎng)絡(luò)攻擊的威脅態(tài)勢(shì)往令人不安的新方向發(fā)展。
05、針對(duì)虛擬設(shè)備的RaaS
據(jù)研究人員觀察,勒索軟件即服務(wù)(RaaS)已經(jīng)將目標(biāo)移到了VMware流行的ESXi虛擬機(jī)管理程序。2023年4月,一個(gè)名為MichaelKors的新RaaS團(tuán)伙為其加盟者提供了針對(duì)Windows和ESXi/Linux系統(tǒng)的勒索軟件二進(jìn)制文件。使用專門針對(duì)ESXi的RaaS平臺(tái)成為越來越吸引網(wǎng)絡(luò)犯罪分子的新目標(biāo),原因是這些虛擬設(shè)備上缺少安全工具、對(duì)ESXi接口缺乏足夠的網(wǎng)絡(luò)分段,同時(shí),大量的ESXi漏洞也讓攻擊者更容易得手。
06、生成式AI威脅
基于生成式AI的網(wǎng)絡(luò)攻擊是一種非常新的威脅,它們帶來了諸多眾所周知的安全風(fēng)險(xiǎn),其中之一是降低了惡意分子的攻擊門檻,比如黑客通過使用OpenAI撰寫出更逼真的網(wǎng)絡(luò)釣魚郵件。
安全研究人員還發(fā)現(xiàn)了專門供惡意黑客及其他犯罪分子使用的生成式AI工具,包括WormGPT、FraudGPT和DarkGPT。甚至連ChatGPT本身也可以為黑客提供重要幫助,比如為非英語母語人群改善語法。目前,還沒有有效的防護(hù)措施來阻止基于生成式AI的攻擊威脅。
07、深度偽造工具
深度偽造被視為潛在的安全威脅已有一段時(shí)日,它們可以成功地欺騙受害者。這個(gè)領(lǐng)域最近的一個(gè)動(dòng)向是出現(xiàn)了為網(wǎng)絡(luò)釣魚設(shè)計(jì)的深度偽造視頻制作軟件。8月中旬,Mandiant的研究人員在地下論壇看到了宣傳這種軟件的廣告。該軟件旨在通過使用深度偽造功能,幫助惡意團(tuán)伙看起來更加個(gè)性化。這是目前發(fā)現(xiàn)的首款專為網(wǎng)絡(luò)釣魚騙局設(shè)計(jì)的深度偽造視頻技術(shù)。
同時(shí),音頻深度偽造在2023年也開始興風(fēng)作浪,一方面是由于語音克隆軟件日益普及。音頻深度偽造也被廣泛用于轉(zhuǎn)賬騙局。這個(gè)領(lǐng)域更嚴(yán)重的威脅是,攻擊者可能最終能夠?qū)崿F(xiàn)實(shí)時(shí)語音深度偽造,從而能夠以最小的延遲將自己的聲音轉(zhuǎn)換成克隆的聲音。
08、利用Teams的網(wǎng)絡(luò)釣魚
2023年,安全研究人員發(fā)現(xiàn)了利用微軟Teams的攻擊活動(dòng)。攻擊者使用了受攻擊的微軟365賬戶進(jìn)行網(wǎng)絡(luò)釣魚攻擊,使用Teams消息發(fā)送誘餌來引誘用戶,并確保多因素身份驗(yàn)證(MFA)提示獲得批準(zhǔn),從目標(biāo)組織竊取憑據(jù)。研究人員表示,這個(gè)名為Midnight Blizzard的組織很可能在基于Teams的攻擊中達(dá)成目標(biāo)。
9月初,Truesec公司調(diào)查了另一起使用Teams網(wǎng)絡(luò)釣魚郵件分發(fā)附件的活動(dòng),該活動(dòng)旨在安裝DarkGate Loader惡意軟件,而這個(gè)惡意軟件可用于從事諸多惡意活動(dòng)(包括部署勒索軟件)。
同樣在9月份,一個(gè)編號(hào)為Storm-0324的網(wǎng)絡(luò)犯罪組織使用開源工具分發(fā)攻擊載荷時(shí),通過微軟Teams聊天發(fā)送網(wǎng)絡(luò)釣魚誘餌。不過這些攻擊與使用Teams的Midnight Blizzard活動(dòng)無關(guān),它們的目的主要是為了獲得初始訪問權(quán)限以從事惡意活動(dòng),比如部署勒索軟件。
09、雙重供應(yīng)鏈攻擊
2023年3月,應(yīng)用廣泛的通信軟件開發(fā)商3CX遭受了一次類似SolarWinds的嚴(yán)重供應(yīng)鏈攻擊。研究人員調(diào)查后發(fā)現(xiàn),與過去的軟件供應(yīng)鏈攻擊相比,3CX攻擊的最大特點(diǎn)是雙重供應(yīng)鏈攻擊,因?yàn)檫@是由早期的供應(yīng)鏈攻擊造成的,攻擊者篡改了金融軟件公司Trading Technologies分發(fā)的軟件包,因此,可以認(rèn)為是一起軟件供應(yīng)鏈攻擊導(dǎo)致了另一起軟件供應(yīng)鏈攻擊。研究人員特別指出,3CX攻擊是在幾周內(nèi)而不是在幾個(gè)月內(nèi)被發(fā)現(xiàn)的,這似乎限制了這起事件給3CX及終端客戶造成的影響。
10、升級(jí)版應(yīng)付賬款欺詐
應(yīng)付賬款欺詐指攻擊者冒充供應(yīng)商,向目標(biāo)受害者發(fā)送使用自己賬號(hào)的發(fā)票,這不是新騙局。然而,這種威脅目前有了一種更隱蔽的新變體,可以用來實(shí)施針對(duì)性很強(qiáng)的欺騙。攻擊者會(huì)通過社會(huì)工程進(jìn)入到受害者的郵件賬戶并篡改郵件規(guī)則,將企業(yè)收到的發(fā)票轉(zhuǎn)發(fā)給自己并刪除發(fā)票,防止受害者收到真正的發(fā)票。在此之后,攻擊者就會(huì)篡改發(fā)票,添加其自己的賬號(hào),并再此發(fā)送給受害者。
原文來源:安全牛