ISHACK AI BOT

在迅速发展的数字环境中，远程工作已成常态，越来越多企业意识到自己正面临严峻的网络威胁。为此，必须采取积极措施保护其重要资产。不仅如此，严格的合规条例，也在增加他们的压力。 基于此，人们不得不重新考虑传统的以周界为基础的安全模式，已经不足以作为保护敏感数据不受未经授权访问的独立措施，转而转向基于身份的安全计划。 如今，身份访问管理(IAM)解决方案逐渐受到欢迎，现已基本上被认为是任何业务总体安全战略的重要组成部分。 身份访问管理解决方案的一些优势 身份访问管理的目的是什么 简而言之，为了确保只有获得授权的个人才能根据其作用(基于角色的访问控制)、责任和最小特权原则限制了用户有效执行任务所需的最低访问水平。 通过实施IAM，可以减少未经授权访问、数据被破坏的风险，以及内部威胁，同时精简访问管理流程，减少行政间接费用。 另外， IBM2023年数据泄漏报告发现使用身份访问管理系统的企业能够降低数据被破坏的成本。 为什么找到正确的解决方案是一项艰巨的任务 大型解决方案主要针对拥有几千个IT用户的企业。这些解决方案的采购和维护成本高昂，需要几个月甚至几年的时间来规划和实施。而在这个过程中，必须与IAM平台集成的每个应用程序和服务(包括云服务、像团队、交换机和单驱动器等M365应用程序、人力资源、客户关系管理或企业资源规划工具等）编制单独的连接程序。而这反过来又意味着通过IAM平台管理的众多系统中的每个系统创建、测试和部署定制脚本和工作流。 这是一个巨大的工程量。大公司有资源、时间和资金应对这种规模的项目。但是，中小型企业同样有义务保护其数据不被未经授权的访问，并保持合规性，但长期人手不足，没有预算，以至于众多中小型企业举步维艰。 在美国，目前有166500家中型企业的员工人数在100至10000之间，总共有4800万雇员(和潜在的信息技术用户)。科技人员与雇员的比率约为1:27这意味着大约有1700万名IT工作者与4800万潜在的IT用户及其资产如笔记本电脑、工作电话等进行对抗。 通过插件支持大量的应用程序和服务 通过支持功能和图形编辑器等有用工具，10倍简化了复杂而耗时的任务，使IT工作人员能够通过界面方便地配置功能和工作流。 在当地、云端和混合环境中对用户和权限的自动化集中管理，以及清晰的报告和定期访问审查，同时消除了市场上高度复杂、耗时和昂贵的IAM解决方案的所有缺点。

网络犯罪分子在社会工程攻击中滥用 Windows Quick Assist 功能，在受害者的网络上部署 Black Basta 勒索软件负载。 微软至少从 2024 年 4 月中旬开始就一直在调查这一活动，他们观察到，威胁组织（追踪为 Storm-1811）在将其地址订阅到各种电子邮件订阅服务后，通过电子邮件轰炸目标开始了攻击。 一旦他们的邮箱充斥着未经请求的消息，威胁分子就会冒充 Microsoft 技术支持人员或受攻击公司的 IT 或服务台工作人员给他们打电话，以帮助修复垃圾邮件问题。 在这次语音网络钓鱼攻击中，攻击者通过启动 Quick Assist 内置远程控制和屏幕共享工具，诱骗受害者授予其 Windows 设备访问权限。 微软表示：“一旦用户允许访问和控制，威胁分子就会运行脚本化的 cURL 命令来下载一系列用于传递恶意负载的批处理文件或 ZIP 文件。”在一些情况下，微软威胁情报发现此类活动会导致下载 Qakbot、ScreenConnect 和 NetSupport Manager 等 RMM 工具以及 Cobalt Strike。 安装恶意工具并结束通话后，Storm-1811 会执行域枚举，在受害者网络中横向移动，并使用 Windows PsExec telnet 替换工具部署 Black Basta 勒索软件。 Quick Assist 屏幕共享提示 网络安全公司 Rapid7 也发现了这些攻击，该公司表示，恶意分子将使用“批处理脚本，使用 PowerShell 从命令行获取受害者的凭据”。“凭据是在要求用户登录的‘更新’的虚假上下文下收集的。在大多数观察到的批处理脚本变体中，凭据会通过安全复制命令 (SCP) 立即泄露到威胁行为者的服务器。 为了阻止这些攻击，微软建议网络防御者阻止或卸载不使用的 Quick Assist 和类似的远程监控和管理工具，并培训员工识别技术支持诈骗。 这些攻击的目标仅应允许其他人在联系其 IT 支持人员或 Microsoft 支持人员的情况下连接到其设备，并在怀疑存在恶意意图时立即断开任何快速协助会话。 Black Basta 勒索软件操作 两年前，Conti 网络犯罪组织因一系列数据泄露事件而被关闭，此后分裂成多个派系，其中一个就是 Black Basta。 Black Basta 于 2022 年 4 月以勒索软件即服务 (RaaS) 形式浮出水面。此后，其附属公司已经入侵了许多知名受害者，包括德国国防承包商莱茵金属、英国技术外包公司 Capita、现代汽车的欧洲分部、多伦多公共图书馆、美国牙科协会、工业自动化公司和政府承包商 ABB、Sobeys、Knauf 和加拿大黄页。 最近，Black Basta 与美国医疗保健巨头 Ascension 遭受的勒索软件攻击有关，迫使其将救护车转移到未受影响的设施。 正如 CISA 和 FBI 在联合咨询中透露的那样，Black Basta 勒索软件附属机构在 2022 年 4 月至 2024 年 5 月期间侵入了 500 多个组织，加密并窃取了 16 个关键基础设施部门中至少 12 个部门的数据。 Health-ISAC（信息共享和分析中心）也在公告中称，勒索软件团伙“最近加速了针对医疗保健行业的攻击”。 根据网络安全公司 Elliptic 和网络保险公司 Corvus Insurance 的研究显示，截至 2023 年 11 月，Black Basta 已从 90 多名受害者那里收取了至少 1 亿美元的赎金。

往期回顾： 2024.5.20—2024.5.26安全动态周回顾 2024.5.13—2024.5.19安全动态周回顾 2024.5.6—2024.5.12安全动态周回顾 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾

