2023年,网络威胁领域将呈现一些新的发展趋势,攻击类型将更加多样化。 例如:从MOVEit攻击中我们可以看到,勒索软件攻击者开始放弃基于加密的勒索软件,转而窃取数据索取赎金; 与此同时,攻击者也在减少对传统恶意软件的依赖,转而转向远程监控和管理(RMM)等合法工具; 此外,基于身份的攻击继续激增,以绕过端点检测和响应(EDR)保护。
近日,专业网络媒体CRN采访了来自Huntress、CrowdStrike、Zscaler、Mandiant、微软和思科的专业安全研究人员,整理了10个值得关注的新兴威胁趋势和黑客攻击方法,包括网络钓鱼和社交工程、数据盗窃和勒索、和软件供应链攻击。
01 最小破坏性攻击
安全研究人员发现,如今的攻击者更专注于窃取数据和获取利润,因此在实施网络攻击时,他们会尽量避免对受害者造成严重损害。 因此,他们不再采用大规模加密数据的攻击方式,而是选择破坏性最小的攻击方式。
研究人员甚至发现,一些攻击者在实施攻击时将自己伪装成某种“安全顾问”。 一些勒索软件攻击者甚至在完成勒索攻击后推出了“安全咨询服务”。 他们将为受攻击的企业提供有偿的安全审计报告,概述如何更有效地保护企业网络系统环境。 通过这些方式,攻击者似乎向受害者表明他们实际上是在“帮助”企业而不是造成伤害。
02新的勒索软件攻击
2023年网络威胁领域的一个新趋势是,由于获得了泄露的源代码和应用构建工具,主要勒索软件攻击团体开始不断改进其攻击技术和模型,使得新一代勒索软件攻击更加复杂并且更加复杂。 有针对性。 当面对新的勒索软件攻击时,大多数组织将极其脆弱且无法抵御。 FBI 在 9 月份发出警告,提醒企业组织关注勒索软件威胁的两个新趋势。 第一个新趋势是威胁组织对同一受害者进行多次勒索软件攻击,而且攻击时间非常接近。 这些攻击通常会部署多种不同的勒索软件变体; 第二个新趋势是勒索软件威胁行为者正在使用新方法在攻击期间破坏数据,部署擦除工具以试图向受害者施压。
03给受害者更大的压力
攻击者普遍认为,只有对受害公司施加更大的压力,才能更好地满足他们的赎金要求。 以勒索软件犯罪组织 Clop 为例,该组织实施了今年最大的勒索软件攻击之一 MOVEitluo 活动。 在竞选期间,克洛普一直在尝试不同的方式来发布和推送这些信息。 最传统的方式是在开放的互联网上建立泄密网站,但此类网站很容易识别和阻止,因此攻击者开始提供窃取的数据洪流文件并使用去中心化的分发系统。 这些 torrent 文件更难删除且下载速度更快。
04联盟合作共赢
在最近针对赌场运营商米高梅和凯撒娱乐的攻击中,研究人员发现了一些令人担忧的因素。 攻击者不仅利用社会工程手段欺骗IT帮助台,还成功获得了非法访问权限。 与此同时,另一个更令人不安的事态发展是,两次攻击背后有多个攻击组织的合作,其中包括英语版的分散蜘蛛黑客组织和俄语版的Alphv勒索软件团伙。 Scattered Spider 使用了 Alphv 提供的 BlackCat 勒索软件,Alphv 是 Alphv 团伙的成员,该团伙以前隶属于 DarkSide(殖民管道攻击背后的组织)。 欧美黑客组织与俄语黑客组织之间的联盟与合作此前非常罕见,这可能会将网络攻击的威胁格局推向令人不安的新方向。
05虚拟设备RaaS
研究人员观察到,勒索软件即服务 (RaaS) 已转向针对 VMware 流行的 ESXi 虚拟机管理程序。 2023 年 4 月,一个名为 MichaelKors 的新 RaaS 组织向其附属机构提供了针对 Windows 和 ESXi/Linux 系统的勒索软件二进制文件。 由于这些虚拟设备上缺乏安全工具、ESXi 接口缺乏足够的网络分段以及大量 ESXi 漏洞使攻击者更容易受到攻击,因此使用特定于 ESXi 的 RaaS 平台已成为网络犯罪分子越来越有吸引力的目标。 容易取得。
