导言
威胁情报可被视为 "让对手措手不及的艺术"。预测、减轻和防止以网络攻击形式出现的意外是实用威胁情报计划的首要任务。
要实现这一目标,需要采取积极主动的方法,回答以下关键问题:哪些威胁行为体最有可能对我的组织造成影响?他们的动机、目标和能力是什么?他们的行为方式是怎样的?他们使用什么网络武器来实现这些目标?最重要的是,我可以部署哪些可行的应对措施来提高组织的网络防御能力?
我们的团队非常自豪地发布第一份BlackBerry 网络安全全球威胁情报报告。本报告的使命是提供有关有针对性的攻击、网络犯罪动机的威胁行为者以及针对像贵组织这样的组织的活动的可操作情报,以便您能在充分知情的情况下做出决策并迅速采取有效行动。
在这第一版中,您将看到BlackBerry 威胁研究与情报团队中一些顶级威胁研究人员和情报分析师的报告,这些世界级专家不仅了解技术威胁,还了解当地和全球地缘政治发展及其对各地区组织威胁模型的影响。为编写本报告(涵盖 2022 年 9 月 1 日至 11 月 30 日的 90 天),该团队利用了从我们自己的人工智能(AI)驱动产品和分析能力中获得的数据和遥测资料,并辅以其他公共和私人情报来源。
本报告的部分研究亮点包括
- 90 天的数字。90 天报告期的统计数据概览,包括BlackBerry 阻止影响我们客户的独特恶意软件样本的数量以及这些攻击的地理分布。以下是预览:我们的技术平均每小时阻止了 62 个新的恶意样本,即大约每分钟阻止一个新样本。
- 最常见的武器有关网络攻击中最常用武器的信息,包括 Emotet 等恶意加载程序的死灰复燃、Qakbot 在网络威胁领域的广泛存在,以及 GuLoader 等下载程序的增加。
- 远程访问增加了信息窃取者。 随着远程和混合工作在大流行后的兴起,从外部访问内部网络的需求变得越来越普遍。攻击者正在利用新的远程访问可能性,使用信息窃取器(infostealers)窃取企业凭据并在黑市上出售。我们的报告讨论了我们在此期间看到的一些最普遍、最广泛的信息窃取程序。
- 没有一个平台是 "安全的"。 威胁行为者有多种针对不同服务器、桌面和移动平台的策略。例如,尽管舆论普遍认为 macOS 并非 "更安全 "的平台:macOS 恶意软件和漏洞比比皆是。其他主题还包括针对 Linux 平台的攻击日益增多等趋势;GoLang 等非主流编程语言被用于开发跨平台恶意软件的方式;以及对影响运行 Android 和 iOS 的移动设备的威胁的深入分析。
- 独特的行业视角。 由于我们在网络安全和物联网 (IoT) 行业的强大影响力,BlackBerry 在发现汽车等行业面临的威胁方面具有独特优势,而这些威胁在其他威胁报告中并不常见。本版包括我们观察到的将影响汽车行业以及医疗保健和金融行业的网络安全趋势信息。
- 主要威胁行为者和应对措施。我们的遥测还揭示了许多不同威胁行为者的活动。该报告包括一些最常见的战术、技术和程序(TTPs)信息,以及与 MITRE ATT&CK 和 MITRE D3FEND 对应的应用对策公开列表的链接。我们的目标是使您更容易根据这些可操作的信息更新您的组织防御和威胁模型。
- 总结与展望。 最后,我们提出结论和 2023 年网络威胁预测。
我要感谢BlackBerry 威胁研究与情报团队中的全球精英研究人员,是他们促成了这份报告的发布,并在不断改进BlackBerry的数据和Cylance 人工智能驱动的产品和服务的同时,继续推出众多 "率先上市 "的研究报告。
伊斯梅尔-巴伦苏埃拉
威胁研究与情报副总裁BlackBerry
Twitter:@aboutsecurity
BlackBerry 网络安全威胁情报作者
过去 90 天的数字
攻击总数
Cylance在 2022 年 9 月 1 日至 11 月 30 日的 90 天内,BlackBerry ®端点安全解决方案阻止了 1,757,248 次基于恶意软件的网络攻击。威胁行为者平均每天针对受我们技术保护的客户部署约 19,524 个恶意样本。这些威胁包括 133,695 个独特的恶意软件样本,即平均每天 1,485 个新恶意软件样本,每小时 62 个样本:换句话说,平均每分钟大约有一个新样本。
下图显示了Cylance 端点安全解决方案在 2022 年 9 月 1 日至 11 月 30 日期间阻止的潜在网络攻击动态。第4周(9月29日至10月5日)和第7周(10月20日至10月26日)的峰值是威胁行为者重复使用恶意软件样本的结果。
Cylance 端点安全解决方案所防范攻击的地域分布情况
本报告期内攻击中使用的恶意软件类型
2022 年 9 月 1 日至 11 月 30 日期间,威胁行为者使用了多种恶意软件来实现其金融、地缘政治、军事和战术目标。下文按操作系统(OS)分类列出了已发现的最普遍、最有趣的恶意软件系列。
值得注意的是,虽然Windows®仍是受攻击最多的操作系统,但其用户可能比其他操作系统用户做好了应对恶意软件攻击的准备,因为其他操作系统用户可能仍认为自己对网络攻击免疫。不过,BlackBerry®遥测数据显示,macOS®、Linux® 和移动用户也经常受到攻击:没有任何平台可以免受感染。
视窗
下载者
下载者引诱受害者打开下载恶意软件的文件。这些文件经常伪装成合法的数字文档或可执行文件。常见的下载工具包括以下几种:
- Emotet是目前使用最多的威胁之一。它于 2014 年首次出现,在 2021 年 4 月的执法行动中幸存下来,并在 2021 年底死灰复燃。上一季度,Emotet 在中断四个月后再次出现,它使用了以前见过的技术,包括传播恶意Microsoft®Office 文档的网络钓鱼活动。这些文档试图说服受害者将其复制到微软的官方目录中,然后在该目录中自动执行宏,而无需征求用户的许可。Emotet 长期以来一直以投放银行木马IcedID 而闻名,该木马与多个勒索软件组织有密切联系。
- Qakbot通常通过网络钓鱼技术,使用引诱电子邮件发送。诱饵通常包含一个 LNK 超链接,可重定向到一个恶意网页,该网页包含一个受密码保护的 ZIP 文件,其中包含一个 ISO 文件。LNK 文件会执行一个 JavaScript 文件,而 JavaScript 文件又会执行一个扩展名为 .DAT 的 Qakbot 恶意 DLL。Qakbot 的一个有趣功能是利用现有电子邮件线程作为传播手段。它 "回复 "收件人的能力可以让目标受害者相信现有电子邮件线程中的链接或附件是由可信来源发送的。Qakbot 经常被许多勒索软件组织使用,本季度还与Black Basta 有关,Black Basta 可能是康迪公司的改名,2022 年针对了大量美国公司。