基于身份的攻击已成为当今企业面临的最重大威胁之一。IBM 的 X-Force 威胁情报团队表示，网络犯罪分子越来越依赖被盗身份（而不是技术黑客）来帮助他们破坏企业系统。 但是企业需要警惕哪些类型的攻击？如何才能最好地保护员工免受伤害？本文将探讨攻击者在基于身份的攻击中采用的策略，以及企业如何采用多种方法来降低风险。 基于身份的攻击的兴起 近年来，基于身份的攻击数量持续增长。据报道，80% 的攻击涉及身份和泄露的凭证。IBM 的一份报告发现，与身份相关的攻击现在是影响全球网络犯罪的首要因素，每年增长 71%。通过这些统计数据，可以看出基于身份的攻击给企业带来的问题日益严重。 基于身份攻击的类型 网络犯罪分子不仅仅依赖于一种类型的攻击，他们会尝试多种策略，直到找到一种有效的方式。基于身份的攻击的常见类型包括： ·广泛的网络钓鱼活动 广泛的网络钓鱼攻击是最常见的基于身份的密码攻击类型之一，网络犯罪分子获取大量电子邮件地址时就会出现这种攻击。他们制作并发送带有特定号召性用语的通用网络钓鱼消息，例如将用户发送到虚假登录页面。至少有一些收件人会落入骗局，并前往虚假网站输入其凭据，从而使攻击者能够访问合法的用户名和密码，从而可以用来访问敏感数据。 ·鱼叉式网络钓鱼活动 鱼叉式网络钓鱼活动与广泛的网络钓鱼不同，它针对的是特定个人而不是大型群体。攻击者仔细选择目标，并利用社交媒体和网络资源进行研究，以收集有关受害者的个人信息。 然后，他们会制作一条高度个性化的消息，引用特定的细节（例如提及收件人最近参加的会议），以增加收件人陷入网络钓鱼尝试的可能性。攻击者的目的是诱骗受害者采取特定操作（例如访问虚假登录页面或单击恶意软件链接）以窃取其凭据或安装恶意软件以进行进一步攻击。 ·撞库 许多用户都在多个帐户中重复使用相同的密码。一项由 Microsoft 资助的研究发现，73% 的人在个人和专业帐户中设置有重复密码。撞库攻击就利用了这种情况，从以前的网站泄露或密码转储站点获取凭据，并使用自动化工具在各个网站上测试这些凭据。 ·密码喷洒 人们通常希望密码易于记忆，而不是字母、数字和符号的随机组合。攻击者使用与目标域的复杂性策略相匹配的一小部分常用密码部署，密码喷射攻击来利用这一点。攻击者不会为一个用户尝试多个密码，而是在许多不同的帐户中使用相同的通用密码来避免检测。 ·传递哈希技术 哈希传递攻击在企业中变得越来越常见，相关报告称，一项调查中 95% 的受访者因哈希传递攻击而遭受了直接的业务影响。在传递哈希攻击中，攻击者从受感染的系统获取用户密码的哈希版本。然后，攻击者使用此哈希向其他系统进行身份验证，而无需破解实际密码。这种技术允许攻击者在网络内横向移动，访问敏感数据。 ·中间人 (MitM) 攻击 在 MitM 攻击中，攻击者通常通过模仿合法的 Wi-Fi 接入点来拦截网络连接。然后，当最终用户连接到恶意接入点时，攻击者可以监视所有用户的输入，包括登录凭据。如果攻击成功，攻击者可以窃取凭证或会话令牌来验证受害者的帐户，从而访问敏感数据或执行进一步的攻击。 多层安全方法 随着身份成为新的安全边界，企业需优先考虑帐户和密码安全至关重要。 薄弱、重复使用和泄露的凭据通常是攻击者的主要入口点。事实上，Verizon 2023 数据泄露调查报告发现，50% 的泄露都是由被盗或薄弱的凭证开始的。为了降低基于身份的攻击的风险，企业必须采用多层安全方法。 ·实施强密码策略 强密码策略对于确保最终用户不使用弱且容易猜到的密码至关重要。考虑实施密码策略软件（例如 Specops 密码策略），它可以帮助人们强制实施强密码要求并防止使用弱密码。 此外，Specops 密码策略将根据包含超过 40 亿个唯一已知泄露密码的数据库持续扫描 Active Directory。任何被发现使用密码被泄露的用户都会收到通知，并要求立即更改密码。 ·定期审核 Active Directory 为了保护帐户，人们应该定期审核自己的 Active Directory 是否存在弱密码或泄露密码。此外，应该主动识别并删除黑客可以利用的陈旧或不活动帐户。利用免费的只读工具Specops Password Auditor扫描 Active Directory 中是否存在与密码相关的漏洞。 ·实施多重身份验证 确保最终用户已在应用程序中设置多重身份验证。除了用户名和密码之外，MFA 要求用户提供第二种形式的身份验证，例如发送到其注册手机的一次性密码或生物识别数据，从而增加了一层额外的安全性。 ·防范社会工程 服务台对黑客来说是一个极具吸引力的目标。在服务台接听电话和回复电子邮件的 IT 团队成员是密码重置的看门人。如果攻击者可以有效地对服务台使用社交工程攻击，他们可以轻易获得未经授权的访问并造成严重破坏。 如米高梅度假村事件，在黑客欺骗该公司的服务台提供访问权限后，该公司便经历了大范围的停电、数天的停机以及数百万美元的损失。 自动化解决方案可以帮助提供另一层保护，帮助服务台工作人员验证用户身份，从而减少社会工程漏洞，防止组织服务台受到攻击。 ·对不断变化的威胁保持警惕 企业必须时刻保持警惕，防止基于身份的攻击。采取多方面的方法来保持企业的低风险水平。通过实施强密码策略、定期审核帐户、利用 MFA 以及如 Specops Software 提供的工具，降低成为威胁受害者的风险。

近日，Memcyco Inc. 发布了首份《2024 年网站冒充诈骗现状报告》。 值得注意的是，Memcyco 的研究表明，大多数公司没有足够的解决方案来应对数字冒充欺诈，而且大多数公司只是从客户那里了解到攻击情况。 超过一半的受访者（53%）表示，他们现有的网络安全解决方案无法有效应对网站冒充攻击，41% 的受访者表示，他们现有的解决方案只能“部分”保护他们和他们的客户。 87% 的公司认识到网站冒充是一个重要问题，69% 的公司承认自己的网站曾遭受过此类攻击，但只有 6% 的企业声称拥有有效应对这些攻击的解决方案。 根据美国联邦贸易委员会的数据，创建用于网络钓鱼相关攻击的虚假网站（这是账户接管 (ATO) 的主要原因）是一个日益严重的问题，仅在 2023 年，网络犯罪分子就赚取了 10 亿美元以上。这是 2020 年报告被盗金额的三倍多。 报告发现，72% 的公司已建立监控系统来检测其网站的虚假版本，但仍有 66% 的公司表示，他们主要是在被客户举报时才了解到数字冒充攻击。更令人担忧的是，37% 的受访者是在受影响的客户在社交媒体上公开吐槽后才了解到网站冒充攻击。 无法充分防范数字冒名顶替欺诈引发了人们对公司向客户赔偿责任的质疑。48%的受访者已经意识到出台强制客户赔偿的规定的重要性，有效防范数字冒名顶替欺诈成为避免收入损失的“必备措施”。 Memcyco 董事长兼首席执行官 Israel Mazin 表示：“该报告最令人担忧的结论之一是，网站冒充诈骗正在增多，因为攻击者依赖公司对此类攻击的有限可见性。这在网络安全中造成了一个明显的盲点——公司无法在线保护其客户。” 《网站冒充诈骗现状》报告是与 Global Surveyz Research 联合进行的，基于安全、欺诈、数字和网络行业企业中 200 名全职员工的回复，这些员工从总监到 C 级高管不等，运营着每月访问量超过 10000 次的交易网站。 为有效应对日益猖獗的网站冒充诈骗，企业除了使用专业的解决方案外还需提高自身洞察力。

