在Microsoft默认阻止宏后,黑客选择了新的攻击方法

VSole2022-08-02 01:56:34

随着微软采取措施在Office应用程序中默认阻止Excel 4.0(XLM或XL4)和Visual Basic for Applications(VBA)宏,恶意行为体正在通过改进其新策略、技术和过程(TTP)做出回应。

“从2021 10月到2022年6月,VBA和XL4宏的使用减少了约66%,”Proofpoint在与黑客新闻分享的一份报告中说。

取而代之的是,对手越来越多地从支持宏的文档转向其他替代文件,包括ISO和RAR等容器文件,以及传播恶意软件活动中的Windows快捷方式(LNK)文件。

Proofpoint威胁研究和检测副总裁Sherrod DeGrippo在一份声明中表示:“威胁参与者不再直接在电子邮件中分发基于宏的附件,这代表着威胁形势的重大转变”。

“威胁参与者现在正在采取新的策略来交付恶意软件,预计ISO、LNK和RAR等文件的使用将继续增加”。

嵌入在通过钓鱼电子邮件发送的Office文档中的VBA宏已被证明是一种有效的技术,因为它允许威胁参与者在通过社会工程策略诱使收件人启用宏后自动运行恶意内容。

然而,微软计划阻止从互联网下载的文件中的宏,这导致了基于电子邮件的恶意软件活动,尝试用其他方式绕过网络标记(MOTW)保护并感染受害者。

这涉及到ISO、RAR和LNK文件附件的使用,在同一时期,这些附件激增了近175%。据说自2022年2月以来,至少有10名威胁行为者开始使用LNK文件。

通过这些新方法分布的一些著名恶意软件家族包括Emotet、IcedID、Qakbot和Bumblebee。

“一般来说,这些其他类型的文件直接附加到电子邮件中,就像我们以前观察到一个充满宏的文档一样,”DeGrippo在电子邮件回复中告诉黑客新闻。

“还有一些情况下,攻击链更加复杂,例如,最近的一些Qbot活动中,包含ISO的.ZIP嵌入到直接附加到消息的HTML文件中”。

“至于让目标受害者打开并点击,方法是一样的:一系列广泛的社会工程策略让人们打开并点击。我们用于钓鱼的预防措施仍然适用于这里”。

软件黑客
本作品采用《CC 协议》,转载必须注明作者和本文链接
到目前为止,已经确定了六个不同的恶意软件变种。使用 AuKill 的威胁分子在攻击期间充分利用了现有的特权,他们通过其他手段获得了这些特权。2022 年 11 月,Sophos 也详细披露了 LockBit 加盟组织使用一种名为 Backstab 的开源工具,该工具滥用这个驱动程序的过时版本来终止受保护的反恶意软件进程。
暴露在互联网上的未修补的 Citrix NetScaler 系统正被未知威胁行为者作为目标,这被怀疑是勒索软件攻击。
近日,VMware (VMW.N) ESXi 服务器的全球勒索软件黑客攻击已将数千台计算机服务器作为目标。
近三个月前,WannaCry勒索软件关闭了世界各地的医院、电信提供商和许多企业,感染了150多个国家的数十万台计算机,对文件进行加密,然后向受害者收取300至600美元的密钥费用。根据追踪WannaCry赎金支付的Twitter机器人,只有338名受害者支付了300美元的比特币,总计14万美元。虽然大多数受影响的组织现已恢复正常,但世界各地的执法机构仍在追捕中。
澳大利亚内政部长 Clare O’Neil 表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击,攻击者窃取了近千万用户赎金,并按照每位用户数据一美元的价格勒索千万美元。
邮政警察正在调查有关意大利税务机构 l'Agenzia delle Entrate 成为网络攻击的受害者的报道,其中大约78千兆数据被盗。勒索软件黑客盯上意大利税务机关 意大利安莎社报道,据报道,这次攻击是由国际勒索软件黑客组织 LockBit 发起的。IT 安全公司 Swascan 表示,LockBit 在暗网上宣布,它已给内陆税收机构五天的时间支付赎金或查看被盗文件的公布。
2021年7月28日,国际网络安全媒体ThreatPost发布报告称,新出现的勒索软件黑客组织“Haron”和“BlackMatter”疑似与黑客组织“Avaddon”、“DarkSide”和“REvil”存在联系。
莫斯科最近开通了第一个缆车服务,在运行的几天后,缆车系统被黑客入侵,系统的主计算机感染了勒索软件黑客发送消息要求用比特币支付赎金,以解密缆车运营所需的所有电子文件,赎金的数额取决于对支付的反应速度。目前该缆车服务已关闭。
医疗行业网络安全建设长期面临挑战
VSole
网络安全专家