- GuLoader从远程位置下载和执行可执行文件,经常用于下载和执行RedLine和Raccoon 等信息窃取程序。GuLoader 通常滥用 Google Cloud™ 和OneDrive®等基于云的服务来托管其有效载荷;不过,我们也检测到它使用 Telegram 机器人。
勒索软件
信息窃取者
随着大流行后远程和混合工作的兴起,外部访问内部网络的需求变得更加普遍。攻击者立即利用远程访问授权的增加,使用信息窃取器(以前最常用于网络欺诈)窃取企业凭证在黑市上出售。这些被窃取的凭据通常被初始访问经纪人(IAB)和勒索软件操作的附属机构用来入侵原始组织的网络并部署勒索软件。
在本报告所述期间发现的偷窃者包括以下人员:
- Redline 是目前发现的最活跃、最广泛的信息窃取程序。Redline 能够窃取众多目标的凭证,包括浏览器、加密钱包、FTP 和虚拟专用网络 (VPN) 软件等。
- Raccoon 信息窃取程序以恶意软件即服务(MaaS)的方式运行,使有抱负的网络犯罪分子每月只需花费 100 美元就能使用其强大的功能。虽然 Raccoon 的部署范围不如 Redline 广泛,但它仍被认为是一个强大的威胁。BlackBerry 甚至检测到 Raccoon 被 Redline 初始感染后丢弃的情况。Raccoon 可以从加密钱包、浏览器扩展、Discord 和 Telegram 中窃取凭证;截图;并充当加载器来启动其他有效载荷。
2022 年 9 月,威胁分子试图入侵Uberi。这次攻击被公开归咎于 Lapsus$ 组织的附属机构。在 Uber 事件中,由于该公司迅速采取行动关闭了攻击,因此没有部署勒索软件。
文件感染者
远程访问木马
远程访问木马(RAT)可以记录键盘输入、访问用户的网络摄像头、窃取浏览器凭据,并为攻击者提供远程 shell 命令行程序,该程序可以在受感染设备以及网络中的其他计算机上执行 shell 命令。在本报告所述期间观察到的 RAT 包括以下几种:
macOS/OSX
广告软件/间谍软件
浏览器劫持者
代理恶意软件和代理
代理恶意软件是一种木马,它将受感染的系统变成代理服务器,允许攻击者代表你执行操作。代理服务器是一种代理恶意软件,它还增加了类似 RAT 的功能,如在受感染的机器上运行本地命令。与其他类型的恶意软件相比,代理恶意软件通常支持较少的功能,这使其可以针对更大范围的受害者,因为所需的库较少。GoLang 编程语言被大量用于这类恶意软件,因为它支持 Proxit 等代理库,使网络犯罪新手可以轻松开发。
BlackBerry 注意到越来越多的 GoLang 被用来攻击 macOS 系统,作为针对恶意垃圾邮件(malspam)等机会性攻击的跨平台攻击的一部分。为了在多个平台上有效运行,这些攻击依赖于存在于所有平台上的简单功能。所观察到的大多数代理恶意软件样本都是代理服务器,它们会攻击可在多个平台上使用的浏览器。
利纳克斯
僵尸和僵尸网络
僵尸程序是一种无需人工干预即可执行命令的自主程序,而僵尸网络则是由单个威胁行为者控制的一组僵尸程序。僵尸网络通常是利用错误配置或未修补的漏洞形成的,这些漏洞允许安装恶意代码,从而将受害者的计算机添加到僵尸网络中。自从 2016 年出现了现在臭名昭著的Mirai僵尸网络,进行大规模分布式拒绝服务(DDoS)攻击以来,出现了更多的 Linux 僵尸网络。
到 2022 年底,著名的互联网中继聊天(IRC)僵尸网络(如ShellBot)仍在徘徊,它们使用暴力手段通过错误配置或默认凭据进入系统iv。此外,我们还看到 Sysrv 僵尸网络通过CVE-2022-22947vi滥用远程代码执行(RCE)漏洞v,入侵系统并大规模发展其僵尸网络。
恶意软件和工具
BlackBerry 在本报告所述期间,我们发现并确定了其他恶意软件和恶意工具。SSH 工具(基于可实现远程访问的安全 shell 协议)经常与恶意代码一起被投放,用于暴力破解凭证和/或扫描网络以寻找传播机会。在 90 天的报告期内,工具 Faster than Lite (FTL) 的使用有所增加。该工具经常被威胁组织OutLawvii滥用,并与 ShellBot 捆绑在一起。
我们的遥测发现,类似的活动部署了基于 GoLang 的 SSH 强制工具 Spirit,它也被滥用为传播工具。Spirit 通常与 Pwnrig 和 Tsunami IRC 机器人一起被投放,我们有相当高的把握将其归咎于黑客组织 8220 Gang。
例如,Kinsing 木马利用 JavaLog4j软件包漏洞viii CVE-2021-44228ix在 Linux 平台上进行 RCE,最近又发现它利用 Oracle WebLogic Server 漏洞x CVE-2020-14882xi 进行 RCE。该木马试图禁用设备的安全和云服务代理,并在部署自己的加密矿机之前杀死受害者系统上的任何对手恶意软件和加密货币矿机(加密矿机)。
加密矿工和加密劫持
加密劫持是一种普遍存在的阴谋,威胁行为者会在未经用户同意的情况下,在受害者的设备上安装恶意加密货币挖掘软件,以挖掘加密货币。过去十年来,加密矿机一直是网络威胁领域的顽疾。加密矿机影响着所有主要的计算系统,而且在被发现之前可能会潜伏很长时间。
尽管在报告所述期间加密货币普遍贬值,但大规模部署加密货币矿机仍能为威胁行为者带来切实的经济利益。总体而言,尽管市场发生了变化,但对于许多基于 Linux 的威胁行为者来说,加密货币仍然是王道。
本季度,在针对 Linux 设备的威胁中,加密货币矿工占了很大一部分。加密货币挖矿行为变得更加资源密集,因此成本也更高。因此,攻击者已经开始入侵多个受害者的环境,以部署矿工和挪用所需的计算资源。前面提到的 ShellBot 和 Sysrv bot 都会潜入系统,部署加密矿机并劫持系统资源。
通常情况下,加密矿机通过投放有效载荷或利用CVE-2022-26134xii(Atlassian Confluence)或CVE-2019-2725xiii(WebLogic)等漏洞,进入受害者的环境,如 PwnRig 加密矿机经常出现的情况xiv。加密矿机试图混入标准后台资源,如 cron 作业(安排常规任务在未来特定时间重复),并尽可能长时间不被发现。
本季度还发现了与 CryptoNight 有关的检测,CryptoNight 是一种采矿算法,用于保护网络安全和验证 Monero 和 Webchain 等一些加密货币的交易,包括 Webchain 矿机以及几种基于 XMRig 的矿机的使用激增。XMRig 是一种流行的开源实用程序,常用于挖掘比特币和 Monero 等加密货币,也是当今最受威胁者滥用的币矿机之一。
移动设备
安卓
