导言
自 2023 年 1 月出版第一期季刊以来,BlackBerry 《全球威胁情报报告》已迅速成为网络安全行业的重要参考指南。包括首席信息安全官、安全经理和其他决策者在内的全球网络安全专业人士都在使用这份报告,以随时了解影响其行业和平台的最新网络安全威胁和挑战。
在新一期的BlackBerry 中,我们的全球威胁研究和情报团队探讨了政府和公共实体面临的挑战、医疗保健领域的漏洞、金融机构面临的风险以及保护重要基础设施的关键性。我们还加入了新的地缘政治分析和评论部分,为所提供的数据提供了更多的背景和战略视角。报告涵盖 2023 年 3 月至 2023 年 5 月。
以下是其中的一些亮点:
- 90 天的数字。从 2023 年 3 月到 2023 年 5 月,BlackBerry®网络安全解决方案阻止了150 多万次攻击。威胁行为者平均每分钟发动约11.5 次攻击。这些威胁包括每分钟大约1.7 个新型恶意软件样本。这比上一报告期的平均每分钟 1.5 个新样本增加了 13%,表明攻击者正在使其工具多样化,试图绕过防御控制,特别是那些基于签名和哈希值的传统解决方案。
- 目标最多的行业。医疗保健和金融服务行业是最受攻击的行业之一。在医疗保健行业,宝贵数据和关键服务的结合为网络犯罪分子提供了一个有利可图的目标,导致勒索软件团伙直接以医疗保健组织为目标,并导致信息窃取恶意软件或信息窃取程序的扩散。本报告强调了确保患者数据安全和保障不间断提供基本医疗服务的重要性。
- 远程访问增加了网络风险。金融机构因其重要的经济意义和大量的敏感数据而面临着持续的威胁。本报告深入探讨了金融业所面临的挑战,包括日益增多的商品恶意软件、勒索软件攻击以及针对数字和移动银行服务的移动银行恶意软件的兴起。
- 针对特定国家的网络攻击。2023 年第二季度,分别与俄罗斯和朝鲜有关联的 APT28 和 Lazarus Group 非常活跃。这些威胁行为体有专门针对美国、欧洲和韩国的重大历史记录。他们的关注点遍及政府机构、军事组织、企业和金融机构,对国家安全和经济稳定构成严重威胁。这些威胁组织不断调整其技术,使抵御其攻击的难度增加。
- 总结与展望。最后,我们提出结论和 2023 年未来几个月的网络威胁预测。
为了提供具有可操作性和背景的网络威胁情报,"MITRE 常用技术 "和 "应用对策和补救措施 "部分总结了威胁组织使用的前 20 种技术,并将趋势与上一份季度报告进行了比较。例如,我们确认最常用的五种战术属于发现和防御规避类。作为这些战术的一部分,所报告的技术可纳入紫色小组演习,并作为实际威胁建模演习的一部分,用于确定战术、技术和程序 (TTP) 的优先级。
此外,BlackBerry 威胁研究和情报团队使用 MITRE D3FEND™ 为这一期间使用的所有技术制定了一份完整的反措施清单。MITRE D3FEND 可在我们的公共 GitHub 存储库中获取。本报告列出了最有效的西格玛规则,用于检测BlackBerry 由Cylance®AI 支持的网络安全解决方案在本报告期内拦截的 224,851 个独特样本所表现出的恶意行为。我们的目标是让读者能够将我们的发现转化为他们自己的实际威胁捕猎和检测能力。
最后,我要感谢BlackBerry 威胁研究与情报团队的全球精英研究人员,他们不断推出世界一流的市场先导研究,为我们的读者提供信息和教育,同时不断改进BlackBerry 数据和Cylance 人工智能驱动的产品和服务。我们希望您能从我们最新一期的报告中发现详细而可行的数据价值。
伊斯梅尔-巴伦苏埃拉
威胁研究与情报副总裁 BlackBerry
@aboutsecurity
按国家和行业分列的攻击
按国家分列的网络攻击
遭受网络攻击最多的五个国家
图 1 显示了BlackBerry 网络安全解决方案阻止网络攻击次数最多的五个国家以及使用独特恶意样本的国家。与上一报告期一样,BlackBerry 在美国阻止的攻击数量最多。此后,我们在亚太地区看到了增长,韩国和日本进入了我们的前三名。新西兰和香港都进入了前十名。尽管美国仍然位居榜首,但我们注意到观察到这些新样本的国家的多样化程度要高得多。
按行业分类的攻击
根据BlackBerry 的遥测数据,以下是BlackBerry 网络安全解决方案在本报告期内保护的网络攻击分布最广的行业:
- 金融机构
- 医疗服务和设备,包括医院、诊所和医疗设备
- 政府/公共实体
- 关键基础设施
与上次报告相比,本报告所述期间受到攻击的行业更加多样化。图 2 显示了网络攻击在前 3 个行业中的分布情况。它还显示,在阻止的攻击与阻止的独特哈希值之间,行业排名从 1 到 3 呈反比关系:
政府/公共实体
政府组织是具有吸引力的威胁目标,其动机可能是地缘政治、金融或破坏。由于威胁行为者可能包括个人、小团体或国家支持的 APT 团体(使用 APT 策略),政府组织必须抵御各种威胁。
在本报告期内,BlackBerry 网络安全解决方案阻止了 55,000 多起针对政府和公共服务部门的个人攻击,比上一报告期增长了近 40%。
BlackBerry 在北美和亚太地区,网络安全解决方案阻止了最多针对政府实体的攻击,其中澳大利亚、韩国和日本是该地区受攻击最多的国家。
政府面临的最大威胁
在上一报告期内,BlackBerry 威胁研究与情报团队记录了多个针对政府实体的廉价且易于访问的商品恶意软件系列,包括RedLine、Emotet 和RaccoonStealer(RecordBreaker)。商品恶意软件加载器 PrivateLoader 和SmokeLoader也以政府部门为目标。
本报告期内记录了DCRat,又称黑暗水晶 RAT。自 2019 年以来,DCRat 已被普遍观察到,它使威胁行为者能够控制受害者的设备,然后将其作为进入被入侵环境的便捷接入点。
审视更广泛的政府威胁格局
在本报告所述期间,有关勒索软件组织以北美的城市和州政府系统为目标并对其进行入侵的新闻占据了大量篇幅。
今年 3 月,勒索软件组织 LockBit 将加利福尼亚州奥克兰市1作为攻击目标。该组织运营一种勒索软件即服务(RaaS),通常采用多种策略和技术渗透网络,识别关键和机密信息,并将数据外流作为双重勒索伎俩的抵押品,迫使受害者支付更大的赎金要求。此外,在本报告所述期间,威胁组织BlackByte声称对得克萨斯州达拉斯市和佐治亚州奥古斯塔市发动了皇家勒索软件攻击。
Clop 勒索软件集团(又称 Cl0P 或 CLOP)是一个类似的 RaaS,它滥用了托管文件传输 (MFT) 应用程序GoAnywhere 中已打补丁的CVE-2023-06692漏洞。该漏洞曝光后,Clop 声称对本报告所述期间的其他几起攻击负责,其中包括对加拿大多伦多市3的攻击,该组织声称在多伦多对设备进行了加密,并外泄了超过 35,000 名市民的元数据。
波兰也是攻击目标。据路透社报道4 ,波兰税务局在 3 月份遭到了疑似俄罗斯网络攻击的破坏。据波兰信息安全专员5称,与俄罗斯结盟的 NoName 组织策动了这次攻击。
5 月,黑客组织 "神秘小组 "针对塞内加尔政府和财政部网站6发动了分布式拒绝服务(DDoS)攻击。
医疗保健
医疗保健行业是最受威胁者持续攻击的行业之一。由于提供关键服务,医疗保健系统和基础设施不能长时间离线。这使它们成为勒索软件团伙的诱人目标,这些团伙向受害者施压,要求他们迅速付款,以便医疗保健提供商能够恢复服务。根据联邦调查局互联网犯罪投诉中心 (IC3) 最近的一份报告,2022 年,在美国,医疗保健和公共卫生是勒索软件团伙攻击最多的关键基础设施领域,正式报告的攻击次数为 210 次。
医疗保健部门也是攻击目标,因为其系统内的机密数据价值不菲,其中包括个人身份信息(PII),包括姓名、地址、出生日期、社会保险号,通常还有敏感的健康记录。PII 可被进一步用于身份盗窃等犯罪,8在暗网市场论坛上出售,或用于勒索和赎金。
根据美国卫生与公众服务部民权办公室 BreachPortal9 的数据,在本报告所述期间,针对美国医疗保健提供商的 "黑客/IT 事件 "有 146 起 。
最大的医疗威胁
在报告所述期间,BlackBerry 网络安全解决方案检测并阻止了 13,433 个独特的恶意软件二进制文件,并在更广泛的医疗保健领域阻止了超过 109,922 次不同的攻击。
最突出的攻击是使用商品恶意软件,特别是RedLine 等信息窃取程序。另一个普遍存在的威胁是Amadey(一个与同名僵尸网络相连的僵尸),它可以对受感染的主机进行侦查、窃取数据并发送额外的有效载荷。
威胁者还使用 Emotet、IcedID 和 SmokeLoader 等恶意软件系列来攻击医疗保健行业。这些针对医疗保健提供商的攻击有一个共同点,那就是它们都使用了可窃取信息的恶意软件,这些恶意软件还可提供额外的恶意有效载荷。
审视更广泛的医疗保健威胁格局