Check Point 在近期发布的一份公告中称，威胁者正针对 Check Point 远程访问 VPN 设备发起攻击，以入侵企业网络。 远程访问已集成到所有 Check Point 网络防火墙中，它可以配置为客户端到站点 VPN，以便通过 VPN 客户端访问公司网络，也可以设置为 SSL VPN 门户，以进行基于 Web 的访问。 Check Point 表示，攻击者正针对使用不安全的仅密码身份验证的旧本地帐户的安全网关发起攻击，这种身份验证应与证书身份验证一起使用，以防止入侵。 该公司表示最近看到包括各种网络安全供应商在内的 VPN 解决方案遭到入侵，鉴于这些事件，一直在监控未经授权访问 Check Point 客户的 VPN 的尝试。截至 2024 年 5 月 24 日，发现了少量使用旧 VPN 本地帐户的登录尝试，这些尝试依赖于不推荐的仅密码身份验证方法。 为了防御这些正在进行的攻击，Check Point 提醒客户检查 Quantum Security Gateway 和 CloudGuard Network Security 产品以及移动访问和远程访问 VPN 软件刀片上是否存在此类易受攻击的帐户。 并建议客户将用户身份验证方法更改为更安全的选项（使用此支持文档中的说明）或从安全管理服务器数据库中删除易受攻击的本地帐户。 该公司还发布了安全网关修补程序，该修补程序将阻止所有本地帐户使用密码进行身份验证。安装后，仅使用弱密码身份验证的本地帐户将被阻止登录远程访问 VPN。 安装修补程序后易受攻击的本地帐户被阻止（Check Point） 思科 VPN 设备也成为攻击目标 Check Point 是第二家警告其 VPN 设备在最近几个月的持续攻击中成为目标的公司。 今年 4 月，针对思科、Check Point、SonicWall、Fortinet 和 Ubiquiti 设备上的 VPN 和 SSH 服务的凭证暴力破解攻击十分猖獗。 该活动始于 2024 年 3 月 18 日左右，攻击源自 TOR 出口节点，并使用各种其他匿名化工具和代理来逃避阻止。 一个月前，思科警告称，针对运行远程访问 VPN（RAVPN）服务的思科安全防火墙设备可能会出现一波密码喷洒攻击，这可能是第一阶段侦察活动的一部分。 安全研究员亚伦·马丁将此活动与一个未记录的恶意软件僵尸网络联系起来，他将其称为“Brutus”，该网络控制着云服务和住宅网络中至少 20000 个 IP 地址。 上个月，该公司还透露，自 2023 年 11 月以来，受国家支持的黑客组织 UAT4356（又名 STORM-1849）一直在利用思科自适应安全设备 (ASA) 和 Firepower 威胁防御 (FTD) 防火墙中的零日漏洞入侵全球政府网络，该活动被追踪为 ArcaneDoor。

往期回顾： 2024.5.13—2024.5.19安全动态周回顾 2024.5.6—2024.5.12安全动态周回顾 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾

有安全研究人员在至少两家非官方的应用程序商店中发现了一种名为"Wpeper"的新安卓后门恶意软件，这是一家模仿上端应用程序商店的非官方应用程序商店。 WPEP的突出之处在于它新的使用，即它受损害的语言网站作为其实际的指挥和控制(C2)服务器的中继器是一种逃避机制。 Android 恶意软件是由 QAX 的 XLab 团队于 2024 年 4 月 18 日在检查嵌入到 APK（Android 包文件）中的先前未知的 ELF 文件时发现的，该文件的病毒检测总数为零。 该活动于 4 月 22 日突然停止，大概是为了保持低调并为了避免被安保专业人员和自动化系统发现。 根据谷歌和被动DNS的数据，X实验室推断在WPEPOP发现时，目前已经感染了成千上万的设备，但实际的操作规模仍然未知。 第三方应用程序商店的恶意APK 滥用语言作为C2 WPEPER的新型C2通信系统是为了充分利用受影响的语言媒体网站和中间中继点，掩盖了其实际C2服务器的位置和身份。 从C2发送给机器人的任何命令都是通过这些站点转发的，它们是另外的AES加密和签名椭圆曲线签名，以防止未经授权的第三方接管。 硬编码C2地址 WPEP可以通过相关命令的接收来动态地更新其C2服务器，因此，如果清除了一个语言媒体站点，则可以向僵尸网络发送不同站点上的新中继点。 在不同的主机和地点使用多个受损害的站点，增加了C2机制的复原力，使得关闭操作变得困难，此举甚至破坏了单个受感染的安卓设备上的数据交换。 恶意软件功能 WPEPER的主要功能是窃取数据，这是由其具有13个不同功能的大量命令所组成的。 后门恶意软件中的支持命令是： 1.检索受感染设备的详细信息，如硬件规格和操作系统细节 2.收集设备上所有已安装应用程序的列表 3.接收新的C2服务器地址以更新机器人的命令源列表 4.调整与C2服务器的通信频率 5.接收验证命令签名的新公钥 6.从C2服务器下载任意文件 7.检索存储在设备上的特定文件的信息 8.收集设备上特定目录的信息 9.在设备外壳中运行命令 10.下载一个文件并执行它 11.更新恶意软件并执行文件 12.从设备中删除恶意软件 13.从指定的URL下载文件并执行它 目前还不清楚这些被盗数据是如何使用的，但潜在的风险确认包括账户劫持、网络渗透、情报收集、身份盗窃和金融欺诈。 为了避免像wpeper这样的风险出现，建议用户只从官方应用程序商店(谷歌游戏)安装应用程序，并确保操作系统内置的反恶意软件工具“游戏保护”在设备上是活跃的。

自 4 月份以来，恶意分子通过 Phorpiex 僵尸网络发送了数百万封钓鱼电子邮件，以开展大规模的 LockBit Black 勒索软件活动。 网络安全和通信集成小组 (NJCCIC) 警告说，攻击者使用包含部署 LockBit Black 有效负载的可执行文件的 ZIP 附件，该有效负载一旦启动就会对接收者的系统进行加密。 这些攻击中部署的 LockBit Black 加密器很可能是开发人员于 2022 年 9 月在 Twitter 上泄露的 LockBit 3.0 构建器构建的。不过，据悉该活动与实际的 LockBit 勒索软件操作没有任何关系。 这些网络钓鱼电子邮件带有“您的文档”和“您的照片”主题时使用“Jenny Brown”或“Jenny Green”别名从全球 1500 多个唯一 IP 地址发送。 当收件人打开恶意 ZIP 存档附件并执行其中的二进制文件时，攻击链就开始了。然后，该可执行文件从 Phorphiex 僵尸网络的基础设施下载 LockBit Black 勒索软件样本，并在受害者的系统上执行。启动后，它将尝试窃取敏感数据、终止服务和加密文件。 网络钓鱼电子邮件样本 LockBit Black 勒索字条 Phorpiex 僵尸网络（也称为 Trik）已经活跃了十多年，它是由一种通过 r 传播的蠕虫进化而来的。 网络安全公司 Proofpoint 自 4 月 24 日以来一直在调查这些攻击，该公司表示，威胁分子的目标是全球各个垂直行业的公司。 尽管这种方法并不新鲜，但发送大量电子邮件来传递恶意负载以及用作第一阶段负载的勒索软件使其格外突出，尽管它缺乏其他网络攻击的复杂性。 Proofpoint 安全研究人员表示，从 2024 年 4 月 24 日开始，Proofpoint 观察到由 Phorpiex 僵尸网络发起的大量活动，其中包含数百万条消息，并传播 LockBit Black 勒索软件。 这是 Proofpoint 研究人员第一次观察到 LockBit Black 勒索软件（又名 LockBit 3.0）样本通过 Phorphiex 大量传播。 LockBit Black 勒索信 Phorpiex 僵尸网络（也称为 Trik）已经活跃了十多年。它从通过可移动 USB 存储和 Skype 或 Windows Live Messenger 聊天传播的蠕虫演变为使用垃圾邮件传递的 IRC 控制的木马。 经过多年的活动和发展，该僵尸网络慢慢发展壮大，控制了超过 100 万台受感染的设备，该僵尸网络的运营商在关闭 Phorpiex 基础设施后，试图在黑客论坛上出售恶意软件的源代码。 Phorpiex 僵尸网络还被用来发送数百万封勒索电子邮件（每小时发送超过 30000 封垃圾邮件），并且最近使用剪贴板劫持者模块将复制到 Windows 剪贴板的加密货币钱包地址替换为攻击者控制的地址。 在添加加密剪裁支持后的一年内，Phorpiex 的运营商劫持了 969 笔交易，并窃取了 3.64 比特币（172300 美元）、55.87 以太币（216000 美元）和价值 55000 美元的 ERC20 代币。 为了防御推送勒索软件的网络钓鱼攻击，NJCCIC 建议实施勒索软件风险缓解策略，并使用端点安全解决方案和电子邮件过滤解决方案（如垃圾邮件过滤器）来阻止潜在的恶意消息。