2022 年,全球近 71% 的移动设备使用 Android™ 操作系统。报告期内的威胁包括以下方面:
- Lotoor是一款既可用于良性目的也可用于恶意目的的工具。安卓用户可以使用 Lotoor root 或解锁设备上的其他功能,但该工具也可用于绕过谷歌的嵌入式安全功能和植入持久性恶意软件。
- AdvLibrary 会感染设备,通过显示不请自来的广告和产生付费广告的外发流量来获取互联网流量。受害者通常不会遭受直接经济损失,但可能会因数据流量增加而产生额外费用。网络犯罪分子通过点击广告和恶意广告网站的流量利用 AdvLibrary 获取收入。
iOS
iOS®通常被认为是比其他操作系统更安全的移动操作系统。虽然零日 iOS 漏洞利用的成本很高,而且很少被用于不受控的攻击,但 iOS 也不能幸免于 "越狱 "或解锁iPhone®设备的漏洞利用,这种潜在的危险活动会移除原有的Apple®安全功能,并提供对设备的完全访问权限。虽然有些用户出于删除不需要的默认应用程序等目的故意对 iPhone 进行越狱,但越狱后的手机很容易受到攻击。
许多级别的威胁行为者都依靠 iPhone 越狱向受害者的设备部署植入程序。例如,Vortex 就是一个针对 iOS 用户的潜在恶意软件系列。与针对安卓系统的 Lotoor 一样,Vortex 也是一种可以越狱 iPhone 的 rooter,网络犯罪分子可以利用它来安装恶意软件。这种技术在没有技术能力发起零日威胁的中级威胁行为者中最为常见。在过去的一个季度里,BlackBerry 至少看到了两个不同版本的 Vortex 用于越狱 iOS 设备。
特定行业的攻击
汽车
拥有百年历史的汽车工业正处于一场重大的技术革命之中。突破性的技术进步使新型车辆、系统和服务的开发成为可能。这种数字化转型带来了许多好处,但也带来了新的网络安全挑战。
随着车辆的互联性和自主性越来越强,它们可能更容易受到网络威胁和威胁行为者的攻击。此外,生产车辆的日益复杂的制造系统也面临着网络攻击的风险。
前些年,汽车行业相对来说没有受到大规模和高度公开的威胁的影响。然而,恶意实体不仅开始针对汽车制造商,而且开始针对整个行业,试图破坏运营、窃取敏感数据并破坏供应链。2022 年,我们发现针对汽车行业的恶意实体的数量和造成的破坏程度都在增加。
为了防范这些威胁,汽车行业的公司必须认识到未来汽车联网程度越来越高所带来的潜在风险,并实施强有力的网络安全措施来保护车辆和驾驶员。
近期威胁趋势
由于其全球规模,汽车行业需要监控和保护的端点数量巨大。它包括价值链中的每个组织,从采购原材料的公司一直到汽车经销商和车主。必须确保这一复杂供应链的巨大数字攻击面的安全,才能保证这一重要全球业务的正常运行。
2022 年 9 月 1 日至 11 月 30 日期间发生的攻击既有复杂的鱼叉式网络钓鱼,也有商品化的恶意垃圾邮件,这表明汽车行业不断受到来自高级和新手网络对手的攻击。
下载者
恶意软件下载器在几乎所有类型的网络攻击中都很普遍,其外观、文件类型和进入系统的技术复杂程度各不相同。欺骗性的威胁行为者会哄骗不知情的受害者安装下载器,作为网络攻击的第一部分。一旦代码被执行,下载器就会安装额外的恶意代码和有效载荷,以实施影响范围更广的网络攻击。
GuLoader 是本报告所述期间针对汽车行业的下载程序的一个典型例子。该恶意软件于 2019 年首次被发现,并在继续演变。GuLoader 通常先伪装成合法的数字文档或可执行文件,然后再下载其他商品恶意软件。
信息窃取者
汽车行业拥有宝贵的专有数据,因此成为网络窃贼的主要目标。这些数据是一种商品,其价值往往超过车辆本身。
恶意软件信息窃取程序是一种恶意代码,它从受害者系统中寻找并非法窃取数据,然后用于支持财务和/或战术目标。信息窃取程序可与Remcos等 RAT 结合使用,作为商品恶意软件出售,为其他威胁行为者提供恶意访问和控制受害者系统的服务。
勒索软件
勒索软件是每个安全团队的噩梦,威胁行为者知道,针对行业供应链的勒索软件可能具有毁灭性。在汽车行业,如果在供应链的任何环节受到勒索软件攻击,都可能导致生产或分销停止,造成整个行业生态系统的收入和声誉损失。
在整个 2022 年的一些臭名昭著的勒索软件攻击中,都能看到BlackCat勒索软件的身影。使用这种特殊 RaaS 的网络犯罪团伙通常以中小型企业为猎物,似乎主要是出于经济动机,而且主要以制造业为目标。BlackCat 勒索软件会渗透到环境中,窃取有价值的数据,然后对连接的系统进行加密。
ALPVH(黑猫勒索软件背后的威胁组织)经常使用双重勒索伎俩,经常通过其泄漏网站(存放被盗私人和潜在敏感文件的网站)公布受害者的受损数据。他们的目的是利用目标组织担心更多有价值的数据会被公布或出售给竞争对手的心理,迫使其支付赎金xvi。
两用工具
两用应用程序通常是合法的工具和软件,提供威胁行为者可能误用或滥用的特性或功能。靠天吃饭"(LotL)一词描述的是威胁行为者滥用合法工具绕过安全系统、逃避检测的行为。
威胁行为者越来越多地依赖双重用途工具而非恶意代码在环境中传播、渗出有价值的数据,甚至将恶意软件作为 "允许 "的工具进行部署。系统管理员应删除所有没有有效用例或业务理由的双重用途工具。
更广泛的汽车威胁格局
由于现代汽车中 "智能 "和互联网连接功能的激增,以及通过软件更新接收和管理新功能的软件定义汽车(SDV)的出现,汽车为威胁行为者提供了一个日益诱人的攻击面。事实上,据估计,到2023 年,路上行驶的联网汽车将多达 7.75 亿辆xvii。由于对手知道不能容忍在生产、制造、运输和销售过程中出现任何形式的中断,因此企图进行网络攻击的数量可能会增加。
在过去几年中,各种针对车辆的直接攻击时有发生,而配备无钥匙进入功能的车辆尤其容易受到攻击。事实上,英国保险公司 LV= General Insurance 的数据显示,48% 的汽车失窃案涉及配备无钥匙技术的车辆xviii。欧洲刑警组织于 2022 年 10 月宣布捣毁了一个针对无钥匙进入和无钥匙启动车辆的欧洲汽车盗窃团伙,该团伙利用欺诈软件在没有实体钥匙扣的情况下盗窃车辆xix 。
总体而言,在过去五年中,汽车行业几乎遭受了一连串的网络攻击,包括数据泄露、勒索软件和高级持续威胁(APT)组织的攻击。2022 年,威胁数量激增,而且由于新车中嵌入式技术的激增,这种情况可能会持续下去。例如,2017 年,一家汽车制造商成为 WannaCry 勒索软件xx 的受害者,被迫短暂停产。2019 年,出现了 APT32 组织(又称 OceanLotus)xxi,一些消息来源称该组织为越南汽车行业提供支持xxii。同一组织还瞄准并破坏了其他汽车制造商的网络xxiii。从 2020 年到 2022 年,攻击(主要是勒索软件)的数量有所增加。2022 年,欧洲最大的汽车经销商之一xxiv、一家荷兰专业汽车制造商xxv 和一家美国轮胎制造商xxvi 遭受了著名的勒索软件攻击。