在本报告期内,整个医疗保健威胁领域发生了多起大规模的著名网络攻击事件。3 月初,西班牙巴塞罗那 Clínic 医院成为勒索软件攻击的受害者10,该攻击被认为是 RansomHouse 网络犯罪组织11所为。这次攻击的目标是医院基础设施中的虚拟机,严重扰乱了预定的医疗服务。一个多星期后,Alliance Healthcare(西班牙领先的药品供应商)成为攻击目标,导致该公司的网站、计费系统和订单处理完全关闭12。
同样在 3 月份,总部位于孟买的制药公司 Sun Pharmaceuticals(印度最大、世界第四大的制药公司)13遭到 ALPHV/BlackCat 勒索软件操作员的攻击,不久后,他们将该公司被盗的数据添加到他们的泄密网站上。大约在同一时期,该组织还攻击了位于宾夕法尼亚州的利哈伊谷健康网络,随后他们威胁要公布女性乳腺癌患者的照片,14这一举动被普遍谴责为网络犯罪行业的新低。
在此期间,国家支持的威胁行为者也被怀疑以医疗保健行业为目标。今年 5 月,韩国执法部门披露,朝鲜黑客入侵了首尔国立大学医院,窃取了机密医疗数据。这次入侵发生在 2021 年年中,随后进行了两年的调查。媒体消息称,Kimsuky APT 组织实施了这次攻击。
这些形形色色的攻击表明,医疗保健行业对各类威胁行为者来说都是一个极具吸引力的目标。由于医疗保健机构通常持有敏感数据并提供关键服务,针对该行业的攻击数量很可能会上升。
财务
金融业是网络犯罪分子经常攻击的目标,他们寻求高额报酬、破坏性影响(包括可能的政府罚款、法律费用、威胁缓解成本和对目标声誉的损害),以及可在暗网论坛上出售的敏感金融数据。这些数据通常会被二级威胁行为者购买,他们会利用这些数据实现其他恶意目标。
在本报告所述期间,BlackBerry 网络安全解决方案阻止了超过 17,000 次针对金融机构的攻击,其中近 15,000 次针对美国机构。其余针对金融部门的攻击是在南美和亚洲国家发现并阻止的。
金融业面临的最大威胁
在本报告所述期间,BlackBerry 遥测技术观察到使用 RedLine 等商品恶意软件的持续趋势,这种恶意软件可以获取包括保存的凭证、信用卡信息和(最新版本的)加密货币在内的信息。BlackBerry 还观察到使用后门恶意软件 SmokeLoader 和开源框架 MimiKatz 的攻击。
在俄语黑客论坛上销售的僵尸网络 Amadey 被发现威胁金融业。Amadey 在等待攻击者命令的同时,会将目标受害者的信息发送回其指挥和控制(C2)系统。Amadey 的主要功能是将恶意有效载荷加载到被攻击的机器上。
审视更广泛的金融威胁格局
在本报告所述期间,金融业(尤其是银行)遭受了大量攻击。金融机构面临的另一个常见威胁是Clop勒索软件,它是CryptoMix勒索软件家族的一个变种。该恶意软件背后的组织还滥用了在 GoAnywhere MFT 软件中发现的一个新漏洞,在最近的银行平台 HatchBank17入侵事件中,该软件出现了一个认证前命令注入漏洞(CVE-2023-066916)。
在本报告所述期间的早期,Lockbit 3.0 背后的 RaaS 组织将目标锁定在印度的一家非银行金融公司 FullertonIndia18上。攻击背后的组织声称窃取了超过 600GB 的数据,并在其暗网泄漏网站上分享了这些数据。
在澳大利亚,贷款巨头 Latitude FinancialServices19和澳大利亚联邦银行印尼分行20 都在 2023 年早些时候成为网络攻击的目标。
金融部门也成为新的安卓恶意软件的攻击目标。名为 "变色龙 "21的安卓木马模仿波兰 PKO 银行的电子银行服务应用程序,欺骗受害者。Xenomorph 安卓恶意软件组织发布了更新版本,据报道窃取了全球 400 多家银行22的凭证。
关键基础设施
由于可靠的关键基础设施是提供全体人民赖以生存的基本服务的必要条件,因此基础设施是敌对民族国家和其他策划袭击的团体的高价值目标。正如我们在上一份报告中指出的,乌克兰的能源部门一直是疑似俄罗斯支持的团体的物理和数字攻击目标。鉴于歹徒、政府和关键基础设施日益关注操作技术 (OT) 的安全漏洞,各实体必须优先考虑其基础设施的安全。
在本报告所述期间,BlackBerry 遥测技术记录了针对美国基础设施的最多攻击,其次是印度、日本和厄瓜多尔。总体而言,在本报告所述期间,BlackBerry 网络安全解决方案阻止了超过 25,000 次针对关键基础设施的攻击。
关键基础设施的首要目标
关键基础设施通常与其他系统隔离,以减轻外部威胁。然而,IT 和 OT 生态系统日益数字化以及与物联网 (IoT) 的整合可能会带来不可预见的风险。随着新技术的采用,复杂的网络威胁无疑也会随之而来。除了破坏基础设施,网络犯罪分子还试图访问数据和系统。
商品恶意软件对基础设施的威胁也越来越大。例如,BlackBerry 就检测到了商品恶意软件 Vidar infostealer。
研究更广泛的关键基础设施威胁形势
在本报告所述期间,发生了几起针对关键基础设施的攻击事件,其中最引人注目的 是据称由中国国家支持的威胁行为者 Volt Typhoon 对美国的攻击。根据微软的研究,23Volt Typhoon 主要从事间谍活动。该组织利用 "靠天吃饭"(LotL)24技术,入侵网络设备,在不被发现的情况下输送网络流量。
今年 4 月,一个被认为是 X_Trader 供应链攻击25幕后黑手的疑似朝鲜组织与美国和欧洲的关键基础设施受到攻击有关。地缘政治紧张局势的加剧提高了公众对西方关键基础设施所面临威胁的认识。例如,英国国家网络安全中心(National Cyber Security Center,NCSC)发布警报26呼吁提高警惕,因为同情俄罗斯入侵乌克兰的国家结盟威胁行为者的活动有所增加。
地缘政治分析与评论
我们生活在一个数字地缘政治时代。恶意网络活动已成为一些民族国家投射力量、瓦解对手、实现地缘政治目标的常用手段。正如加拿大网络安全中心(Canadian Centre for Cyber Security)在其《2023-24 年国家网络威胁评估》(National Cyber Threat Assessment for 2023-24 )27中所述,网络威胁活动 "已成为国家在不达到冲突门槛的情况下影响事件的重要工具"。28随着越来越多的 IT 和 OT 基础设施上线,网络活动很可能会继续被用作实现经济、社会、地缘政治和军事目的的工具。
在本报告所述期间,根据BlackBerry 的记录,BlackBerry 网络安全解决方案阻止的针对公共部门实体的网络攻击数量增加了近 40%。关键基础设施部门已成为国家支持的网络行为者的战略目标,因为政府在提供基本服务过程中的宕机尤其有害,会破坏公众的信任。因此,由澳大利亚、加拿大、新西兰、英国和美国组成的情报联盟 "五眼 "政府一直评估认为,国家支持的网络行为者 "几乎肯定在对关键基础设施进行侦查活动",目的是 "预先部署在工业 OT 网络上",并 "发出恐吓信息,说明其威胁民众健康和安全的权力和能力"(《加拿大的网络威胁》)。(加拿大石油和天然气部门面临的网络威胁》,29加拿大网络安全中心,2023 年;另见 CISA 网络安全警报和建议)30。
面对不断升级的网络攻击,各国政府正在加强合作,帮助调查、应对和从事 件中恢复。例如,2022 年,当哥斯达黎加31 、阿尔巴尼亚32和黑山33 等国政府面临关键基础设施遭受网络攻击时,美国和其他盟国伙伴国迅速动员起来帮助这些国家。最近,在加拿大温哥华,约 30 多个国家的政府重申,有必要开展广泛的国际合作,以应对网络威胁,并在网络空间坚持负责任的国家行为(见 "温哥华会议后敦促各国在网络空间负责任")34。
随着乌克兰敌对行动的持续,地缘政治与网络攻击之间的联系也变得越来越清晰。澳大利亚、加拿大、新西兰、英国和美国已多次发布联合网络通告35,警告 "俄罗斯国家支持的 "和 "与俄罗斯结盟的 "非国家黑客犯罪团伙可能针对关键基础设施开展网络活动,以支持俄罗斯入侵乌克兰。在本报告所述期间,BlackBerry 记录了疑似与俄罗斯有关联的威胁行为者针对欧盟外交使团和向乌克兰难民提供医疗支持的美国医疗实体的攻击。我们预计,随着这场地缘政治危机的升级,这一趋势将持续下去。
制止的威胁总数
从 2023 年 3 月到 5 月,BlackBerry 网络安全解决方案阻止了 1,528,488 次网络攻击。在此期间,威胁行为者平均每天针对BlackBerry 客户部署 16,614 个恶意软件样本。平均每分钟部署 11.5 个恶意软件样本。
这些样本包括 224,851 个新的和独特的恶意软件样本。平均而言,这相当于每天 2,444 个新样本或每分钟 1.7 个新样本。这比上一报告期的平均每分钟 1.5 个新样本增加了 13%。