现代企业具有复杂的关系，而数据流是这种互连性的关键方面，因为企业依靠数据来推动决策、与合作伙伴协作、与客户互动以及优化运营。据估计，到 2024 年，全球创建、消费和存储的数据量将达到 147 ZB——这个数字大得难以概念化。 共享数据具有明显的优势，但这也意味着企业在风险方面也是相互关联的。企业和数据流的相互关联性质创建了一个动态的生态系统，其中网络某一部分的中断或破坏可能会对整个系统产生连锁反应。 即使基础建设井然有序，但其他地方的违规行为仍然会影响数据的安全性、隐私性和完整性。如果在世界另一端的另一个企业遭受数据泄露，我们可以采取什么措施？ 第三方违规行为的影响不应被低估，有一些实用方法可以大大降低风险。 第三方违规的影响 在第三方违规场景中，初始违规不是发生在企业自己的网络内，而是发生在与企业有业务关系的第三方实体的网络或系统内。然后，黑客利用这一初始漏洞作为平台，进一步未经授权访问供应链中其他组织的敏感数据或系统。 例如，假设一家金融机构与软件提供商合作来处理其客户数据。如果软件提供商的网络受到黑客的破坏，从而导致金融机构的客户数据暴露，则可能会发生第三方违规行为。 供应链违规的发生方式有多种，第三方违规的影响可能包括： ·敏感数据的暴露，例如客户信息、知识产权、财务记录或商业秘密。 ·由于调查和补救违规行为、通知受影响方、监管机构罚款以及潜在的法律和解而造成的经济损失。 ·运营中断导致停机、生产力损失以及需要额外资源来解决漏洞和恢复系统。 ·声誉受损导致客户丧失信心和潜在商机。 ·如果被攻击的第三方供应商是组织供应链的关键部分，这可能会影响其他企业向客户提供产品或服务的能力。 ·第三方违规行为可能会暴露其他企业自己的系统和基础设施中的漏洞。黑客可能会利用受感染的第三方作为踏脚石来访问更多目标。 SolarWinds 黑客攻击 SolarWinds 是一家提供 IT 管理和监控解决方案的软件公司。在最近的第三方违规案例中，黑客获得了对 SolarWinds 系统的未经授权的访问，产生了重大的连锁反应。 黑客将恶意代码插入 SolarWinds 的软件更新中，然后将其分发给 SolarWinds 的客户，其中包括全球众多政府机构和企业。结果，黑客能够渗透到许多客户的网络，破坏他们的系统并获取敏感数据。 SolarWinds 黑客事件凸显了与第三方供应商相关的风险以及供应链攻击的可能性，攻击者以受信任的供应商为目标，以获得对其全球供应链中多个企业的访问权限。 密码泄露在第三方违规行为中的作用 密码在第三方违规行为中发挥着重要作用。一个严重且经常被忽视的问题是密码重复使用，许多人在多个帐户（包括个人帐户和专业帐户）中重复使用密码。 如果第三方供应商遇到数据泄露并且用户凭据（包括密码）遭到泄露，黑客可以使用这些凭据对使用相同密码的其他帐户进行未经授权的访问。这显著增加了第三方违规的影响。 黑客经常使用自动化工具来测试针对多项在线服务的一次违规行为所导致的受损凭证。这种技术称为凭证填充，它依赖于许多人在不同帐户之间重复使用密码的事实。如果来自受攻击的第三方供应商的用户凭据被成功用于访问其他帐户，则可能会导致未经授权的访问、数据被盗和潜在的财务损失。 而使用密码策略等工具可以持续监控 Active Directory 中是否存在在其他地方遭到泄露的密码。 了解并管理攻击面 外部攻击面管理 (EASM) 在帮助企业预防和减轻第三方违规影响方面可以发挥至关重要的作用。 EASM 解决方案可以扫描和识别连接到企业的所有面向互联网的资产，包括与第三方供应商相关的资产。如果第三方供应商托管服务（例如 EASM 客户的域及其上的网站），则扫描该域就像该域 100% 由 EASM 客户拥有一样。 有了这种可见性，企业就可以了解其攻击面的真实范围，并识别第三方供应商引入的潜在漏洞或弱点。这在一些实际方面将有帮助。 风险评估 EASM平台可以评估企业攻击面的网络安全态势，包括第三方资产（不属于EASM客户自己所有的任何资产）。例如，云托管服务器由亚马逊和微软等大型企业拥有和维护。或者，企业可能会将其网站和在线商店的开发和维护外包给第三方。通过评估第三方资产的因素（例如错误配置、漏洞、暴露的数据库和弱加密），EASM 有助于在潜在风险被攻击者利用之前识别它们。 持续监控 持续监控企业的攻击面（包括第三方资产）使 IT 团队能够实时检测第三方供应商引入的任何更改或新漏洞。通过及时识别和解决这些风险，企业可以防止或最大限度地减少第三方违规行为的影响。 供应商风险管理 EASM 平台可以与供应商风险管理计划集成，使企业能够评估和监控第三方供应商的网络安全状况。然后，企业可以就加入哪些供应商并实施适当的安全控制做出明智的决定。 事件响应 如果发生第三方违规，EASM 解决方案可以提供有价值的见解和数据来支持事件响应工作，最大限度地减少损失并缩短补救时间。

