当下黑客中最流行的电子邮件恶意软件投送技术

VSole2022-08-15 08:39:06

随着微软Office“禁宏令”的实施,越来越多的网络犯罪分子开始转向使用快捷方式(LNK)文件来投送电子邮件恶意软件(包括QakBot、IceID、Emotet和RedLine Stealer等)。快捷方式文件正在取代Office宏(现已默认被阻止),成为黑客通过电子邮件投送恶意软件感染PC的流行方式。

电子邮件安全的最新趋势

根据HP Wolf Security最新发布的2022年第二季度威胁洞察报告(提供对现实世界网络攻击的分析)显示,包含恶意软件(包括LNK快捷方式文件)的存档文件增加了11%。攻击者经常将快捷方式文件放在ZIP电子邮件附件中,以帮助他们避开电子邮件安全扫描。

该团队还发现了可以在黑客论坛上购买的LNK恶意软件生成器,可创建武器化的快捷文件并将其传播给企业,网络犯罪分子可以轻松地转向这种“无宏”代码执行技术。

“企业必须立即采取措施,防范越来越受到攻击者青睐的新技术,或者在它们变得普遍时让自己暴露在外。我们建议尽可能立即阻止以电子邮件附件形式接收或从Web下载的快捷方式文件。”报告指出。

除了LNK文件的增加外,报告还强调攻击者正积极使用以下三种恶意软件传播/检测规避技术:

  • HTML smuggling达到临界规模——调查发现了几起网络钓鱼活动冒充本地邮政服务或者重大会议活动(例如2023多哈世博会)以及HTML smuggling来传播恶意软。使用这种技术,原本会被电子邮件网关阻止的危险文件类型可能会被偷运到组织中并导致恶意软件感染。
  • 攻击者利用Follina CVE-2022-30190零日漏洞的漏洞窗口——在其披露后,多个威胁参与者利用了微软支持诊断工具(MSDT)中最近的零日漏洞——被称为“(Follina)”。在该漏洞补丁可用之前分发QakBot、Agent Tesla和Remcos RAT(远程访问木马)。该漏洞特别危险,因为它允许攻击者运行任意代码来部署恶意软件,并且几乎不需要用户交互即可在目标机器上利用。
  • 新颖的执行技术,例如通过隐藏在文档中的shellcode传播SVCReady恶意软件。

报告中的其他主要发现包括:

  • 14%的电子邮件恶意软件绕过了至少一个电子邮件网关扫描程序
  • 威胁攻击者共使用593个不同的恶意软件家族感染企业,而上一季度这个数字为545个
  • 电子表格仍然是最主要的恶意文件类型,但威胁研究团队发现存档威胁增加了11%。这表明攻击者越来越多地在发送文件之前将文件放在存档文件中以逃避检测
  • 69%的恶意软件通过电子邮件传递,网络下载占17%
  • 最常见的网络钓鱼诱饵是商业交易,例如“订单”、“付款”、“购买”、“请求”和“发票
软件黑客
本作品采用《CC 协议》,转载必须注明作者和本文链接
到目前为止,已经确定了六个不同的恶意软件变种。使用 AuKill 的威胁分子在攻击期间充分利用了现有的特权,他们通过其他手段获得了这些特权。2022 年 11 月,Sophos 也详细披露了 LockBit 加盟组织使用一种名为 Backstab 的开源工具,该工具滥用这个驱动程序的过时版本来终止受保护的反恶意软件进程。
暴露在互联网上的未修补的 Citrix NetScaler 系统正被未知威胁行为者作为目标,这被怀疑是勒索软件攻击。
近日,VMware (VMW.N) ESXi 服务器的全球勒索软件黑客攻击已将数千台计算机服务器作为目标。
近三个月前,WannaCry勒索软件关闭了世界各地的医院、电信提供商和许多企业,感染了150多个国家的数十万台计算机,对文件进行加密,然后向受害者收取300至600美元的密钥费用。根据追踪WannaCry赎金支付的Twitter机器人,只有338名受害者支付了300美元的比特币,总计14万美元。虽然大多数受影响的组织现已恢复正常,但世界各地的执法机构仍在追捕中。
澳大利亚内政部长 Clare O’Neil 表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击,攻击者窃取了近千万用户赎金,并按照每位用户数据一美元的价格勒索千万美元。
邮政警察正在调查有关意大利税务机构 l'Agenzia delle Entrate 成为网络攻击的受害者的报道,其中大约78千兆数据被盗。勒索软件黑客盯上意大利税务机关 意大利安莎社报道,据报道,这次攻击是由国际勒索软件黑客组织 LockBit 发起的。IT 安全公司 Swascan 表示,LockBit 在暗网上宣布,它已给内陆税收机构五天的时间支付赎金或查看被盗文件的公布。
2021年7月28日,国际网络安全媒体ThreatPost发布报告称,新出现的勒索软件黑客组织“Haron”和“BlackMatter”疑似与黑客组织“Avaddon”、“DarkSide”和“REvil”存在联系。
莫斯科最近开通了第一个缆车服务,在运行的几天后,缆车系统被黑客入侵,系统的主计算机感染了勒索软件黑客发送消息要求用比特币支付赎金,以解密缆车运营所需的所有电子文件,赎金的数额取决于对支付的反应速度。目前该缆车服务已关闭。
医疗行业网络安全建设长期面临挑战
VSole
网络安全专家