下图显示了 2022 年汽车行业内报告的较大规模攻击样本的时间轴。
供应链攻击
大流行病和俄罗斯入侵乌克兰都揭示了供应链的脆弱性。汽车行业也不能幸免于其他行业所面临的延误、短缺和中断。
鉴于行业的复杂性,许多企业都依赖于即时 (JIT) 供应链战略来维护其庞大的供应商、零部件和制造商生态系统,这就形成了一个非常大的攻击面,有可能被威胁行为者利用。JIT 战略的特点是在需要时才生产产品。因此,如果所需部件和材料不能立即到位,生产可能会放缓或停止。因此,供应链中的网络攻击可以有效地停止汽车生产。
恶意对手可能会攻击汽车制造商的各个供应商,特别是那些网络安全较差的供应商,而不是直接针对汽车制造商,因为汽车制造商可能会对入侵进行重重防御。例如,2022 年 3 月,塑料和电子供应商的文件系统遭到入侵,导致一家日本汽车公司约 13,000 辆汽车的生产延误。据《欧洲汽车新闻》援引一位发言人的话说,这家汽车公司的供应链包括四个层级的 60,000 家公司xxxvii。在如此规模的供应链中,任何地方发生网络攻击都有可能影响其他公司接收必要零部件和材料的能力。
未来趋势
医疗保健
医疗保健行业正面临着越来越多的网络威胁,因为威胁者瞄准了医疗保健机构的高度机密数据和宝贵信息。这对医疗机构来说是一个重大问题,因为成功的网络攻击可能会造成严重后果,包括丢失或公布敏感的患者数据、经济损失,甚至对患者造成直接的身体伤害。医疗保健行业特别容易受到这些威胁的影响,这是由多种因素共同造成的,其中包括广泛使用使用寿命较长的医疗技术、医疗保健系统复杂且经常相互关联的性质以及日常收集和存储的大量敏感数据。医疗保健提供商必须了解当前网络威胁的危险性,并积极主动地保护自己和患者免受潜在伤害。
总体而言,勒索软件仍是医疗行业的最大威胁,依靠勒索软件的威胁组织仍在积极瞄准医疗行业,我们可以从10月份CommonSpirit Health遭受的勒索软件攻击中看出这一点,在这次攻击中,60多万患者的数据遭到泄露xxix。过去,Maze 等一些 RaaS 组织曾表示不会攻击医院,但这种承诺无法保证。由于多个 RaaS 集团的多样性和联盟模式的激增,执行攻击的集团可能与开发恶意软件的集团不是同一个集团,这使得追踪和归因成为一个令人担忧的问题。
根据我们的遥测数据,在本报告所述期间,Cylance Endpoint Security 解决方案阻止了 7,748 个针对医疗保健行业的独特恶意软件样本,平均每天阻止 80 多个独特恶意软件样本。最流行的木马是 Qakbot,网络犯罪分子至少从 2012 年开始使用该木马,它对医疗保健行业构成了高风险。2022 年,Qakbot 主要被部署 Black Basta 勒索软件的关联公司使用。由于 Emotet 在最近四个月的关闭后没有开展太多活动,而TrickBot似乎更专注于改进其 Bumblebee 恶意软件,因此我们认为 Qakbot 仍是最活跃的木马,可为 RaaS 关联公司和 IAB 提供医疗保健网络访问便利。
在这段时间内,Meterpreter(一种 Metasploit 有效负载,可为攻击者提供交互式 shell)和 BloodHound 也很活跃。我们检测到一次使用 Meterpreter 的攻击,同时还执行了 SharpHound,它是 BloodHound 的收集器,通常在攻击发生后用于网络内部的横向移动。网络安全和基础设施安全局(CISA)建议网络和系统管理员自己有意执行 BloodHound,以了解其环境中可能存在的攻击路径。
我们还观察到 TinyNuke 丢弃了 Netwire RAT。TinyNuke 最初是一个银行木马,功能与ZeuS 类似,现在是一个功能齐全的木马,包括 VNC 服务器设备控制器和反向 SOCKS 功能。KimsukyGroupxxxi也曾使用过 TinyNuke,并将其归因于朝鲜民主主义人民共和国(DPRK)。在检查该攻击时,我们发现 TinyNuke 下载并执行了Netwire RAT,并连接到了 RAT 常用的 DuckDNS 托管域。
BlackBerry 研究人员还发现了一个未知威胁行为者部署 PlugX RAT 的实例,包括 Mustang Panda 在内的多个民族国家威胁行为者通常都会使用该 RAT(在我们的公开报告中了解更多信息),这表明网络犯罪分子和民族国家行为者都对攻击医疗保健行业感兴趣。虽然我们还没有看到像 Redline 和 Raccoon 这样专门针对医疗保健行业的信息窃取程序,但我们确实遇到了一个 GuLoader 的实例,这是一种网络犯罪分子常用来部署信息窃取程序的下载程序。
金融业
金融业历来是网络犯罪分子以及居住在受金融制裁影响地区的民族国家威胁者的攻击目标。在这 90 天的报告期内,Cylance Endpoint Security 解决方案阻止了 9721 个针对金融业目标的独特恶意软件样本,平均每天识别出约 108 个独特恶意样本。
不同的威胁行为者,包括民族国家行为者,都依赖Cobalt Strike等商业渗透测试(笔测试)工具来模糊网络犯罪分子与合法测试活动之间的归属界限。这种混淆使网络犯罪分子在获得访问权限后,有更多时间在网络内活动。2022 年,我们目睹了多起在金融机构内部使用商业对手模拟软件(包括 Cobalt Strike 和笔测试软件 Metasploit、Mimikatz 和 Brute Ratel)的事件。Brute Ratel 是一种对抗攻击模拟工具,攻击者和安全专业人员通常都使用 Mimikatz 从系统内存中提取密码和凭证等机密信息。目前还不清楚 Mimikatz 和 Brute Ratel 的出现是合法笔测试活动的一部分,还是真实攻击的一部分。
在其他顶级威胁中,我们阻止了Redline Stealer等初始访问信息窃取工具。众所周知,初始访问工具需求量很大,因为它们可以访问受害者的网络,然后将其出售。包括Lapsus$组织在内的许多威胁行为者都依靠信息窃取工具进入企业。(Lapsus$ 集团是一个以勒索为重点的国际威胁组织,曾多次针对公司和政府机构实施网络攻击)。
Cylance 端点安全解决方案还阻止了与加密货币挖矿有关的各种攻击和对Linux生态系统的攻击,因为与Windows世界相比,Linux生态系统相对缺乏可见性,因此成为有吸引力的攻击目标。其中一个例子是后门Rekoobe,它是一种Linux木马,至少七年来一直以全球受害者为目标xxxxii。
最活跃的威胁行为体