新版本的 BiBi Wiper 恶意软件现在正在删除磁盘分区表，使数据恢复变得更加困难，从而延长了目标受害者的停机时间。 据了解，BiBi Wiper 攻击与一个名为“Void Manticore”(Storm-842) 的疑似伊朗黑客组织有关，该组织隶属于伊朗情报和安全部 (MOIS)。 BiBi Wiper 于 2023 年 10 月首次被 Security Joes 发现，主要针对以色列关键组织进行大规模攻击性网络行动。 Check Point Research 的一份新报告揭示了 BiBi 擦除器的新变种以及同一威胁组织使用的另外两个自定义擦除器，即 Cl Wiper 和 Partition Wiper。该报告还强调了虚空蝎狮和另一个伊朗威胁组织疤痕蝎狮之间的行动重叠，表明两者之间存在合作。 虚假角色和合作攻击 CheckPoint 怀疑 Void Manticore 隐藏在 Telegram 上的“Karma”黑客组织背后，该组织是在 10 月份哈马斯袭击以色列后出现的。Karma 声称对 40 多个以色列组织发起攻击，在 Telegram 上发布被盗数据或擦除驱动器的证据，以扩大其运营损失。 用于阿尔巴尼亚攻击的角色名为“国土正义”，该角色在 Telegram 上泄露了一些被盗文件。这种策略与 Sandworm (APT44) 所遵循的方法非常相似，根据 Mandiant 的说法，Sandworm 隐藏在 XakNet Team、CyberArmyofRussia_Reborn 和 Solntsepek 等黑客活动品牌的 Telegram 频道后面。 另一个有趣的发现是，在某些情况下，虚空蝎狮似乎已经将受损基础设施的控制权交给了疤痕蝎狮。 Scarred Manticore 专注于建立初始访问，主要通过利用 Microsoft Sharepoint CVE-2019-0604 缺陷、执行 SMB 横向移动和收集电子邮件。 然后，受感染的组织将被移交给 Void Manticore，后者负责执行有效负载注入阶段、网络横向移动以及数据擦除器的部署。 伤痕与虚空蝎狮合作图 虚空蝎狮工具 Void Manticore 使用各种工具来执行破坏性操作，包括 Web shell、手动删除工具、自定义擦除器和凭证验证工具。 Karma Shell 是第一个部署在受感染 Web 服务器上的有效负载，它是一个伪装成错误页面的自定义 Web shell，可以列出目录、创建进程、上传文件和管理服务。 通过 Karma Shell 执行的命令 Check Point 发现的 BiBi Wiper 的较新版本会使用随机数据损坏非系统文件，并附加包含“BiBi”字符串的随机生成的扩展名。 BiBi 有 Linux 和 Windows 版本，每种版本都有一些独特的特征和细微的操作差异。例如，在 Linux 上，BiBi 将根据可用 CPU 核心的数量生成多个线程，以加快擦除过程。在 Windows 上，BiBi 将跳过 .sys、.exe 和 .dll 文件，以避免导致系统无法启动。 与过去的恶意软件版本相比，较新的变体仅配置为针对以色列系统，并且不会删除卷影副本或禁用系统的错误恢复屏幕。然而，他们现在从磁盘中删除分区信息，使得恢复数据变得更加困难。 BiBi 和 Partition Wipers 中的分区擦除代码 CI Wiper 首次出现在针对阿尔巴尼亚系统的攻击中，它使用“ElRawDisk”驱动程序执行擦除操作，使用预定义的缓冲区覆盖物理驱动器内容。 分区擦除器专门针对系统的分区表，因此无法恢复磁盘布局，从而使数据恢复工作变得复杂并造成最大程度的损害。来自这些擦除器的攻击通常会导致受害者蓝屏死机 (BSOD) 或重新启动时系统崩溃，因为它们会影响主引导记录 (MBR) 和 GUID 分区表 (GPT) 分区。

往期回顾： 2024.5.6—2024.5.12安全动态周回顾 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾

近期，谷歌宣布 Android 15 和 Google Play Protect 推出的新安全功能，有助于阻止用户设备上的诈骗、欺诈和恶意软件应用，还可以在应用程序被篡改时向开发人员发出提示。 防范间谍软件、银行恶意软件 谷歌在 Android 15 中引入了许多新功能，旨在阻止银行木马和间谍软件窃取用户的信息。 Android 银行木马用于通过显示虚假登录覆盖层、从通知/消息中窃取 MFA 代码以及允许威胁分子远程控制设备来窃取用户银行凭证。 多年来，研究人员已经阐明了 Android 恶意软件通常如何从消息和通知中窃取一次性密码。 去年，新版本的 Xenomorph Android 恶意软件允许从 Google Authenticator 窃取 MFA 代码。 谷歌宣布新的安全功能可以在通知中隐藏一次性密码，从而使恶意软件无法窃取它们。该公司还扩展了其受限设置功能，以包含用户必须明确授予应用程序的附加权限，以防止它们窃取数据。 谷歌表示，他们还推出了新功能，可以防止通过社交工程进行的屏幕共享攻击。 当 Android 处于屏幕共享模式时，操作系统会自动阻止敏感信息出现在通知中，以免被远程威胁分子窃取。在屏幕共享期间，私人通知内容将被隐藏，从而防止远程查看者看到用户通知中的详细信息。 当用户共享屏幕时，在通知中发布 OTP 的应用程序将自动受到远程查看者的保护，从而帮助阻止窃取敏感数据的企图。 这项新功能还可以防止攻击者在屏幕共享会话期间，输入凭据和信用卡信息时看到用户屏幕。今年晚些时候推出的功能还将在屏幕共享处于活动状态时显示更突出的指示器。 最后，谷歌正在推出通知，在连接到未加密的蜂窝网络时提醒用户以阻止 Stingray 攻击。 如果蜂窝网络连接未加密，可能会使语音和短信流量受到无线电拦截，并且可能被其他人看到，谷歌就会发出通知，对用户进行提醒。 未加密的蜂窝网络警告 将人工智能引入 Google Play 谷歌表示，他们正在推出一项名为 Google Play Protect 实时威胁检测的新功能，该功能使用设备上的人工智能来检测 Android 应用程序何时执行可疑行为。 然后，该应用程序将被发送回谷歌进行审查，并警告用户禁用它，直到确定它是否是恶意的。 Google Play Protect 实时威胁检测 对于开发者来说，谷歌更新了 Play Integrity API，允许开发者检查应用程序是否在安全环境中运行。 目前，API 现已更新，允许开发人员检查以下应用内信号： ·屏幕捕获或远程访问的风险 开发人员可以检查是否有其他正在运行的应用程序可能正在捕获屏幕、创建覆盖或控制设备。这对于想要向其他应用隐藏敏感信息并保护用户免受诈骗的应用很有帮助。 ·已知恶意软件的风险 开发人员可以在执行敏感操作或处理敏感数据之前检查 Google Play Protect 是否处于活动状态，以及用户设备是否没有已知恶意软件。这对于金融和银行应用程序尤其有价值，无疑是增加了另一层安全性来保护用户信息。 ·来自异常设备的风险 开发人员还可以选择接收最近的设备活动，以检查设备是否进行过多的完整性检查。 谷歌表示，所有这些功能将在今年通过 Google Play 服务更新和 Android 15 向 Android 用户推出。

苹果公司在其最新的年度欺诈预防分析报告中表示，四年来，该公司的反欺诈技术已阻止了超过 70 亿美元的潜在欺诈交易。 从 2020 年到 2023 年，该公司还检测到超过 1400 万张被盗卡。去年的统计数据显示，苹果拦截了 18 亿美元的可疑交易，略低于 2022 年拦截的 20 亿美元。 该报告还指出，苹果公司还于 2023 年全年阻止了 350 万张被盗信用卡在其 App Store 上进行购物，并禁止超过 110 万个账户再次进行交易。 在应用程序安全和隐私政策执行方面，苹果去年拒绝了超过 170 万个不符合 App Store 隐私、安全和内容标准的应用程序提交。其中，248000 个因垃圾邮件、山寨或误导用户而被拒绝，38000 个因包含隐藏或未记录功能而被拒绝，375000 个因各种隐私侵犯而被拒绝，47000 个因盗版店面非法应用程序被拒绝，40000 个被删除或拒绝因为他们采用“诱饵和转换”策略，有98000个被视为“潜在欺诈”并被主动屏蔽。 由 500 名专家组成的应用程序审核团队在 2023 年审查了 690 万个应用程序提交，发现了导致 170 万个请求被拒绝的违规行为。 此外，苹果去年终止了 118000 个帐户，并拒绝了 91000 个帐户。客户账户还被发现存在欺诈行为（1.53 亿）或从事非法活动（3.74 亿），导致其被封锁或停用。 最后，在 2023 年用户向 App Store 提交的 11 亿个应用评分和评论中，有 1.52 亿个被视为虚假/欺诈并被删除。 Apple 承诺将继续努力，确保 App Store 的安全性和完整性，投资于安全性，扩大反欺诈举措，并进一步加强 Apple Pay 和 StoreKit 等安全支付技术。 其实，用户也可以采取行动保护自己免受欺诈。在这种情况下，建议： ·仅从官方应用程序商店下载应用程序，避免审查不严格的第三方应用程序商店或可疑网站。 ·仔细阅读用户评论并寻找欺诈迹象，例如可疑的高评论但几乎没有详细的评论。 ·仅使用拥有信誉良好的开发人员提供的软件。 ·注意应用程序请求的权限并拒绝不必要的权限。 ·定期将设备的操作系统和应用程序更新到最新版本。 ·删除不再需要的应用程序并撤销不再使用的应用程序的权限。 尽管应用程序商店中包含严格的政策，但一些威胁分子仍然设法绕过审查机制并种植不良应用程序。今年，苹果存储库中出现了两起备受瞩目的假冒应用程序案例，其中一起模仿 LastPass 密码管理器，另一起模仿 Leather 加密货币钱包，对用户来说，网络防范意识依旧不能少！