06 生成式人工智能威胁
基于生成人工智能的网络攻击是一种非常新的威胁。 它们带来了许多众所周知的安全风险。 其中之一是降低恶意行为者攻击的门槛。 例如,黑客使用 OpenAI 撰写更真实的网络钓鱼电子邮件。 。
安全研究人员还发现了恶意黑客和其他犯罪分子专门使用的生成式人工智能工具,包括 WormGPT、FraudGPT 和 DarkGPT。 甚至 ChatGPT 本身也可以为黑客提供重要帮助,例如改善非英语母语人士的语法。 目前,尚无有效的保护措施来防范基于人工智能的生成式攻击的威胁。
07Deepfake工具
一段时间以来,Deepfakes 一直被认为是潜在的安全威胁,它们可以成功欺骗受害者。 该领域的最新发展是专为网络钓鱼设计的 Deepfake 视频创建软件的出现。 8 月中旬,Mandiant 研究人员在地下论坛上看到了推广该软件的广告。 该软件旨在通过使用 Deepfake 功能帮助恶意组织显得更加个性化。 这是第一个专为网络钓鱼诈骗而设计的深度伪造视频技术。
与此同时,音频深度假货也开始在 2023 年掀起波澜,部分原因是语音克隆软件的日益普及。 音频深度伪造也广泛用于汇款诈骗。 该领域更严重的威胁是,攻击者最终可能能够实现实时语音深度伪造,从而以最小的延迟将自己的语音转换为克隆语音。
08使用 Teams 进行网络钓鱼
2023 年,安全研究人员发现了利用 Microsoft Teams 的攻击活动。 攻击者使用受损的 Microsoft 365 帐户进行网络钓鱼攻击,使用 Teams 消息发送诱饵来引诱用户,并确保多重身份验证 (MFA) 提示获得批准,以窃取目标组织的凭据。 研究人员表示,这个名为 Midnight Blizzard 的组织很可能通过基于 Teams 的攻击来实现其目标。
9 月初,Truesec 调查了另一项活动,该活动使用 Teams 网络钓鱼电子邮件分发旨在安装 DarkGate Loader 恶意软件的附件,该恶意软件可用于执行各种恶意活动,包括部署勒索软件。
同样在 9 月,一个名为 Storm-0324 的网络犯罪组织使用开源工具通过 Microsoft Teams 聊天发送网络钓鱼诱饵来分发攻击负载。 但是,这些攻击与使用 Teams 的 Midnight Blizzard 活动无关。 他们的目的主要是获得进行恶意活动的初始访问权限,例如部署勒索软件。
09双重供应链攻击
2023年3月,广泛使用的通信软件开发商3CX遭受了类似于SolarWinds的严重供应链攻击。 经过调查,研究人员发现,与以往的软件供应链攻击相比防攻击软件,3CX攻击最大的特点是双供应链攻击,因为这是由较早的一次供应链攻击造成的,攻击者篡改了金融机构分发的软件。软件公司交易技术。 因此防攻击软件,该软件包可以被视为导致另一软件供应链攻击的一次软件供应链攻击。 研究人员特别指出,3CX 攻击是在几周而不是几个月内被发现的,这似乎限制了该事件对 3CX 及其最终客户的影响。
10 升级应付账款欺诈
应付账款欺诈(攻击者冒充供应商并使用自己的帐号向目标受害者发送发票)并不是一种新的骗局。 然而,这种威胁现在有了一种新的、更微妙的变体,可用于实施高度针对性的欺骗。 攻击者会通过社会工程进入受害者的电子邮件帐户并篡改电子邮件规则,将公司收到的发票转发给自己并删除发票,从而阻止受害者收到真实的发票。 此后,攻击者更改发票,添加他或她自己的帐号,并将其发送给受害者。