下图显示了BlackBerry 由Cylance AI 支持的网络安全解决方案在此期间阻止的网络攻击动态。
威胁行为者和工具
在本报告所述期间,由Cylance AI 驱动的BlackBerry 网络安全解决方案为客户抵御了这些高级威胁行为体和工具。
威胁行动者
APT28
APT28 又称 Sofacy/Fancy Bear,是一个技术娴熟、资源充足的网络间谍组织,被广泛认为36代表俄罗斯政府运作,主要针对西方国家及其盟友。该组织至少从 2007 年开始活跃,目标涉及政府、军事、国防承包商和能源公司等多个领域。该组织被怀疑参与了高级持续威胁 (APT) 活动,包括 "典当风暴行动"(Operation Pawn Storm)和 "索菲斯行动"(Operation Sofacy)。
2015 年 11 月,该组织开始使用一种名为 "Zebrocy "的武器,它有三个主要组件:下载器和滴入器,可以发现运行中的进程并将恶意文件下载到系统中;后门,可以在系统中建立持久性并外泄数据。
拉扎罗斯集团
拉扎罗斯集团37又名迷宫 Chollima、隐藏的眼镜蛇、和平守护者、锌和镍学院,据信是北朝鲜国家支持的网络威胁集团,归属于北朝鲜侦察总局情报机构。该组织至少从 2009 年起就开始活跃,据说对 2014 年 11 月索尼影视娱乐公司遭受的破坏性雨刷攻击负责,该攻击是名为 "大片行动"(Operation Blockbuster)活动的一部分。
该团伙使用了一种名为Manuscrypt39的定制远程访问木马(RAT),它可以收集系统信息、执行命令和下载附加有效载荷。
工具
广告查找
AdFind 是一款开源命令行工具,可从 Active Directory (AD) 中收集信息。AdFind 在发现阶段用于收集受害者的 AD 数据。
米米卡兹
Mimikatz 是一个开源渗透测试(pen-testing)框架和工具,具有测试网络安全和加固系统的多种功能。Mimikatz 可以提取密码和凭证等机密信息,并提供许多其他功能,帮助安全专业人员识别漏洞,包括基于Windows® 的计算机上的权限升级。由于 Mimikatz 功能强大,威胁者经常滥用它来达到恶意目的。
钴罢工
CobaltStrike®40是一个商业对手模拟平台,可以执行有针对性的攻击,并模拟高级威胁行为者的后剥削行动。安全专业人员通常使用该工具进行笔测试,以评估和测试网络与计算机系统的安全性。
Cobalt Strike Beacon 是一种轻量级无文件代理,可部署在受害者的设备上,提供文件传输、键盘记录、权限升级、端口扫描等功能。这些功能经常被安全专家用来模拟威胁和测试网络防御,但也经常被威胁行为者滥用。
极端 RAT
Extreme RAT(又名 XTRAT、Xtreme Rat)是一种远程访问木马工具,其功能包括上传和下载文件、注册表管理、执行 shell 命令、截图、操纵运行中的进程和服务,以及通过设备的麦克风或网络摄像头录音。这种 RAT 曾在 2012 年和 2015 年针对以色列41和叙利亚42政府的攻击中使用,也曾被许多不同威胁行为体用于其他攻击。
最流行的恶意软件家族
视窗
投放器/下载器
Emotet
在过去的十年中,Emotet已经从最初的独立银行木马发展成为恶意软件即服务 (MaaS),在被称为 Epoch1、Epoch2 和 Epoch3 的三个僵尸网络背后运行。这些僵尸网络充当TrickBot、IcedID、Bumblebee Loader 等其他各种商品恶意软件的交付机制,据悉还部署了恶意的Cobalt Strike Beacons。
过去,臭名昭著的Ryuk 勒索软件团伙曾使用 Emotet 与 TrickBot 结合来帮助访问受害者环境。Emotet 使用垃圾邮件和受感染的Microsoft®Office 文档作为主要感染载体。在经历了执法部门的打击和不止一次的自我休假后,Emotet 仍然存在于当今的威胁环境中。
私有加载器
PrivateLoader 于 2022 年首次出现在威胁环境中,与按安装付费服务相连。PrivateLoader 以 "破解"(或修改)软件的木马化版本为主要感染载体,在众多活动中被用于传播各种商品恶意软件,包括RedLine、Remcos、njRAT、SmokeLoader 等。BlackBerry 遥测结果表明,PrivateLoader 今后很可能会成为不受欢迎的常客。
烟雾装载机
SmokeLoader是威胁领域的一个常见特征,自 2011 年出现以来不断演变。在 2014 年之前,它主要被基于俄罗斯的威胁行为者使用,并被用来加载一系列恶意软件,包括勒索软件、信息窃取程序、加密程序和银行木马。SmokeLoader 通常通过垃圾邮件、武器化文档和鱼叉式网络钓鱼攻击传播。一旦被安装到受害者主机上,SmokeLoader 就会创建一个持久机制,以便在重启后继续存在;执行 DLL 注入以试图隐藏在合法进程中;执行主机枚举;以及下载/加载附加文件或恶意软件。SmokeLoader 还包含反沙箱和反分析技术,如代码混淆。
在上次报告所述期间,SmokeLoader 被两次用于针对乌克兰实体的执行链,其中包括档案、诱饵文件、JavaScript 加载器,以及使用 PowerShell 来交付 SmokeLoader 有效载荷。
信息窃取者
红线
RedLine 是一款著名的基于 .NET 的信息窃取软件,以 Windows 系统为目标。根据BlackBerry 的遥测数据,RedLine 是在此期间观察到的最广泛的恶意软件家族之一。全球威胁情报报告--2023 年 4 月》中也讨论了这一广泛存在的恶意软件系列。
RedLine 是一种相对廉价的信息窃取程序,它试图从受感染的系统中窃取个人信息,如密码、社会安全号和保存在浏览器中的信用卡信息。此外,RedLine 还能收集并向攻击者发送受害者设备上安装的应用程序(包括安全软件)列表,帮助攻击者策划二次攻击。RedLine 还能执行命令,通常是多级执行链的一个组成部分。
RedLine 在地下论坛上广泛传播,可作为独立产品或 MaaS 订阅包的一部分出售。在撰写本文时,购买价格约为 100 至 150 美元。
RedLine 的受欢迎程度和造成破坏的能力是其多功能性的结果。该恶意软件可以通过几种不同的方式传播,通常作为其他恶意软件的二级或三级有效载荷部署,以增加对受害者系统的破坏。最近几个月,RedLine 通过网络钓鱼邮件的木马化Microsoft®OneNote 附件进行传播。
浣熊强盗/破纪录者
RaccoonStealer 是一款信息窃取软件,可获取浏览器 cookie、密码、自动填充网页浏览器数据和加密货币钱包数据。据报道,该恶意软件已在暗网论坛和类似平台上作为 MaaS 出售。
2022 年年中,该恶意软件背后的组织在中断和暂时停止运行后,宣布推出新版 RaccoonStealer,称为 RaccoonStealer 2.0 或 RecordBreaker。这个更新版恶意软件目前以 MaaS 的形式在黑市上传播。该组织声称,他们从零开始重建了该恶意软件,更新了基础架构,提高了信息窃取能力。
维达
Vidar 是另一种经常使用的商品恶意软件,在地下论坛公开传播。据报道,Vidar 是 Arkei 信息窃取程序的一个分叉,它会获取银行信息、浏览器凭据、加密货币钱包以及标准文件。执行时,恶意软件会收集关键系统信息以及有关硬件、运行进程和软件的数据,并将其发送回威胁行为者。
自 2018 年首次发布以来,Vidar 的多次迭代增强了其功能、规避能力和整体复杂性,这也提高了它在威胁行为者中的受欢迎程度。已观察到其他恶意软件系列将 Vidar 作为次要有效载荷投放。
IcedID
这种银行木马通常被称为 BokBot,于 2017 年首次被发现。从那时起,IcedID 已多次重塑自我,在整个威胁环境中持续流行。IcedID 本质上是模块化的,其核心功能是一个复杂的银行木马。
由于IcedID会经常更新,使其更具规避性和破坏性,因此它在2023年仍是一个突出的威胁。此外,IcedID还经常作为二级恶意软件(包括勒索软件和Cobalt Strike)的附加有效载荷的载体。
勒索软件
黑猫/ALPHV
BlackCat 或 ALPHV/Noberus 是一个用 Rust 编程语言编写的勒索软件家族,最初于 2021 年出现在野外。该恶意软件以 RaaS 的形式出售,可针对基于 Windows 和 Linux 的操作系统。
ALPHV 是一种多产的勒索软件,曾被用于攻击知名受害者。感染主机后,ALPHV 勒索软件会变得躲躲闪闪,并试图在引爆最终勒索软件有效载荷之前阻止恢复和报告功能。
ALPHV 因外泄敏感数据和使用双重勒索方法向受害者施压,迫使他们支付更大的赎金,以恢复对加密文件的访问,并防止这些文件被公开而进一步声名狼藉。