INC Ransom 是一项于 2023 年 8 月推出的勒索软件即服务 (RaaS) 操作，一位名为“salfetka”的网络犯罪分子声称正在出售 INC Ransom 的源代码。 INC 此前的目标是施乐商业解决方案公司 (XBS) 的美国分部、菲律宾雅马哈汽车公司，以及苏格兰国家医疗服务体系 (NHS)。 在涉嫌出售的同时，INC 赎金业务正在发生变化，其核心团队成员之间或许已存在裂痕，或计划进入涉及使用新加密器的方向。 源码出售 威胁分子宣布在 Exploit 和 XSS 黑客论坛上出售 INC 的 Windows 和 Linux/ESXi 版本，要价 30 万美元，并将买家数量限制为三个。根据发现此次销售的 KELA 威胁情报专家提供的信息，论坛帖子中提到的技术细节，例如在 CTR 模式下使用 AES-128 和 Curve25519 Donna 算法，与 INC Ransom 的公开分析一致样品。 涉嫌出售源代码 “salfetka”自 2024 年 3 月以来一直活跃在黑客论坛上。该威胁分子此前曾希望以高达 7000 美元的价格购买网络访问权限，并从勒索软件攻击收益中向初始访问经纪人提供提成。 增加销售合法性的另一点是“salfetka”其签名上包括新旧 INC 勒索页面 URL，表明它们与勒索软件操作有关联。 尽管如此，这次销售可能是一个骗局，威胁分子在过去几个月里精心策划了“salfetka”帐户，宣称有兴趣购买网络访问权限，并设定了高价标签以使报价看起来合法。 目前，INC的新旧网站上都没有关于出售该项目源代码的公告。 INC 搬迁至新地点 2024 年 5 月 1 日，INC Ransom 在其旧泄露网站上宣布，将转移到新的数据泄露勒索“博客”，并共享新的 TOR 地址，并表示旧网站将在两到三个月内关闭。 旧 INC 勒索网站宣布迁移至新 URL 目前，新网站已经上线，受害者列表与旧门户有一些重叠，并且旧网站上没有看到十二个新受害者。 新网站总共列出了 64 名受害者（12 名新受害者），而旧网站有 91 条帖子，因此 INC 过去的受害者大约有一半失踪。“两个地点之间的差异可能表明某个行动可能经历了领导层变更或分裂成不同的团队，”KELA 的分析师评论道。 然而，“salfetka”在其所谓的项目中引用了这两个网站，在这种情况下，创建新博客可能是为了从销售中获得更多利润。 还值得注意的是，INC 的新勒索页面设计在视觉上与 Hunters International 的设计相似，这可能表明与其他 RaaS 操作存在联系。 新的 INC 勒索勒索网站 与允许安全分析师破解勒索软件变种加密的公开泄密相反，没有可用解密器的变种的私人源代码销售有可能给全球带来麻烦。 这些勒索软件构建者是由刚进入该领域的威胁分子或希望使用更强大且经过充分测试的加密器来提高游戏水平的半成熟团体购买的。当提供 Linux/ESXi 版本时尤其如此，该版本通常开发起来更具挑战性并且获取成本更高。 当勒索软件团伙重新命名时，他们通常会重用旧加密器的大部分源代码，从而使研究人员能够将旧团伙与新的行动联系起来。使用其他勒索软件操作的加密器也可以达到目的，因为它会混淆执法和研究人员的踪迹。

一种名为“TunnelVision”的新攻击可以将流量路由到 VPN 加密隧道之外，从而使攻击者能够窥探未加密的流量。 Leviathan Security 的报告中详细描述了该方法，它依赖于动态主机配置协议 (DHCP) 选项 121 的滥用，该选项允许在客户端系统上配置无类静态路由。 攻击者设置恶意 DHCP 服务器来更改路由表，以便所有 VPN 流量直接发送到本地网络或恶意网关，而不会进入加密的 VPN 隧道。 该报告中写道：“我们的技术是在与目标 VPN 用户相同的网络上运行 DHCP 服务器，并将 DHCP 配置设置为将自身用作网关。当流量到达网关时，会使用 DHCP 服务器上的流量转发规则将流量传递到合法网关，同时监听它。” 开采过程 该问题在于 DHCP 缺乏可操纵路由的传入消息的身份验证机制，并被分配了漏洞标识符 CVE-2024-3661。 安全研究人员指出，该漏洞至少自 2002 年起就已被恶意分子利用，但尚无已知的主动利用案例。 Leviathan 已通知受影响的供应商以及 CISA 和 EFF。研究人员现已公开披露该问题以及概念验证漏洞，以提高人们的认识并迫使 VPN 供应商实施保护措施。 减轻 TunnelVision 攻击 如果用户将设备连接到由攻击者控制或存在攻击者的网络，则他们更容易受到“TunnelVision”攻击的影响。 可能的场景包括咖啡店、酒店或机场等公共 Wi-Fi 网络。目标设备上的 VPN 容易受到路由操纵，大多数使用系统级路由规则而没有防泄漏保护措施的 VPN 客户端通常都会出现这种情况。 最后，需要在目标设备上启用自动 DHCP 配置，以便在网络连接期间应用恶意 DHCP 配置。 这又是一种常见的配置。但应注意，要使这种攻击发挥作用，用户必须先连接到合法 DHCP 服务器，然后再连接到恶意 DHCP 服务器。 研究人员表示，攻击者可以通过多种方式增加其恶意服务器首先被访问的机会，包括针对合法服务器的 DHCP 饥饿攻击。 ·在 Linux 上使用网络命名空间将网络接口和路由表与系统的其余部分隔离，防止恶意 DHCP 配置影响 VPN 流量。 ·配置 VPN 客户端以拒绝所有不使用 VPN 接口的入站和出站流量。例外情况应仅限于必要的 DHCP 和 VPN 服务器通信。 ·将系统配置为在连接到 VPN 时忽略 DHCP 选项 121，这可以防止应用恶意路由指令，但在某些配置下可能会破坏网络连接。 ·通过个人热点或虚拟机 (VM) 内进行连接。这将 DHCP 交互与主机系统的主网络接口隔离，从而降低了恶意 DHCP 配置的风险。 ·避免连接到不受信任的网络，尤其是在处理敏感数据时，因为这些是此类攻击的主要环境。 VPN 提供商应增强客户端软件以实施自己的 DHCP 处理程序或集成额外的安全检查，以阻止应用有风险的 DHCP 配置。