ALPHV
ALPHV是一个相对较新且发展迅速的网络犯罪集团,因其创新的勒索策略和非传统的攻击方法而备受关注。尽管成立时间相对较短,但该组织已在网络犯罪界产生了重大影响,并有可能继续发展和扩大其行动范围xxxxiii。
ALPHV 以使用 Rust 著称,这是一种功能强大的编程语言,允许威胁操作员在许多不同的操作系统上使用同一个代码库。该组织使用多个 LotL 二进制文件、脚本和库(LOLBins)来实现其目标。
在 ALPHV 完成特定主机内的横向移动并收集到他们想要的所有信息后,BlackCat RaaS 就会作为 ALPHV 黑客攻击活动最后阶段的一部分被部署。然后,ALPHV 开始进行经济勒索,甚至威胁要发动 DDoS 攻击来胁迫受害者支付赎金。随着 BlackCat 勒索软件作为 RaaS 的发布,该黑客组织也加入了快速增长的恶意软件趋势,即双重勒索攻击,既流出数据又加密数据索取赎金。
ALPHV 组织似乎并不针对特定行业或国家。由于 ALPHV 允许其他威胁行为者使用 BlackCat 勒索软件,因此恶意软件的出现并不一定表明是 ALPHV 的直接攻击。迄今为止,BlackCat 勒索软件已经攻击了美国、澳大利亚、日本、意大利、印度尼西亚、印度和德国等国家的零售、金融、制造、政府、技术、教育和交通部门xxxiv。
APT29 又称公爵组织,是一个资金雄厚、组织严密的组织,涉嫌至少从 2008 年开始代表俄罗斯政府进行网络间谍活动。该组织尤其以北美和欧洲的政府和非政府组织为目标,但亚洲、非洲和中东地区的实体也受到了攻击。
该小组经常使用 Cobalt Strike、Mimikatz 和 AdFind(一种可用于从 Active Directory 收集信息的免费命令行查询工具)。该组织还开发了一套定制工具,包括 CloudDuke、CozyDuke 和 FatDuke 等。此外,APT29 还利用影响某些产品的漏洞访问受害者的系统。
野马熊猫是一个总部设在中国的 APT 组织,已被确认为网络间谍威胁行为体。该组织于 2017 年首次被发现,可能自2014 年起就开始活跃xxxv。野马熊猫的目标组织范围广泛,包括美国、欧洲、蒙古、缅甸、巴基斯坦和越南等世界各国的政府机构、非营利组织、宗教机构和非政府组织(NGO)。
该组织经常使用 "中国斩波器 "和 PlugX 开展行动。PlugX 是一种模块化 RAT,可配置为使用 HTTP 和 DNS 进行命令与控制 (C2) 活动。China Chopper 是托管在网络服务器上的恶意软件,允许未经授权访问组织网络,不需要受感染设备与远程 C2 服务器通信。
BlackBerry 威胁研究和情报团队还发现,最近 Mustang Panda 利用全球对俄乌战争的关注,攻击欧洲和亚太地区的目标。
TA542
MITRE 常用技术
| MITRE 技术 | 技术 ID | 战术 |
|---|---|---|
|
发现系统信息
|
T1082
|
发现
|
|
工艺注入
|
T1055
|
防御回避
|
|
虚拟化/沙盒规避
|
T1497
|
防御回避
|
|
远程系统发现
|
T1018
|
发现
|
|
伪装
|
T1036
|
防御回避
|
|
应用层协议
|
T1071
|
命令与控制
|
|
软件打包
|
T1027.002
|
防御回避
|
|
发现安全软件
|
T1518.001
|
发现
|
|
过程探索
|
T1057
|
发现
|
|
禁用或修改工具
|
T1562.001
|
防御回避
|
|
发现应用窗口
|
T1010
|
发现
|
|
视窗管理工具
|
T1047
|
执行
|
|
查询登记处
|
T1012
|
发现
|
|
混淆文件或信息
|
T1027
|
防御回避
|
|
修改注册表
|
T1112
|
防御回避
|
|
文件和目录发现
|
T1083
|
发现
|
|
加密通道
|
T1573
|
命令与控制
|
|
命令和脚本解释器
|
T1059
|
执行
|
|
Rundll32
|
T1218.011
|
防御回避
|
|
Regsvr32
|
T1218.010
|
防御回避
|
| 技术 ID | |
|---|---|
| 发现系统信息 |
T1082
|
| 工艺注入 |
T1055
|
| 虚拟化/沙盒规避 |
T1497
|
| 远程系统发现 |
T1018
|
| 伪装 |
T1036
|
| 应用层协议 |
T1071
|
| 软件打包 |
T1027.002
|
| 发现安全软件 |
T1518.001
|
| 过程探索 |
T1057
|
| 禁用或修改工具 |
T1562.001
|
| 发现应用窗口 |
T1010
|
| 视窗管理工具 |
T1047
|
| 查询登记处 |
T1012
|
| 混淆文件或信息 |
T1027
|
| 修改注册表 |
T1112
|
| 文件和目录发现 |
T1083
|
| 加密通道 |
T1573
|
| 命令和脚本解释器 |
T1059
|
| Rundll32 |
T1218.011
|
| Regsvr32 |
T1218.010
|
| 战术 | |
|---|---|
| 发现系统信息 |
发现
|
| 工艺注入 |
防御回避
|
| 虚拟化/沙盒规避 |
防御回避
|
| 远程系统发现 |
发现
|
| 伪装 |
防御回避
|
| 应用层协议 |
命令与控制
|
| 软件打包 |
防御回避
|
| 发现安全软件 |
发现
|
| 过程探索 |
发现
|
| 禁用或修改工具 |
防御回避
|
| 发现应用窗口 |
发现
|
| 视窗管理工具 |
执行
|
| 查询登记处 |
发现
|
| 混淆文件或信息 |
防御回避
|
| 修改注册表 |
防御回避
|
| 文件和目录发现 |
发现
|
| 加密通道 |
命令与控制
|
| 命令和脚本解释器 |
执行
|
| Rundll32 |
防御回避
|
| Regsvr32 |
防御回避
|
常用技术的行为示例
| 技术 | 行为 |
|---|---|
|
系统信息发现 - T1082
|
> wmic csproduct get UUID
> query user > tasklist | findstr "dll" > systeminfo >> output > date /t |
|
工艺注塑 - T1055
|
> dllhost.exe
> rundll32.exe > explorer.exe > MSBuild.exe |
|
虚拟化/沙盒规避 - T1497
|
> timeout 5000