根据联邦调查局的一份咨询报告,43BlackCat/ALPHV 可能与更早的组织DarkSide和BlackMatter 有关联。
移动电话
安卓
自 2008 年首次发布以来,AndroidTM已成为超过 30 亿44活跃手持设备用户的首选移动平台,占全球市场的近71%45。以下是我们在本报告期内遇到的一些最普遍的 Android 威胁。
间谍笔记
SpyNote46(又称 SpyMax)是一个用于监视受害者的恶意软件家族。SpyNote 可从移动设备中提取凭证和信用卡详情等敏感信息。SpyNote 还可以监控用户位置、访问设备摄像头、拦截 SMS 短信(这有助于威胁行为者绕过双因素身份验证)、监控和记录电话通话以及远程控制设备。
SpyNote 不断演变。最新的迭代版本被称为 SpyNote.C,是第一个通过伪装成知名金融组织合法应用程序以及其他常用移动应用程序的假应用程序传播的变种。继 2022 年 10 月源代码泄露后,SpyNote 的样本在移动威胁领域大幅增加。
SpinOk
SpinOk 于 2023 年 5 月底首次被记录,是一个具有间谍软件功能的恶意软件组件,看似营销应用程序的软件开发工具包 (SDK)。在上一报告期,SpinOK 在一次 SDK 供应链攻击中被无意嵌入数十个应用程序48。
一旦嵌入,SpinOK 就会显示看似迷你游戏的广告,以鼓励用户继续打开应用程序。SpinOk 使威胁行为者能够识别设备内容,并将数据外泄到远程服务器。它还会阻碍威胁分析工作50。
SMSThief
SMSThief 可在设备后台运行时拦截、转发或复制受害者的短信。SMSThief 的变种至少在过去十年中一直在使用。SMSThief 还可以通过从用户的设备向一个会产生高额费用的高级号码发送短信,让受害者加入高级号码骗局51。
利纳克斯
Linux®主要用于企业服务器(包括内部部署和基于云的服务器)和物联网设备,而不是用户系统。最流行的感染载体是通过暴力破解密码来获取安全外壳 (SSH) 访问权限,或利用面向公众服务中的漏洞。本报告期的攻击与上一期保持一致,包括 DDoS 攻击、加密软件和专门针对 VMWare ESXi 服务器的勒索软件。
由于 Linux 是威胁行为者的活跃目标,企业必须采取行动降低风险。打安全补丁应该是一个优先事项。打补丁有助于保护 Linux 环境免受远程漏洞和本地权限升级(LPE)漏洞的攻击,这些漏洞通常用于复杂的攻击。这些远程漏洞包括后门等高级恶意软件。由于 Linux 环境面临的许多威胁都是通过暴力破解弱密码来获取访问权限的,因此我们建议要求提供强大的凭证以及有效的漏洞管理计划。
分布式拒绝服务
在本报告所述期间,基于恶意软件的 DDoS 攻击是 Linux 系统最常见的威胁。部署最多的恶意软件变种是Mirai,它至少从 2016 年起就开始活跃。Mirai 的源代码发布在地下论坛上,因此很难将攻击归咎于特定团体。Mirai 主要针对没有当前安全更新的物联网设备。
Gafygt52自 2014 年开始活跃,是一个基于 Linux 的僵尸网络,使用与 Mirai 类似的代码库,通常针对物联网路由器等设备。在上一报告期,XorDDos53是 DDoS 攻击中使用的最先进的恶意软件,但也是最不常见的恶意软件。XorDDoS 主要通过强行进入 SSH 进行传播,并可能包含一个rootkit,向系统管理员隐藏其存在。
密码支配者
在本报告所述期间,Linux 服务器面临的第二大常见威胁是加密制造者--威胁行为者利用受害者的系统资源挖掘加密货币(主要是 Monero)。虽然开源跨平台软件XMRig是最常见的加密货币挖掘器,但在本报告期内,Prometei 僵尸网络54的使用率激增,该网络至少从 2020 年开始活跃,也有 Windows 版本。Prometei 的高级功能包括使用域生成算法,使僵尸网络难以被阻止。Prometei 的目标受害者遍布全球,但不包括俄罗斯主机。据称,Prometei 最初的设计目标不是俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦等独联体国家。然而,该恶意软件后来的版本表明,情况不再是这样。该恶意软件似乎旨在感染除俄罗斯设备以外的所有设备。有鉴于此,亲俄活动分子似乎正在想方设法攻击那些支持乌克兰抵抗俄罗斯入侵的国家。
勒索软件
虽然大多数勒索软件攻击都以 Windows 为目标,但大多数著名威胁组织都会创建 Linux 版本的恶意软件,通常以 VMWare ESXi 为目标。其中包括Lockbit、Black Basta、BlackCat/ALPHV、Babuk、Royal 和Hive 等多个著名组织的活动。Trigona55和 MoneyMessage56是包含 Linux 版本的新型勒索软件。
今后,我们预计新的勒索软件集团在开展业务时会开发 Linux 变种,从而增加针对 Linux 系统的勒索软件攻击的可能性。
MacOS
尽管 macOS 被认为比 Windows 更安全,但长期以来一直是高级威胁行为者的攻击目标。欲了解详细信息,请观看BlackBerry在 RSA 2023 大会上的演讲《macOS:追踪高级目标攻击、威胁行为者和 TTPs》57。
虽然典型的 macOS 恶意软件会显示广告软件或劫持网络浏览器搜索,但在本报告所述期间,越来越多的威胁行为者使用跨平台编程语言开发针对 macOS 本身的恶意软件。例如,我们发现了一种名为 Atomic macOS (AMOS) 的新病毒,这是一种基于跨平台编程语言 GoLang(又名 Go)的信息窃取程序。
广告软件和浏览器劫持
虽然许多人认为广告软件不过是一种不受欢迎的应用程序,但广告软件可以下载和安装后门等有害组件。在本报告期内,我们的遥测数据显示,AdLoad 和 Pirrit 仍然是部署最广泛的广告软件。我们还观察到 Genieo 的再次出现,这是一种较早的威胁,它会重定向搜索栏结果,将用户指向潜在的恶意广告软件。广告软件可以通过编程将搜索网页的用户指向恶意网站,从而在受害者的设备上下载恶意软件。这些恶意网站可能会被克隆,看起来与合法网站一模一样。例如,威胁组织RomCom最近就克隆了托管合法企业应用程序的网站,并利用 typosquatting 创建了与真实网站相似的 URL。虚假网站的访问者在不知情的情况下下载了流行软件的特洛伊木马版本,从而给威胁分子提供了一个后门,进入他们的机器以窃取信息。
原子 macOS (AMOS) 窃取器
Atomic macOS(AMOS)是一种针对 macOS 的新型信息窃取程序,在本报告所述期间出现58,并已在野外部署。AMOS 在流行的云消息应用程序 Telegram 上做广告。该恶意软件可从密钥链、浏览器和加密钱包中收集用户凭证,并从桌面和文档等特定用户目录中渗出文件。在 Windows 平台上,初始访问代理(IAB)会使用窃取的凭据入侵网络并部署勒索软件。虽然在 AMOS 中还没有观察到这种行为,但可以想象将来可能会发生。
最有趣的故事
SideWinder 利用服务器端多态性攻击巴基斯坦政府官员--现在又瞄准了土耳其
5 月初,BlackBerry Threat Research and Intelligence 团队公布了一项发现,揭露了 APT 组织 SideWinder 的一次活动,59据信,该组织源于印度。该活动主要针对巴基斯坦政府目标,通过一个复杂的执行链实施,该执行链依赖于利用CVE-2017-019960漏洞执行远程模板注入的钓鱼电子邮件和武器化文档。该组织利用独特的服务器端61多态性绕过基于签名的检测机制。如果成功,漏洞利用程序就会提供下一阶段的有效载荷。
该活动首次发生在 2022 年 12 月。2023 年 3 月,BlackBerry 威胁研究与情报团队发现了另一个针对土耳其的 SideWinder 活动的证据。这次活动的时间与该地区的地缘政治事件重叠,特别是土耳其在巴基斯坦与印度的克什米尔争端中公开支持巴基斯坦。
初步植入和网络分析显示,3CX 供应链的运营时间可追溯到 2022 年秋季
2023 年 3 月底,商业通信供应商 3CX 宣布63出现重大安全漏洞,导致其 VOIP 软件 3CXDesktopApp 的木马版本在全球范围内传播。
3CXDesktopApp 是一款语音和视频会议产品,广泛用于通话、视频和即时聊天。该公司网站称,3CX 在 190 个国家拥有约 60 万家客户公司,日均用户超过 1200 万。
3CX 在攻击发生后的第二天公布了漏洞65 。663CX 在随后的更新中指出,与朝鲜有关联的威胁行为体 UNC4736 是此次攻击的幕后黑手,它部署了 Taxhaul(又名 TxRLoader)恶意软件和 Coldcat 下载器。
恶意软件最初是通过恶意安装程序发送的,该安装程序以被破坏的依赖文件的形式出现,使木马化文件能够被签名并显示为来自供应商的合法文件。