黑客一直使用过时版本的 LiteSpeed Cache 插件来攻击 WordPress 网站，以创建管理员用户并获得网站的控制权。 LiteSpeed Cache (LS Cache) 是一种缓存插件，在超过 500 万个 WordPress 网站中使用，该插件有助于加快页面加载速度、改善访问者体验并提高 Google 搜索排名。 Automattic 的安全团队 WPScan 在 4 月份观察到，威胁分子使用 5.7.0.1 之前版本的插件扫描和破坏 WordPress 网站的活动有所增加，这些网站很容易受到高严重性 (8.8) 未经身份验证的跨站点脚本漏洞的攻击，该漏洞被追踪为CVE-2023-40000。 扫描易受攻击的站点时，来自一个 IP 地址 94[.]102[.]51[.]144 的探测请求超过 120 万个。 WPScan 报告称，这些攻击利用注入关键 WordPress 文件或数据库的恶意 JavaScript 代码，创建名为“wpsupp-user”或“wp-configuser”的管理员用户。 感染的另一个迹象是数据库中“litespeed.admin_display.messages”选项中存在“eval(atob(Strings.fromCharCode”)字符串。 恶意 JS 代码创建流氓管理员用户 很大一部分 LiteSpeed Cache 用户已迁移到不受 CVE-2023-40000 影响的更新版本，但仍有相当多的用户（高达 1,835,000）运行易受攻击的版本。 定位电子邮件订阅者插件 攻击者在 WordPress 网站上创建管理员帐户能够完全控制网站，从而允许他们修改内容、安装插件、更改关键设置、将流量重定向到不安全的网站、分发恶意软件、网络钓鱼或窃取可用的用户数据。 近期，Wallarm 报告了另一项针对名为“电子邮件订阅者”的 WordPress 插件的活动，旨在创建管理员帐户。 黑客利用了 CVE-2024-2876，这是一个严重的 SQL 注入漏洞，严重程度为 9.8/10，影响插件版本 5.7.14 及更早版本。 在观察到的攻击实例中，CVE-2024-27956 已被用来对数据库执行未经授权的查询，并在易受攻击的 WordPress 网站（例如以“xtw”开头的网站）上建立新的管理员帐户。 尽管“电子邮件订阅者”的受欢迎程度远不如 LiteSpeed Cache（总共有 90000 个活跃安装），但观察到的攻击表明，黑客不会放过任何一个攻击机会。 建议 WordPress 站点管理员将插件更新到最新版本，删除或禁用不需要的组件，并监控正在创建的新管理员帐户。 如果确认违规，则必须进行全面的站点清理。该过程需要删除所有恶意帐户，重置所有现有帐户的密码，并从干净的备份中恢复数据库和站点文件。

往期回顾： 2024.4.29—2024.5.5安全动态周回顾 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾

“暗网”一词总让人想起网络犯罪、间谍活动等阴暗面。其实，“暗网”网站只是以 .onion 结尾的网站，需要通过特殊的浏览器进行访问。 有网络安全公司长期以来一直在销售“暗网监控”软件包，每个软件包的含义都略有不同。 在许多情况下，网络安全研究人员一直在积极寻找暗网的价值，特别是当供应商以综合包的形式出售时，但这样其价值往往与企业的安全需求不一致。在许多情况下，初创公司和其他小型组织往往因为规模较小而成为暗网目标。 接下来，本文将探讨暗网监控的安全价值。 暗网违规监控 第一个也是最重要的区别之一是监视 .onion 站点及其上托管的文件。您是否曾收到过关于您的网站或应用程序凭据遭到泄露的警报？当威胁分子破坏服务（或发现暴露的云存储桶）时，他们通常会获得该服务用户凭据的庞大数据库。 新的被破坏的凭据集以大文件的形式分布在命名的Breach论坛和其他 .onion网站上。 然后，其他威胁分子就能够购买这些数据，并针对用户注册的其他网站重放被破坏的凭据。例如，如果威胁分子知道您最近在企业会计应用程序上使用了电子邮件地址和密码，他们可以在企业银行网站上尝试使用相同的凭据。这种形式的监控是暗网监控最基本但也是最可操作的形式之一。 威胁分子在暗网论坛上打广告，出售超过 2.5 亿人的数据 暗网论坛、市场和勒索软件监控 监控的下一个级别是收集和存档暗网页的实际内容。这包括有关网络犯罪、策略、技术和程序的对话，以及威胁分子正在出售的企业访问权限列表等内容。 主要针对复杂的企业，这些企业不仅需要识别泄露的凭据，而且更需主动了解网络犯罪生态系统及其演变方式。 监控暗网上的初始访问代理 在某些情况下，有机会阻止正在进行的攻击。例如，初始访问经纪人侵入公司，然后在专门的暗网论坛上转售获得的访问权限。确定您的企业或第三方拥有正在出售的网络访问权限可能拥有巨大价值。 初始访问经纪人出售一家航空航天和国防公司的访问权资料 企业可以从暗网监控中获得的另一个关键价值领域是监控。近年来，勒索软件组织越来越多地转向双重和三重勒索计划，旨在对受害者施加最大压力，要求其支付赎金。 因此，勒索软件组织现在会将窃取数据进行加密，如果受害者不付款，就会将其发布到暗网泄露网站上。 人们一般会意识到自己是否是勒索软件的受害者，许多企业发现第三方在事后数周或数月后泄露了大量敏感文件。 监控赎金泄漏站点具有巨大价值，特别是如果您的暗网监控平台可以解析文件档案并匹配单个文件名时。 目前，俄罗斯市场是 2024 年需要监控的重要来源。在“窃取日志”市场，威胁分子在此出售个人窃取日志。 俄罗斯市场（盗窃原木的市场）的屏幕截图 窃取日志是信息窃取者恶意软件感染的结果，包括单个浏览器保存的所有凭据。 例如，建议监控对公司域的访问，以识别也包含对公司凭据的访问权限的列表。窃取者日志是 2024 年威胁分子和勒索软件组织的首要攻击媒介。 窃取者日志中存储的信息包括保存到浏览器的密码 扩展暗网：监控 Telegram、窃取者日志和网络犯罪生态系统的演变 网络犯罪生态系统不再局限于 Tor 上的 .onion 网站。现在威胁分子现在经常使用 Telegram 等即时消息应用程序实施网络犯罪、出售数据并相互交互。 现在有数千个 Telegram 频道一心专注于 Telegram 上的银行欺诈、账户被盗、凭证盗窃和窃取者日志分发。 有安全研究机构跟踪有 6000 多个网络犯罪 Telegram 频道，每周监控有来自 Telegram 的超过一百万个窃取者日志。Telegram、其他社交媒体和 P2P 即时通讯应用程序绝对是网络犯罪生态系统增长的关键载体。 从数量、可操作性和安全价值来看，对窃取者日志生态系统进行全面监控是绝对必要的。估计 5%-10% 的窃取者日志拥有企业凭据，在某些情况下，CRM、企业银行账户、VPN 和 RDP 访问权限已泄露到 Telegram 中。 暗网监控并不是“可操作性低”的销售噱头，而是有效信息安全计划的关键组成部分，可帮助企业识别对其网络安全态势的外部威胁。