> Start-Sleep -s 100 > 检查 VMWare 和 VirtualBox 的注册表 |
|
远程系统发现 - T1018
|
> net group /domain admins
> nltest /domain_trusts /alltrusts > net view /all |
|
伪装 - T1036
|
> 将恶意软件文件名重命名为听起来合法的文件名
> 二进制文件使用 .jpg 扩展名 > 使用具有合法名称的计划任务,如 win32times 等 |
| 行为 | |
|---|---|
| 系统信息发现 - T1082 |
> wmic csproduct get UUID
> query user > tasklist | findstr "dll" > systeminfo >> output > date /t |
| 工艺注塑 - T1055 |
> dllhost.exe
> rundll32.exe > explorer.exe > MSBuild.exe |
| 虚拟化/沙盒规避 - T1497 |
> timeout 5000
> Start-Sleep -s 100 > 检查 VMWare 和 VirtualBox 的注册表 |
| 远程系统发现 - T1018 |
> net group /domain admins
> nltest /domain_trusts /alltrusts > net view /all |
| 伪装 - T1036 |
> 将恶意软件文件名重命名为听起来合法的文件名
> 二进制文件使用 .jpg 扩展名 > 使用具有合法名称的计划任务,如 win32times 等 |
MITRE D3FEND 反制措施
了解常见的反制措施可以帮助企业改进防御策略,并确定是否有足够的可见性和/或检测技术。反措施可以基于操作系统事件(如系统中发生的进程事件)或文件事件(如创建、修改或删除文件)。
攻击技术和相关应对措施的完整列表位于我们的GitHub 存储库中。我们建议您只选择能够完全实施且最符合贵组织需求的应对措施。
最酣畅淋漓的攻击
2022 年 9 月 1 日至 11 月 30 日期间,BlackBerry 威胁研究与情报团队跟踪、发现、研究并发布了有关全球网络威胁形势的最新信息。COVID-19 大流行后,世界经济仍在复苏,东欧当前的地缘政治事件和东西方关系仍不明朗。这些因素汇聚在一起,为那些出于政治动机和经济目的而试图利用网络的威胁行为者提供了肥沃的土壤。
本季度,我们看到了与国家有关的 APT 组织、出于经济动机的勒索软件团伙以及许多其他各种规模、能力和动机的威胁行为者在开展多种活动。以下是本季度我们在全球范围内发现的最具影响力的攻击事件。
DJVU:陌生的勒索软件
DJVU 勒索软件伪装成合法的服务或应用程序,通常与诱饵文件捆绑在一起,看起来是无害的。作为臭名昭著的 STOP 勒索软件的进化版,DJVU 自 2018 年诞生以来经历了多次迭代。该勒索软件使用加密流密码 Salsa20 进行加密。在进行大量反分析和反沙箱检查以确认其在真实系统上运行后,该恶意软件会对多种文件类型进行加密,然后生成赎金说明,指示受害者恢复文件。最近,当威胁行为者在勒索软件中添加了加密前下载程序功能时,该威胁变得更具破坏性。
本季度,DJVU 与Arkei变种 Vidar Stealer 和Redline Stealer 背后的威胁组织明显合作,下载并部署了信息窃取恶意软件,为威胁行为者创造了更多以受害者为代价的获益途径。
野马熊猫滥用合法应用程序,瞄准缅甸受害者
10 月初,我们公布了几个月来跟踪 Mustang Panda APT 组织的结果。该组织也被称为 "青铜总统"、"红色三角洲 "和 "Honeymyte",公开身份是中国人。
在调查过程中,我们发现了一个针对缅甸的活动。该活动假冒流行的缅甸新闻媒体,并针对包括政府 VPN 门户网站在内的多个实体。该活动的感染载体使用带有恶意附件的网络钓鱼诱饵,诱骗用户执行这些附件,从而使攻击者在系统中获得立足点。
执行链包含多个组件,其中包括一个易受 DLL 搜索顺序劫持影响的合法良性实用程序,以及一个恶意 DLL 加载器和一个加密 DAT 有效载荷。恶意 DLL 加载器被侧载后,PlugX 有效载荷被加载到内存中。感染载体、执行链、PlugX 的使用和整体 TTP 符合 Mustang Panda 屡试不爽的活动方法。
BianLian 勒索软件眨眼间加密文件
BianLian是一款用 Go 编程语言(GoLang)编写的极速勒索软件。在本白皮书中,我们预测了目前恶意使用 GoLang 等不常用语言的情况。威胁行动者认识到了这些语言在创建恶意软件,尤其是定制勒索软件方面的潜力。GoLang 对并发性提供了特别强大的支持,可使多个恶意函数同时独立运行,从而加快攻击速度。
BianLian 是一种相对较新的威胁,其攻击目标涉及多个行业。该恶意软件背后的组织似乎纯粹出于经济动机,与 BianLian 有关的攻击一直持续到 2022 年底。该组织似乎会大量利用他们访问的系统和网络。他们的典型部署方法是人工渗透系统以获得初始访问权,然后滥用 LOLBins 来探索网络和系统。收集到这些信息后,他们就会部署勒索软件以获取经济利益。
未署名的 RomCom 威胁代理恶搞流行应用程序,现在正攻击乌克兰军队
10 月份,BlackBerry 发现了以前未知的针对乌克兰军事机构的RomCom RAT。据了解,同一威胁行为者曾部署过流行的 Advanced IP Scanner 软件的欺骗版本,后来转而使用 PDF Filler(另一种流行的应用程序),并可能自己开发了这些漏洞。
RomCom RAT 试图恶意控制受影响的设备。我们观察到的最初感染载体是一封电子邮件,其中嵌入了一个名为Наказ_309.pdf(英文为Order_309.pdf)的虚假乌克兰语文档链接,该文档会释放下一阶段下载程序。
在本报告所述期间,观察到该威胁行为者正在积极开发针对全球受害者的新技术。
RomCom 威胁代理滥用流行软件品牌,将乌克兰和英国作为潜在目标
在对乌克兰发动一系列攻击后,同一组织又利用流行的软件品牌发起了新的攻击活动。BlackBerry 威胁研究和情报团队在分析我们早前研究 RomCom RAT 时发现的网络工件时,发现了这些攻击活动。
我们的研究人员发现,威胁行为者在其活动中冒充 SolarWinds Network Performance Monitor、KeePass Open-Source Password Manager 和 PDF Reader Pro。这些活动利用这些合法公司作为幌子,设计了模仿真实公司的虚假网站,诱骗受害者下载 Remcos RAT 恶意软件。RomCom 威胁行为者继续积极部署针对乌克兰受害者的新活动,并可能在其最新的一连串攻击中将目标扩展到全球英语国家。