BlackBerry对初始样本和相应网络基础设施的遥测和分析表明,该行动始于 2022 年夏季至秋初。这次攻击影响了澳大利亚、美国和英国的医疗保健、制药、IT 和金融行业。
诺贝尔奖利用波兰大使访美之机将矛头指向援助乌克兰的欧盟政府
三月初、 BlackBerry研究人员观察到名为 NOBELIUM (APT29) 的俄罗斯国家支持的威胁行为者针对欧洲实体开展的活动,该行为者与俄罗斯对外情报局 SVR 有公开联系。
该团伙针对对波兰大使马雷克-马杰罗夫斯基(Marek Magierowksi)前往华盛顿特区讨论乌克兰正在进行的战争感兴趣的人定制了诱饵。另一个诱饵旨在滥用欧盟国家用于信息交换和安全数据传输的合法系统 LegisWrite 和 eTrustEx。
67该工具使用HTML走私技术将更多恶意组件(通常是ISO或IMG文件)传送到受害者的机器上,然后窃取敏感信息。波兰大使访美与攻击中使用的诱饵重叠,证明 NOBELIUM 利用地缘政治事件引诱受害者,增加成功感染的可能性。
从滥用谷歌广告到冒充西班牙税务局的大规模网络钓鱼活动
2023 年 4 月初,BlackBerry Threat Research and Intelligence 团队公布了几个月来对两个恶意活动的跟踪结果,这两个恶意活动出于不同的目标和目的利用了typosquatting68。
第一个是滥用谷歌广告平台的恶意广告69活动,至少已经运行了几个月。Libre Office、AnyDesk、TeamViewer 和 Brave 等常见软件的伪造和木马版本提供了商品信息窃取程序,包括 Vidar 和 IcedID。为了愚弄毫无戒心的受害者,威胁行为者克隆了合法网站,并分配了使用错别字抢注来模仿真实网站 URL 的域名。
第二个活动是模仿西班牙国家税务局的大规模定向鱼叉式网络钓鱼活动。该活动试图窃取技术、建筑、能源、农业、咨询、政府、汽车、医疗保健和金融等关键行业受害者的电子邮件凭证。
PaperCut RCE 漏洞被威胁者大量利用
执法部门摧毁俄罗斯间谍恶意软件行动
5 月初,美国司法部宣布75,臭名昭著的威胁行为者 Turla 所使用的基础设施已被拆除,这是对俄罗斯网络间谍能力的一次沉重打击。该组织与俄罗斯联邦安全局(FSB)有关联,曾使用一种名为 "蛇"(Snake)的复杂信息窃取工具从北大西洋公约组织(NATO)成员国和联合国获取机密文件。Snake 基础设施包括一个僵尸网络,在包括北约成员国在内的至少 50 个国家的受感染系统中发现,据称已被滥用 20 多年。
针对这一发现,联邦调查局开发了一种名为珀尔修斯(希腊英雄和怪物的屠夫)的实用程序。珀尔修斯可以在不损坏受感染系统的情况下禁用蛇形恶意软件。
新威胁组织 "Rhysida "攻击智利军队
2023 年 5 月下旬,一个名为 "Rhysida "的新威胁组织针对智利军队(Ejercito de Chile)的勒索软件攻击被公之于众。76攻击细节尚未完全披露,但一名陆军下士因涉嫌参与勒索软件攻击而被捕77。
BlackBerry 威胁研究与情报团队发现的入侵迹象(IoCs)表明,Rhysida 处于开发的初始阶段。样本分析表明,该小组通过 PowerShell 执行了一个 .exe 文件。这个可移植可执行文件 (PE) 试图通过注册表键修改用户的桌面壁纸;使用 XOR 和 AES 算法加密文件;并在加密文件中添加 Rhysida 扩展名(以避免加密操作系统文件夹而中断系统运行)。此外,还发现了向资源管理器注入进程的情况。
在此之后,会出现一个名为 "CriticalBreachDetected.pdf "的赎金条,其中包含如何通过 TOR 门户网站联系该组织的信息。该组织要求以比特币(BTC)支付赎金。如果受害者同意支付,他们必须提供一个 ID 并填写一份额外的表格才能与该组织取得联系。
| 技术名称 | 技术 ID | 战术 | 最新报告 | 改变 |
|---|---|---|---|---|
|
1.发现系统信息
|
T1082
|
发现
|
1
|
=
|
|
2.虚拟化/沙盒规避
|
T1497
|
防御回避
|
3
|
↑
|
|
3.发现安全软件
|
T1518.001
|
发现
|
4
|
↑
|
|
4.工艺注入
|
T1055
|
防御回避
|
2
|
↓
|
|
5.伪装
|
T1036
|
防御回避
|
5
|
=
|
|
6.远程系统发现
|
T1018
|
发现
|
6
|
=
|
|
7.应用层协议
|
T1071
|
命令与控制
|
7
|
=
|
|
8.文件和目录发现
|
T1083
|
发现
|
8
|
=
|
|
9.非应用层协议
|
T1095
|
命令与控制
|
9
|
=
|
|
10.过程发现
|
T1057
|
发现
|
10
|
=
|
|
11.输入捕捉
|
T1056
|
收藏品
|
13
|
↑
|
|
12.DLL 侧加载
|
T1574.002
|
坚持不懈
|
12
|
↓
|
|
13.软件打包
|
T1027.002
|
防御回避
|
14
|
↑
|
|
14.命令和脚本解释器
|
T1059
|
执行
|
12
|
↓
|
|
15.注册表运行键值/启动文件夹
|
T1547.001
|
坚持不懈
|
19
|
↑
|
|
16.加密通道
|
T1573
|
命令与控制
|
17
|
↑
|
|
17.禁用或修改工具
|
T1562.001
|
防御回避
|
15
|
↓
|
|
18.Rundll32
|
T1218.011
|
防御回避
|
16
|
↓
|
|
19.混淆文件或信息
|
T1027
|
防御回避
|
18
|
↓
|
|
20.发现应用窗口
|
T1010
|
发现
|
20
|
=
|
| 技术 ID | |
|---|---|
| 1.发现系统信息 |
T1082
|
| 2.虚拟化/沙盒规避 |
T1497
|
| 3.发现安全软件 |
T1518.001
|
| 4.工艺注入 |
T1055
|
| 5.伪装 |
T1036
|
| 6.远程系统发现 |
T1018
|
| 7.应用层协议 |
T1071
|
| 8.文件和目录发现 |
T1083
|
| 9.非应用层协议 |
T1095
|
| 10.过程发现 |
T1057
|
| 11.输入捕捉 |
T1056
|
| 12.DLL 侧加载 |
T1574.002
|
| 13.软件打包 |
T1027.002
|
| 14.命令和脚本解释器 |
T1059
|
| 15.注册表运行键值/启动文件夹 |
T1547.001
|
| 16.加密通道 |
T1573
|
| 17.禁用或修改工具 |
T1562.001
|
| 18.Rundll32 |
T1218.011
|
| 19.混淆文件或信息 |
T1027
|
| 20.发现应用窗口 |
T1010
|
| 战术 | |
|---|---|
| 1.发现系统信息 |
发现
|
| 2.虚拟化/沙盒规避 |
防御回避
|
| 3.发现安全软件 |
发现
|
| 4.工艺注入 |
防御回避
|
| 5.伪装 |
防御回避
|
| 6.远程系统发现 |
发现
|
| 7.应用层协议 |
命令与控制
|
| 8.文件和目录发现 |
发现
|
| 9.非应用层协议 |
命令与控制
|
| 10.过程发现 |
发现
|
| 11.输入捕捉 |
收藏品
|
| 12.DLL 侧加载 |
坚持不懈
|
| 13.软件打包 |
防御回避
|
| 14.命令和脚本解释器 |
执行
|
| 15.注册表运行键值/启动文件夹 |
坚持不懈
|
| 16.加密通道 |
命令与控制
|
| 17.禁用或修改工具 |
防御回避
|
| 18.Rundll32 |
防御回避
|
| 19.混淆文件或信息 |
防御回避
|
| 20.发现应用窗口 |
发现
|
| 最新报告 | |
|---|---|
| 1.发现系统信息 |
1
|
| 2.虚拟化/沙盒规避 |
3
|
| 3.发现安全软件 |
4
|
| 4.工艺注入 |
2
|
| 5.伪装 |
5
|
| 6.远程系统发现 |
6
|
| 7.应用层协议 |
7
|
| 8.文件和目录发现 |
8
|
| 9.非应用层协议 |
9
|
| 10.过程发现 |
10
|
| 11.输入捕捉 |
13
|
| 12.DLL 侧加载 |
12
|
| 13.软件打包 |
14
|
| 14.命令和脚本解释器 |
12
|
| 15.注册表运行键值/启动文件夹 |
19
|
| 16.加密通道 |
17
|
| 17.禁用或修改工具 |
15
|
| 18.Rundll32 |
16
|
| 19.混淆文件或信息 |
18
|
| 20.发现应用窗口 |
