DarkGate 恶意软件正在通过微软群聊进行大肆传播

Andrew2024-02-02 14:00:00


据AT&T Cybersecurity 的研究显示,有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件,从而在受害者系统中安装 DarkGate 恶意软件。


据统计,攻击者现已发送了 1000 多个恶意 Teams 群聊邀请。一旦目标对象接受聊天请求,攻击者会诱骗他们下载一个使用双扩展名的文件,文件名为 "Navigating Future Changes October 2023.pdf.msi",这是 DarkGate 常用的伎俩。


安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器,Palo Alto Networks 已确认该服务器是 DarkGate 恶意软件基础架构的一部分。


由于在默认情况下,微软允许外部 Microsoft Teams 用户向其他用户发送消息,这才给了这种类型的网络钓鱼攻击可乘之机。


AT&T Cybersecurity 网络安全工程师Peter Boyle认为:除非日常的必要业务需使用,否则他建议大多数公司禁用 Microsoft Teams 中的外部访问,因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样,很可能不是那种典型的电子邮件钓鱼诈骗形式。



网络钓鱼群聊 图片来源: AT&T 网络安全


Microsoft Teams 拥有数量庞大的 2.8 亿用户,是威胁行为者眼中的一块“肥肉”。DarkGate 操作员正是利用这一点,通过 Microsoft Teams 推送恶意软件。


去年也出现过类似的活动,恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。


Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络,还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输,攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷,


APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门,它利用这种方式攻击了全球数十个组织,包括政府机构。


DarkGate 恶意软件攻击激增


自去年 8 月 Qakbot 僵尸网络被捣毁后,网络犯罪分子更多地转向 DarkGate 恶意软件加载器,将其作为初始访问企业网络的首选。


而就在 Qakbot 僵尸网络被攻陷之前,有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称,它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。


在开发者发布消息后,就出现了越来越多的 DarkGate 攻击事件,网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。


参考来源:Microsoft Teams phishing pushes DarkGate malware via group chats (bleepingcomputer.com)


软件网络钓鱼
本作品采用《CC 协议》,转载必须注明作者和本文链接
美国司法部在1月26日宣布了针对Hive勒索软件组织的长达数月的破坏活动,该组织针对全球80多个国家的1,500多名受害者,包括医院,学校,金融公司和关键基础设施。自 2022 年 7 月渗透到 Hive 网络以来,联邦调查局已向受到攻击的 Hive 受害者提供了 300 多个解密密钥。最后,该部门今天宣布,与德国执法部门和荷兰国家高科技犯罪部门协调,它已经控制了Hive用来与其成员通信的服务器和网站,破坏了Hive攻击和勒索受害者的能力。
勒索软件已成为一种日益普遍的全球威胁,2021年上半年,在众多网络威胁中表现最为亮眼也最为疯狂。据SonicWall报告称,相比2020年上半年,2021上半年勒索软件攻击数量增长了151%。攻击规模和频率以惊人的速度增长,复杂性和创新水平不断提高,成为政府、企业、个人最为关注的安全风险之一,也是网络安全最重大威胁之一。因此,有必要从发生原因、发展特点、打击措施和防御建议等方面进行分析研究。
国家互联网应急中心(CNCERT/CC)联合国内头部安全企业成立“中国互联网网络安全威胁治理联盟勒索软件防范应对专业工作组”,从勒索软件信息通报、情报共享、日常防范、应急响应等方面开展勒索软件防范应对工作,并定期发布勒索软件动态,本周动态信息如下: 一、勒索软件样本捕获情况
随着网络犯罪分子改变策略,利用当前事件和易受攻击的目标,通过新渠道推进其活动,某些类型的攻击已经升级。近期,微软发布了第二份年度数字防御报告,指出俄罗斯黑客在2020年7月到2021年6月间不仅攻击频率提高,成功入侵比例也从前一年的2成增加到3成,并且渗透政府组织搜集情报的行为也更加频繁,报告同时还将矛头指向朝鲜、伊朗和中国等。此外,报告还重点关注最新颖和与社区相关的威胁。
第4类事故占49%,而去年占所有事故的35%。自我报告的网络犯罪损失总计超过330亿美元。在与大流行有关的网络犯罪报告中,75%以上涉及澳大利亚人损失金钱或个人信息。报告的网络安全事件的平均严重程度和影响有所增加,近一半被归类为“重大”事件。这可能是澳大利亚第一起由网络犯罪事件直接导致的破产案件。
通过分析其多个平台上的数万亿个数据点,网络安全服务商Akamai Technologies公司的研究团队通过流行的网络攻击流量和技术发现了有关威胁行为者行为的新发现。这三份报告指出了最突出的安全趋势,并描绘了当前网络攻击格局的准确地图。 对勒索软件攻击趋势的最新分析突出了风险并提出了缓解措施,而对Web应用程序和API攻击趋势的分析提供了对勒索软件运营商和其他人使用的传播媒介的全新认识。对
网络安全威胁正变得日益复杂,组织日趋严密且资金充沛。安全运营中心是组织的眼睛和耳朵,当可疑或异常的网络安全事件发生时发出警报,其能迅速作出反应,以减少对组织的影响。NOC的主要职责是网络设备管理和性能监测。早期安全运营中心的主要职责包括处理病毒警报、检测入侵和应对意外事件。而安全运营中心在检测和预防这些威胁方面发挥了主要作用。企业在现有的SIEM技术上部署UEBA,以减少误报。
网络安全威胁正变得日益复杂,组织日趋严密且资金充沛。安全运营中心是组织的眼睛和耳朵,当可疑或异常的网络安全事件发生时发出警报,其能迅速作出反应,以减少对组织的影响。NOC的主要职责是网络设备管理和性能监测。早期安全运营中心的主要职责包括处理病毒警报、检测入侵和应对意外事件。而安全运营中心在检测和预防这些威胁方面发挥了主要作用。企业在现有的SIEM技术上部署UEBA,以减少误报。
经济衰退、利率上升、大规模科技裁员,支出也变得保守,对于这些因素的担忧,交易撮合者也因此变得谨慎。
后疫情世界中,勒索软件威胁最受企业安全人员关注,网络钓鱼和高级持续性威胁次之。
Andrew
暂无描述