ARCrypter 勒索软件将其活动范围从拉丁美洲扩展到全球
BlackBerry 威胁调查小组在整个 2022 年都在监控 ARCrypter 系列勒索软件。8 月份,BlackBerry ,发现一个名为 ARCrypter的未知变种以拉丁美洲机构为目标。据报道,哥伦比亚国家食品药品监督局(INVIMA)因受到网络攻击而于10月暂时关闭xxxvi。
通过威胁猎取工作,BlackBerry 发现了该勒索软件的其他相关样本。考虑到攻击的时间范围和提到 INVIMA 的赎金说明内容,我们高度确定 ARCrypter 勒索软件被用于 INVIMA 网络攻击。额外的研究帮助我们发现了两组文件:一个额外的恶意软件滴入器和一个文件加密器。
野马熊猫利用俄乌战争攻击欧洲和亚太地区目标
12 月,我们对 Mustang Panda 的持续监控发现了一个针对多个国家和大洲实体的活动。
这一活动依赖于与当前地缘政治事件相关的专题诱饵(如名为 "欧盟对俄罗斯新方针的政治指导.rar "的文件)。该诱饵包含一个诱饵文件和 LNK 文件,其命名规则与诱饵 RAR 文件相同。其他组件包括易受 DLL 搜索顺序劫持影响的合法实用程序、恶意 DLL 加载器以及与该组织过去使用的组件类似的 DAT 有效载荷。
执行链的目标是将 PlugX 有效载荷传送到主机系统的内存中,为被入侵主机提供全面的远程访问能力。
虽然这次活动中的核心执行链和 TTP 以前也曾出现过,但这些攻击表现出了微妙的变化,包括对执行流程进行了微小的改动,使 EnumSystemCodePagesW 函数被用于执行 shellcode,而不是 EnumThreadWindows。这种微小的修改需要调整防御意识和应对措施,以确保提供最有效的保护。
通过从一个独特的域 SSL 证书出发,我们发现了另外 15 个 IP 地址,其中五个是 Mustang Panda 集团的 C2 服务器,它们向更多地点和受害者提供符合相同攻击链和 TTP 的类似文件。
这些活动遍及全球,表明该组织拥有强大的资源和能力。我们预计这不会是他们的最后一次袭击。
附加攻击
Emotet 是一个精心设计、不断演变的恶意软件家族,最近于 2022 年 11 月重新成为焦点。该恶意软件归属于犯罪实体 TA542,也被称为 Heodo 或 Geodo,自2014 年诞生以来经历了多次迭代xxxvii。
通过电子邮件发送,Emotet 的初始分级器通常是一个木马化的Microsoft® Excel®文档。它依靠欺骗手段说服受害者打开附件并无视弹出的安全警告。Emotet 的目标大不相同,其引诱文档伪装成多种语言和地区的一系列主题。当受害者无视警告并允许执行虚假文档时,恶意软件的目标有效载荷就会尝试下载。恶意软件安装后,可以执行多种功能,包括下载和部署其他恶意软件。
12 月初,一种新的恶意软件 CryWiper 出现。CryWiper 的独特之处在于它是专门针对俄罗斯的实体(包括法院和市长办公室)设计和部署的xxxviii。
乍一看,CryWiper 的行为与典型的勒索软件类似,包括删除系统阴影副本以阻止恢复受影响的文件;加密受影响的文件并将 .CRY 扩展名添加到受影响的文件中;以及下发 README.txt 勒索说明,其中包含支付赎金以恢复文件的说明。然而,CryWiper 并不是勒索软件:它是一个清除器。与所有清除器一样,CryWiper 的目标是破坏目标系统上的文件,使其无法通过任何手段恢复,即使支付了赎金也无济于事。
CryWiper 通过使用 Mersenne Vortex(一种伪随机数生成器 (PRNG) 算法)实现了这种程度的文件破坏,该算法会覆盖和破坏文件的原始内容,而且没有恢复的希望。
结论与 2023 年第一季度预测
上一季度(以及整个 2022 年)揭示了重要的网络安全趋势,这些趋势可能会持续到 2023 年及以后。出于政治动机的威胁行为者数量继续增加,威胁包括通过假新闻网站传播错误信息和虚假信息,跟踪记者和持不同政见者的行动和行为,以及企图直接攻击政府和军事组织。
总体而言,威胁行为者使用了一系列方法,包括新发现的工具和技术,以及对现有工具的修改,使他们能够更好地躲避检测。汽车、医疗保健和金融行业有针对性攻击的增长凸显了保护这些行业广泛而脆弱的威胁面的迫切需要。
要抵御恶意软件和网络攻击,就必须深入了解威胁行为者如何瞄准您所在的行业、他们使用的工具以及可能的动机。这些详细的知识可以提供具有背景性、预见性和可操作性的网络威胁情报,从而降低威胁对贵组织的影响。
经验教训/收获
- 除了经济动机,越来越多的威胁行为者现在还基于经济、地缘政治和社会环境,将个人和机构受害者作为目标。防御者必须主动考虑经济和政治发展对网络安全可能产生的影响。
- 威胁行为者越来越多地使用 GoLang 和 Rust 等不太常见或奇特的编程语言来开发新的恶意软件。威胁猎手必须保持警惕,了解新编程语言的使用在攻击中的表现形式。由于 GoLang 支持跨平台编码,未来可能会出现更多针对 Linux 和 macOS 的攻击。
- 更广泛地获取初始访问工具导致了 2022 年的重大事件,勒索软件作为一种托管服务提供给没有足够技术技能创建自己的恶意软件的团体也是如此。因此,民族国家威胁行为者使用勒索软件的情况有所增加。
- 2022 年,汽车行业受到各种网络攻击的严重影响。大型制造商和行业供应商受到攻击,导致多条生产线停工。这些一连串的攻击可能会持续到 2023 年。
- 通过实施零信任策略,要求对访问网络和应用程序进行持续的身份验证和授权,可以减轻甚至防止滥用合法应用程序来传输恶意有效载荷的供应链攻击。
2023 年第一季度预测
- 迄今为止,俄罗斯入侵乌克兰的一个主要特点是对乌克兰军事和民用基础设施进行网络攻击。如果敌对行动继续下去,我们很可能会再次看到这种有针对性的网络攻击模式。
- 针对医院和医疗机构的勒索软件行动将继续,尤其是在支持或资助乌克兰的国家。
- 对关键基础设施的网络攻击仍将继续。人工智能不仅可能越来越多地被用于攻击自动化,还可能被用于开发先进的深度伪造攻击。
- 针对欧洲金融机构的攻击也可能继续发生,比如 2022 年 9 月对英国 Revolut(一家流行的金融科技公司和应用程序)的攻击就泄露了 5 万多条客户记录。
- 在美洲,我们预测商业移动间谍软件攻击将激增。我们预计,巴西的威胁行为者将进一步把木马银行攻击从桌面系统扩展到移动设备,并继续以拉丁美洲的受害者为目标。事实上,2022 年 12 月曝光的 BrasDex 恶意软件系列xxxix 专门针对巴西的银行业务,包括 PIX(一种类似于美国 Zelle 的支付系统)。