20
|
| 改变 | |
|---|---|
| 1.发现系统信息 |
=
|
| 2.虚拟化/沙盒规避 |
↑
|
| 3.发现安全软件 |
↑
|
| 4.工艺注入 |
↓
|
| 5.伪装 |
=
|
| 6.远程系统发现 |
=
|
| 7.应用层协议 |
=
|
| 8.文件和目录发现 |
=
|
| 9.非应用层协议 |
=
|
| 10.过程发现 |
=
|
| 11.输入捕捉 |
↑
|
| 12.DLL 侧加载 |
↓
|
| 13.软件打包 |
↑
|
| 14.命令和脚本解释器 |
↓
|
| 15.注册表运行键值/启动文件夹 |
↑
|
| 16.加密通道 |
↑
|
| 17.禁用或修改工具 |
↓
|
| 18.Rundll32 |
↓
|
| 19.混淆文件或信息 |
↓
|
| 20.发现应用窗口 |
=
|
应用对策和补救措施
检测技术
BlackBerry 威胁研究与情报团队发现,在本报告期内,在BlackBerry 网络安全解决方案拦截的 224,851 个独立样本中,有 386 个公开的 Sigma 规则检测到了与威胁相关的行为。图 4 显示了检测到恶意行为最多的前 10 个 Sigma 规则。
| 西格玛规则 | 说明 | MITRE ATT&CK 技术 | MITRE ATT&CK 战术 | 最新报告 | 改变 |
|---|---|---|---|---|---|
|
1.由可执行文件创建可执行文件
|
检测另一个可执行文件创建的可执行文件
|
开发能力:恶意软件 - T1587.001
|
资源开发
|
1
|
=
|
|
2.Wow6432Node 当前版本自动运行密钥修改
|
检测注册表中自动启动扩展点 (ASEP) 的修改情况
|
启动或登录自动启动执行:注册表运行键/启动文件夹 - T1547.001
|
坚持不懈
|
2
|
=
|
|
3.修改当前版本的自动运行密钥
|
检测注册表中自动启动扩展点 (ASEP) 的修改情况
|
启动或登录自动启动执行:注册表运行键/启动文件夹 - T1547.001
|
坚持不懈
|
6
|
↑
|
|
4.使用系统文件夹创建进程
|
检测使用 Sysnative 文件夹的进程创建事件(常见于 Cobalt Strike 产卵)。
|
工艺注塑 - T1055
|
防御回避
|
3
|
↓
|
|
5.从可疑文件夹启动进程
|
检测从稀有或不常见文件夹(如临时文件夹或文件夹)启动的进程
|
用户执行 - T1204
|
执行
|
5
|
=
|
|
6.通过注册表禁用 Microsoft Defender 防火墙
|
反间谍者可能会禁用或修改系统防火墙,以绕过限制网络使用的控制措施
|
削弱防御:禁用或修改系统防火墙 - T1562.004
|
防御回避
|
7
|
↑
|
|
7.按顺序排列的可疑来电
|
按顺序值检测 rundll32.dll 导出中可疑的 DLL 调用
|
系统二进制代理执行:Rundll32 - T1218.011
|
防御回避
|
9
|
↑
|
|
8.PowerShell 创建计划任务
|
攻击者可能会滥用 Windows 任务调度程序来执行任务调度,以首次或重复执行恶意代码
|
预定任务/工作:预定任务 - T1053.005
|
坚持不懈
|
8
|
=
|
|
9.可疑的任务 Kill 执行
|
攻击者可能会停止服务或进程,以便对 Exchange 和 SQL Server 等服务的数据存储进行数据销毁或数据加密以造成影响。
|
服务站 - T1489
|
影响
|
NA
|
↑
|
|
10.执行 Net.exe
|
检测 Net.exe Windows 工具的执行情况,无论是可疑的还是良性的
|
多种技术:
Permission Groups Discovery - T1069 Account Discovery - T1087 System Service Discovery - T1007 |
发现
|
NA
|
↑
|
| 说明 | |
|---|---|
| 1.由可执行文件创建可执行文件 |
检测另一个可执行文件创建的可执行文件
|
| 2.Wow6432Node 当前版本自动运行密钥修改 |
检测注册表中自动启动扩展点 (ASEP) 的修改情况
|
| 3.修改当前版本的自动运行密钥 |
检测注册表中自动启动扩展点 (ASEP) 的修改情况
|
| 4.使用系统文件夹创建进程 |
检测使用 Sysnative 文件夹的进程创建事件(常见于 Cobalt Strike 产卵)。
|
| 5.从可疑文件夹启动进程 |
检测从稀有或不常见文件夹(如临时文件夹或文件夹)启动的进程
|
| 6.通过注册表禁用 Microsoft Defender 防火墙 |
反间谍者可能会禁用或修改系统防火墙,以绕过限制网络使用的控制措施
|
| 7.按顺序排列的可疑来电 |
按顺序值检测 rundll32.dll 导出中可疑的 DLL 调用
|
| 8.PowerShell 创建计划任务 |
攻击者可能会滥用 Windows 任务调度程序来执行任务调度,以首次或重复执行恶意代码
|
| 9.可疑的任务 Kill 执行 |
攻击者可能会停止服务或进程,以便对 Exchange 和 SQL Server 等服务的数据存储进行数据销毁或数据加密以造成影响。
|
| 10.执行 Net.exe |
检测 Net.exe Windows 工具的执行情况,无论是可疑的还是良性的
|
| MITRE ATT&CK 技术 | |
|---|---|
| 1.由可执行文件创建可执行文件 |
开发能力:恶意软件 - T1587.001
|
| 2.Wow6432Node 当前版本自动运行密钥修改 |
启动或登录自动启动执行:注册表运行键/启动文件夹 - T1547.001
|
| 3.修改当前版本的自动运行密钥 |
启动或登录自动启动执行:注册表运行键/启动文件夹 - T1547.001
|
| 4.使用系统文件夹创建进程 |
工艺注塑 - T1055
|
| 5.从可疑文件夹启动进程 |
用户执行 - T1204
|
| 6.通过注册表禁用 Microsoft Defender 防火墙 |
削弱防御:禁用或修改系统防火墙 - T1562.004
|
| 7.按顺序排列的可疑来电 |
系统二进制代理执行:Rundll32 - T1218.011
|
| 8.PowerShell 创建计划任务 |
预定任务/工作:预定任务 - T1053.005
|
| 9.可疑的任务 Kill 执行 |
服务站 - T1489
|
| 10.执行 Net.exe |
多种技术:
Permission Groups Discovery - T1069 Account Discovery - T1087 System Service Discovery - T1007 |
| MITRE ATT&CK 战术 | |
|---|---|
| 1.由可执行文件创建可执行文件 |
资源开发
|
| 2.Wow6432Node 当前版本自动运行密钥修改 |
坚持不懈
|
| 3.修改当前版本的自动运行密钥 |
坚持不懈
|
| 4.使用系统文件夹创建进程 |
防御回避
|
| 5.从可疑文件夹启动进程 |
执行
|
| 6.通过注册表禁用 Microsoft Defender 防火墙 |
防御回避
|
| 7.按顺序排列的可疑来电 |
防御回避
|
| 8.PowerShell 创建计划任务 |
坚持不懈
|
| 9.可疑的任务 Kill 执行 |
影响
|
| 10.执行 Net.exe |
发现
|
| 最新报告 | |
|---|---|
| 1.由可执行文件创建可执行文件 |
1
|
| 2.Wow6432Node 当前版本自动运行密钥修改 |
2
|
| 3.修改当前版本的自动运行密钥 |
6
|
| 4.使用系统文件夹创建进程 |
3
|
| 5.从可疑文件夹启动进程 |
5
|
| 6.通过注册表禁用 Microsoft Defender 防火墙 |
7
|
| 7.按顺序排列的可疑来电 |
9
|
| 8.PowerShell 创建计划任务 |
8
|
| 9.可疑的任务 Kill 执行 |
NA
|
| 10.执行 Net.exe |
NA
|
| 改变 | |
|---|---|
| 1.由可执行文件创建可执行文件 |
=
|
| 2.Wow6432Node 当前版本自动运行密钥修改 |
=
|
| 3.修改当前版本的自动运行密钥 |
↑
|
| 4.使用系统文件夹创建进程 |
↓
|
| 5.从可疑文件夹启动进程 |
=
|
| 6.通过注册表禁用 Microsoft Defender 防火墙 |
↑
|
| 7.按顺序排列的可疑来电 |
↑
|