经过四年的漫长调查，联邦通信委员会已认定美国四大无线运营商在共享客户位置数据方面违反了相关法律法规。 美国联邦通信委员会对美国电话电报公司、斯普林特公司、T-移动公司和Viizon公司共处以近2亿美元的罚款，罪名是“未经同意，未采取合理措施，非法共享客户的地点信息，造成未经授权信息泄露。” 罚款分为斯普林特1200万美元，T-移动8000万美元(现已与斯普林特合并)，AT&T超过5700万美元，Viizon近4700万美元。 联邦通信委员会将重点放在航空公司拥有的一些敏感实时位置数据上，发现四大运营商中都在出售其客户的位置信息，随后便将此类信息的访问权转售给第三方定位服务提供者。 据悉，美国法律包括通信法，要求承运人采取合理措施保护客户信息，其中就包括地点信息。 无线运营商试图将获得客户同意的义务转移到位置信息的下游接收方，但最终没有得到有效的客户同意。尽管承运人知道这一点，但他们依旧继续出售获取位置信息的途径，而不采取合理措施保护其不受未经授权信息的获取，这样的行为以至于任何人都可以滥用这一服务来找到北美几乎所有移动电话的位置。

DDoS攻击是一种持续增长的严重风险，可能导致网站瘫痪、服务器崩溃，并通过不间断的攻击流量阻止合法用户访问。 研究人员最近发现，仅在2023年，威胁分子在全球就发起了13,142,840次DDoS攻击。 技术分析 这些攻击往往会使公司业务活动陷入停顿，遭受财务损失，从而威胁到企业安全。如果没有采取足够的防护措施，将会在面临攻击时不知所措，盲目应对，而这种应对方式可能会造成更大的损害，且不会取得任何实际成果。 研究人员强调，与其在最后一刻才对敌对攻击做出反应，不如提前准备好正确的信息和保护工具。 因此，使用具有预测性实时威胁情报的高级DDoS防护，以在威胁影响基础设施之前识别威胁尤其重要。 此外，该防护措施可以立即自动缓解攻击，通过确保企业运营的连续性和重要服务的不间断可用性来减少停机时间。 将被动安全转变为主动安全，使企业能够进行战略规划，并确保其在线安全免受任何威胁，从而保护其系统。 安全建议 以下是有助于防御 DDoS 攻击的一些建议： · 实施DDoS缓解解决方案 · 定期更新和修补系统 · 确保实施Web应用程序防火墙(WAF) · 定期进行安全评估 · 制定和测试事件响应计划 · 实施速率限制和流量过滤 · 使用内容交付网络(CDN) · 对员工进行安全实践教育 · 与安全专业人员和执法部门合作 · 坚持实施冗余和负载平衡。

据网络安全公司的统计数据显示，越来越多的公司拒绝向勒索软件团伙支付勒索赎金， 2024 年第一季度支付赎金的公司达到历史新低，只有 28%。 2023 年第四季度为 29%，自 2019 年初以来，愿意向勒索软件组织支付赎金的企业一直在减少。 这种下降是由于企业进行了更先进的保护措施，以及网络犯罪分子一再违反在支付赎金的情况下不会发布或转售被盗数据的承诺作废致使诚信力缺失。 近年来赎金支付率 然而，值得注意的是，尽管支付率有所下降，但根据 Chainaanalysis 的报告显示，支付给勒索软件组织的金额比以往任何时候都高，去年达到 11 亿美元。 这是由于勒索软件团伙通过提高攻击频率来攻击更多的企业，并要求提供更具体的数字，以防止泄露被盗的秘密并为受害者提供解密密钥。 Coveware 报告称，2024 年第一季度，平均赎金金额环比下降 32%，目前为 381980 美元，而赎金金额中位数环比增加 25%，为 250000 美元。 付款金额趋势 平均赎金金额的下降和中位数赎金金额的增加，表明高额赎金的减少和适度金额的增加。这可能是由于赎金要求变得更加温和或勒索的高价值目标减少所致。 关于初始渗透方法，未知的案例数量不断增加，在 2024 年第一季度达到所有报告案例的近一半。 勒索软件攻击媒介 从已确定的漏洞来看，远程访问和漏洞利用发挥了最大的作用，其中 CVE-2023-20269、CVE-2023-4966 和 CVE-2024-1708-9 缺陷在第一季度被勒索软件运营商利用得最为广泛。 执法效果 Coveware 报告称，FBI 的 LockBit 破坏对网络黑客打击行动产生了巨大影响，正如他们的攻击统计数据所反映的那样，该行动还导致了付款纠纷等，如在 BlackCat/ALPHV 中看到的那样。 2024 年第一季度最活跃的勒索软件组织 此外，这些执法行动削弱了其他勒索软件附属公司对 RaaS 运营商的信心，许多人决定独立运营。 Coveware 在报告中解释道：“最近的攻击中 Babuk 分叉有所增加，而且几个前 RaaS 附属机构正在使用几乎免费的 Dharma/Phobos 服务。” 据该安全公司称，在许多情况下，其附属公司决定完全停止网络犯罪。 网络勒索生态系统中的大多数参与者并不是顽固的罪犯，而是具有 STEM 技能的个人，他们生活在缺乏引渡条约和没有太多可利用合法经济机会来运用其技能的管辖区。 在这个领域，就今年第一季度发起的攻击而言，Akira 名列最活跃勒索软件榜首，至今已连续九个月保持第一名的位置。FBI 报告称，Akira 收取了4200万美元的赎金，并应对至少 250 个企业的违规行为负责。

往期回顾： 2024.4.22—2024.4.28安全动态周回顾 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾

黑客利用旧的 Microsoft Office 漏洞 CVE-2017-8570 部署臭名昭著的 Cobalt Strike Beacon，目标是乌克兰的系统。 CVE-2017-8570：初始向量 该漏洞于2017年首次发现，允许攻击者通过特制文件执行任意代码，使其成为初始访问的有力工具。 活动概览 攻击者使用恶意 PPSX（PowerPoint 幻灯片）文件，伪装成旧的美国陆军扫雷坦克刀片说明手册。 PPSX内容 该文件经过巧妙设计，可以绕过传统的安全措施。它包括与外部 OLE 对象的远程关系，在 HTTPS URL 之前使用“script:”前缀来隐藏有效负载，避免磁盘存储并使分析复杂化。这种技术凸显了攻击者的复杂性以及对隐秘性和持久性的关注。 Deep Instinct Threat Lab在发现和分析此次网络攻击方面发挥了至关重要的作用。但尽管进行了详细分析，但该行动仍无法归因于任何威胁分子，而了解对手对于预测和缓解他们的策略和技术又至关重要。 Cobalt Strike Beacon：定制装载机 此次活动的核心是为 Cobalt Strike Beacon 使用自定义加载程序，Cobalt Strike Beacon 因其强大的命令与控制 (C&C) 功能以及部署更多有效负载的灵活性而成为网络攻击者中流行的工具。 装载机出口表 此次攻击中使用的 Cobalt Strike Beacon 被配置为与 C&C 服务器进行通信，该服务器在托管条件下，巧妙地伪装成流行的摄影网站。 Beacon 的配置包括软件的破解版本（license_id 为 0）以及 C&C 通信的详细说明，包括域名、URI 和用于加密交换的公钥。 这种设置有助于对受感染系统进行强有力的控制。 影响和建议 此次攻击凸显了对网络安全领域保持警惕以及拥有先进检测能力的重要性，建议各企业组织定期更新其系统以修补 CVE-2017-8570 等已知漏洞。

往期回顾： 2024.4.15—2024.4.21安全动态周回顾 2024.4.8—2024.4.14安全动态周回顾 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