- 针对 Linux 系统的攻击可能会继续被忽视,特别是那些对系统进行虚拟化、投放勒索软件和在目标系统上安装后门的攻击。
- 我们预计各行各业的云基础设施将受到更多有针对性的攻击,因为威胁行为者试图获得更多对组织的可见性,从而破坏组织或攫取利益。
资源
公共妥协指标 (IoC)
公共规则
MITRE 常用技术
MITRE D3FEND 反制措施
©2023BlackBerry Limited。商标,包括但不限于BLACKBERRY 、EMBLEM Design 和CYLANCE 是BlackBerry Limited、其子公司和/或附属公司的商标或注册商标,经许可使用,并明确保留对此类商标的专有权。BlackBerry 不对任何第三方产品或服务负责。未经BlackBerry Limited 的明确书面许可,不得修改、复制、传播或复印本文件的部分或全部内容。
免责声明:本报告中包含的信息仅供教育之用。BlackBerry 不保证或负责本报告中引用的任何第三方声明或研究的准确性、完整性和可靠性。本报告中的分析反映了我们的研究分析师目前对现有信息的理解,可能会随着我们了解到的更多信息而发生变化。读者有责任在其私人和职业生活中应用这些信息时进行尽职调查。BlackBerry 不容忍任何恶意使用或滥用本报告所提供信息的行为。
参考资料
i https://www.uber.com/newsroom/security-update/
iii https://www.developer.com/news/90-of-the-public-cloud-runs-on-linux/
iv https://sysdig.com/blog/malware-analysis-shellbot-sysdig/
v https://threatpost.com/sysrv-k-botnet-targets-windows-linux/179646/
vi https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22947
vii https://yoroi.company/research/outlaw-is-back-a-new-crypto-botnet-targets-european-organizations/
viii https://sandflysecurity.com/blog/log4j-kinsing-linux-malware-in-the-wild/
ix https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44228
xi https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14882
xii https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134
xiii https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2725
xiv https://twitter.com/MsftSecIntel/status/1542281836742729733
xvii https://www.juniperresearch.com/press/in-vehicle-commerce-opportunities-exceed-775mn
xviii https://www.lv.com/insurance/press/keyless-technology-drives-rise-in-theft-over-past-four-years
xx https://www.bbc.com/news/uk-england-39906534
xxi https://attack.mitre.org/groups/G0050/
xxii https://resources.infosecinstitute.com/topic/biggest-data-breaches-of-2019-so-far/
xxiii https://www.zdnet.com/article/bmw-and-hyundai-hacked-by-vietnamese-hackers-report-claims/
xxiv https://www.zdnet.com/article/europes-biggest-car-dealer-hit-with-ransomware-attack/
xxv https://www.broshuis.com/news/ransomware-attack
xxvii https://europe.autonews.com/automakers/toyota-suspend-output-japan-after-supplier-hit-cyberattack
xxviii https://www.nhtsa.gov/press-releases/nhtsa-updates-cybersecurity-best-practices-new-vehicles
xxx https://www.cisa.gov/emergency-directive-21-02
xxxi https://asec.ahnlab.com/en/27346/
xxxii https://malpedia.caad.fkie.fraunhofer.de/details/elf.rekoobe
xxxiv https://www.securitymagazine.com/articles/97489-blackcat-alphv-ransomware-breaches-60-organizations
xxxv https://attack.mitre.org/groups/G0129/
xxxvi https://twitter.com/invimacolombia/status/1577455552954712064?s=20&t=JYJsQ6PFhxBv3YHim_PQrw
xxxvii https://malpedia.caad.fkie.fraunhofer.de/actor/mummy_spider
xxxix https://thehackernews.com/2022/12/beware-cybercriminals-launch-new.html