| 8.PowerShell 创建计划任务 |
=
|
| 9.可疑的任务 Kill 执行 |
↑
|
| 10.执行 Net.exe |
↑
|
西格玛规则执行 Net.exe
与 Sysmon 事件 ID 1 进程创建相关。该 Sigma 规则可识别带有特定命令行的执行。我们观察到的有趣行为包括以下内容:
从 \AppData\Local\ 执行的父进程
> C:\indows\system32\net.exe view
从 \AppData\Local\ 执行的父进程
> net stop "TeamViewer"
父进程 C:\Windows\SysWOW64\cmd.exe 正在执行
> 网络用户
从 \AppData\Local\ 执行的父进程
> net group "Domain Admins" /domain
西格玛规则:可疑的任务执行
该 Sigma 规则也与 Sysmon 事件 ID 1 "进程创建 "相关,其目标是识别系统中与 "杀死 "进程相关的行为。
> taskkill /F /IM chrome.exe /T> taskkill /f /t /im <FILENAME>.exe> taskkill /im google* /f /t
观察到的大多数行为都包含 /F 标记,这意味着进程将被强制结束。/T 标志表示任何子进程也将被终止。最后,参数 /IM 指定了要终止的进程的映像名称,并允许使用通配符 (*)。
西格玛规则:从可疑文件夹启动进程
该 Sigma 规则会指出从操作系统中不常用的文件夹启动的进程。以下是常见文件夹的示例:
> C:\Users\<USER>\AppData\Local\Temp\> C:\Windows\Temp\
符合此 Sigma 规则的不常见文件夹包括
> C:\Users\Public\Libraries(由 RomCom 和其他威胁演员使用)> C:\Users\Public\> C:\Users\<USER>\AppData\Local\Temp\~[a-zA-Z]+\.tmp\ (Regular Expression ~[a-zA-Z]+\.tmp)
西格玛到 MITRE
Sigma 是一种基于文本的开放签名格式,可以描述日志事件和日志模式。Sigma 规则通常会映射到 MITRE 技术,多个 MITRE 技术可映射到单个 Sigma 规则。在本报告所述期间,386 条 Sigma 规则检测到 220,000 多个新的和独特的恶意软件样本中的恶意行为。
将这些技术与 MITRE 技术相比较,我们发现与本报告期的 "MITRE 通用技术 "没有直接关联。
在西格玛规则中观察到的五大 MITRE 技术如下。
| 技术 | 西格玛规则数量 |
|---|---|
|
启动或登录自动启动执行:注册表运行键/启动文件夹 - T1547.001
|
14
|
|
削弱防御:禁用或修改工具 - T1562.001
|
11
|
|
命令和脚本解释器:PowerShell - T1059.001
|
10
|
|
命令和脚本解释器 - T1059
|
9
|
|
预定任务/工作:预定任务 - T1053.005
|
9
|
| 西格玛规则数量 | |
|---|---|
| 启动或登录自动启动执行:注册表运行键/启动文件夹 - T1547.001 |
14
|
| 削弱防御:禁用或修改工具 - T1562.001 |
11
|
| 命令和脚本解释器:PowerShell - T1059.001 |
10
|
| 命令和脚本解释器 - T1059 |
9
|
| 预定任务/工作:预定任务 - T1053.005 |
9
|
结论
针对我们客户的独特恶意样本增加了 13%,这表明威胁行为者在编译工具时努力实现多样化。这一过程会为类似样本生成不同的哈希值,这些样本可用于绕过传统安全运营中心 (SOC) 使用的简单反馈和过滤器。
APT28 和 Lazarus 集团是本报告所述期间针对我们客户的两个最活跃的威胁行为体。APT28 与俄罗斯有关,而 Lazarus 则与朝鲜有关。这两个组织长期以来一直以西方国家为目标,特别是美国、欧洲和韩国。它们的目标包括政府机构、军事组织、企业和金融机构。这两个组织对国家安全和经济繁荣构成严重威胁。由于这些组织不断改进技术以增加防御难度,组织必须了解这些威胁行为者的最新 TTP,并将其纳入紫色团队演习,以加强防御策略并采取应对措施。
在本报告所述期间,医疗保健和金融机构是最受攻击的行业。窃取和交易被盗凭证的信息窃取者是针对金融和医疗保健行业最常见的漏洞。不过,我们也看到了针对与乌克兰救援工作有关的医院和金融组织的引人注目的攻击。例如,RomCom等网络威胁组织将目标对准了向乌克兰难民提供人道主义援助的美国医疗机构。
勒索软件仍然是对金融和医疗机构的持续威胁。根据我们在本报告期和上一报告期的遥测结果,这两个行业很可能仍然是勒索软件的重灾区。
在处理本报告所述期间的样本时,我们确认最常用的策略是发现和防御规避。优先检测网络中的这些策略至关重要。网络安全团队通过了解这些战术和威胁行为者特征,可以大大降低攻击的影响,并有助于威胁猎取、事件响应和恢复工作。
预测
- 该漏洞(CVE- 2023-3436279)可通过 SQL 注入被利用,并可能导致权限升级和系统入侵。该漏洞已在野外未打补丁的系统中被大量利用,其中最著名的是 Clop 勒索软件团伙,该团伙利用该漏洞涉嫌入侵了数百家组织。我们预计,在所有易受攻击的系统打上补丁之前,威胁者将继续试图利用这一漏洞81。
- 最新研究82 表明,2026 年全球移动银行市场价值预计将达到 18.2 亿美元,而新银行的兴起83等趋势表明,数字和移动银行服务的使用率在未来十年可能会继续上升。不幸的是,伴随这一增长的可能是移动银行恶意软件的增加。过去几个月发生了几起令人震惊的事件84,其中包括一个针对约 450 个金融应用程序的新安卓僵尸网络85 。
- 网络钓鱼活动 在躲避检测方面的手段越来越高明。最近几个月,越来越多的新域名被注册,它们在发送恶意内容之前充当代理。使用代理服务器和地理围栏锁定特定国家或地区的受害者,使欺诈网站难以被及早发现。这些类型的网络钓鱼活动将会增加,为网络钓鱼者在被发现之前从受害者那里获取信息提供了更多的操作时间。
- 像ChatGPT这样的生成型人工智能给企业带来了潜在的网络安全问题。ChatGPT 已被用于生成新的恶意软件--例如,HYAS 实验室的研究人员利用大型语言模型(LLM)--ChatGPT 所基于的技术--创建了 BlackMamba,86这是一种概念验证型多态键盘记录程序,可自动更改代码以逃避检测。威胁者还利用全球对 ChatGPT 的兴趣,诱使公众安装恶意软件。例如,每天约有 2000 人安装名为 "Quick access toChatGPT87"的恶意浏览器扩展,从 Facebook Business 账户获取信息。我们预测,随着 2023 年的到来,ChatGPT 将继续以越来越快的速度带来创新威胁。
如需进一步了解BlackBerry 如何确保贵组织的安全,请访问https://www.blackberry.com。
法律声明
BlackBerry BlackBerry 不保证本报告中引用的任何第三方声明或研究的准确性、完整性和可靠性,也不对此承担任何责任。本报告中的分析反映了我们的研究分析人员目前对现有信息的理解,可能会随着我们了解到的更多信息而发生变化。读者有责任在其私人和职业生活中应用这些信息时进行尽职调查。 不允许恶意使用或滥用本报告中提供的信息。BlackBerry
© 2023BlackBerry Limited。商标,包括但不限于BLACKBERRY 、EMBLEM Design 和Cylance 均为BlackBerry Limited 的商标或注册商标,并明确保留对此类商标的专有权。所有其他商标均为其各自所有者的财产。
致谢
2023BlackBerry 全球威胁情报报告》凝聚了我们优秀团队和个人的共同努力。我们要特别感谢
参考资料
2 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
4 https://www.reuters.com/world/europe/poland-says-russian-hackers-attacked-tax-website-2023-03-01/
5 https://www.thefirstnews.com/article/cyber-attacks-have-become-commonplace-says-govt-official-36902
6 https://www.reuters.com/world/africa/senegalese-government-websites-hit-with-cyberattack-2023-05-27/
7 https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
8 https://www.fraudsmart.ie/personal/fraud-scams/phone-fraud/identity-theft/
9 https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
10 https://www.clinicbarcelona.org/en/news/computer-attack-on-the-frcb-idibaps
14 https://twitter.com/vxunderground/status/1632464810863390721
16 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
24 https://darktrace.com/blog/living-off-the-land-how-hackers-blend-into-your-environment
25 https://techcrunch.com/2023/04/20/3cx-supply-chain-xtrader-mandiant
26 https://www.ncsc.gov.uk/news/heightened-threat-of-state-aligned-groups
27 https://www.cyber.gc.ca/en/guidance/national-cyber-threat-assessment-2023-2024
28 https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
29 https://www.cyber.gc.ca/sites/default/files/cyber-threat-oil-gas-e.pdf
30 https://www.cisa.gov/news-events/cybersecurity-advisories?page=0
37 https://attack.mitre.org/groups/G0032/
38 https://www.usna.edu/CyberCenter/_files/documents/Operation-Blockbuster-Report.pdf
39 https://www.cisa.gov/news-events/analysis-reports/ar20-133a
40 https://attack.mitre.org/software/S0154/
42 https://archive.f-secure.com/weblog/archives/00002356.html
44 https://www.theverge.com/2021/5/18/22440813/android-devices-active-number-smartphones-google-2021
46 https://cyware.com/news/spynote-infections-on-the-rise-after-source-code-leak-c5d36dce
47 https://www.threatfabric.com/blogs/spynote-rat-targeting-financial-institutions
48 https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Spy.SpinOk/README.adoc
50 https://news.drweb.com/show/?i=14705&lng=en
51 https://www.scamwatch.gov.au/types-of-scams/buying-or-selling/mobile-premium-services
52 https://threatpost.com/gafgyt-botnet-ddos-mirai/165424/
54 https://blog.talosintelligence.com/prometei-botnet-improves/
55 https://unit42.paloaltonetworks.com/trigona-ransomware-update/
56 https://blog.cyble.com/2023/04/06/demystifying-money-message-ransomware/
57 https://www.rsaconference.com/library/presentation/usa/2023/macOS
58 https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram/
59 https://attack.mitre.org/groups/G0121/
60 https://nvd.nist.gov/vuln/detail/cve-2017-0199
61 https://nakedsecurity.sophos.com/2012/07/31/server-side-polymorphism-malware/
63 https://www.3cx.com/blog/news/desktopapp-security-alert/
65 https://www.3cx.com/blog/news/desktopapp-security-alert/
66 https://www.3cx.com/blog/news/mandiant-initial-results/
67 https://attack.mitre.org/software/S0634/
68 https://support.microsoft.com/en-us/topic/what-is-typosquatting-54a18872-8459-4d47-b3e3-d84d9a362eb0
69 https://www.cisecurity.org/insights/blog/malvertising
70 https://www.papercut.com/blog/news/rce-security-exploit-in-papercut-servers/
71 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27350
72 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a
74 https://twitter.com/MsftSecIntel/status/1654610012457648129
76 https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/
77 https://izoologic.com/2023/06/19/rhysida-ransomware-exposes-stolen-data-from-the-chilean-army/
78 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
79 https://nvd.nist.gov/vuln/detail/CVE-2023-34362
81 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
82 https://www.alliedmarketresearch.com/mobile-banking-market
83 https://www.bankrate.com/banking/what-is-a-neobank/
84 https://blog.cyble.com/2022/12/20/godfather-malware-returns-targeting-banking-users/
85 https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet#3
86 https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-security
*5 月 31 日漏洞的修复程序已在发现后 48 小时内发布。有关详细信息,请阅读 https://www.ipswitch.com/blog/update-steps-we-are-taking-protect-moveit-customers。