【聚看點】2023 年第一季度 IT 攻擊概述

BlueNoroff 引入繞過 MotW 的新方法

早 2022 年底，研究人員就發布過 BlueNoroff 組織的活動，這是一個以盜竊加密貨幣而聞名的出于經濟動機的組織，通常利用 Word 文檔，使用快捷方式文件進行初始攻擊。不過最近的追蹤發現，該組織采用了新的方法來傳播其惡意軟件。

其中一種是使用 .ISO（光盤映像）和 VHD（虛擬硬盤）文件格式，旨在避開 Web 標記（MotW）標志。MOTW 是 Windows Internet Explorer 通過強制使 IE 瀏覽器瀏覽存儲下來的網頁在安全的位置的一種機制，目的是增強安全性。

【資料圖】

該組織似乎也在嘗試用新的文件類型來傳播其惡意軟件。研究人員觀察到一個新的 Visual Basic 腳本、一個以前未見過的 Windows 批處理文件和一個 Windows 可執行文件。

分析顯示，該組織使用了 70 多個域名，這意味著他們直到最近都非?；钴S。他們還創建了許多看起來像風險投資和銀行域名的假域名，這些域名大多模仿日本風險投資公司，表明該組織對日本金融機構有著廣泛的興趣。

Roaming Mantis 使用了新的 DNS Changer ( DNS 解析器 )

Roaming Mantis（又名 Shaoye）是一個針對亞洲國家的知名攻擊組織。從 2019 年到 2022 年，這名攻擊者主要使用 "smishing" 來提供其登陸頁面的鏈接，目的是控制受攻擊的安卓設備并竊取設備信息，包括用戶憑據。

然而，在 2022 年 9 月，研究人員發現 Roaming Mantis 使用了新的 Wroba.o Android 惡意軟件，并發現了一個 DNS 解析器功能，該功能主要針對韓國使用的特定 Wi-Fi 路由器。

這可以用于管理來自使用惡意 DNS 設置的受攻擊 Wi-Fi 路由器的設備的所有通信，例如，將某人重定向到惡意主機并干擾安全產品更新。用戶將受攻擊的安卓設備連接到咖啡館、酒吧、圖書館、酒店、購物中心和機場等場所的免費公共 Wi-Fi。當連接到具有易受攻擊設置的目標 Wi-Fi 型號時，惡意軟件將破壞路由器并影響其他設備。因此，它可以在目標區域廣泛傳播。

BadMagic：與俄烏沖突有關的新 APT 組織

自俄烏沖突開始以來，研究人員已經發現了大量地緣政治網絡攻擊。

去年 10 月，研究人員就發現了 BadMagic 的攻擊。最初的攻擊途徑尚不清楚，但接下來要使用魚叉式網絡釣魚或類似的方法。攻擊目標被導航到一個 URL，該 URL 指向托管在惡意 web 服務器上的 ZIP 文檔。該文檔包含兩個文件：一個是誘餌文檔（研究人員發現了 PDF、XLSX 和 DOCX 版本），另一個是帶有雙重擴展名的惡意 LNK 文件（例如 PDF.LNK），打開后會導致攻擊。

在一些情況下，誘餌文檔的內容與惡意 LNK 的名稱直接相關，以誘使用戶激活它。

LNK 文件下載并安裝了一個名為 "PowerMagic" 的 PowerShell 后門，該后門反過來部署了一個復雜的模塊化框架 "CommonMagic"。研究人員發現 CommonMagic 插件能夠從 USB 設備中竊取文件，并進行截屏將其發送給攻擊者。

在初步分析中，研究人員無法找到任何證據將他們發現的樣本和活動中使用的數據與任何以前已知的攻擊者聯系起來。

Prilex 針對非接觸式信用卡交易發起攻擊

Prilex 已經從專注于 ATM 的攻擊演變成了涉及 PoS 的攻擊。該組織開發的最新惡意軟件不是基于 PoS 攻擊中常見的內存抓取器技術，而是直接開發了一種高度先進的惡意軟件，該軟件包括獨特的加密方案、目標軟件的實時補丁、強制協議降級、操縱密碼、執行所謂的 "GHOST 交易 " 和信用卡欺詐，甚至是芯片和 PIN 卡上的欺詐。

在調查一起事件時，研究人員發現了新的 Prilex 樣本，其中一個新功能包括阻止非接觸式交易的功能。這些交易生成一個僅對一筆交易有效的唯一標識符，這樣攻擊者就沒有辦法利用它了。通過阻止交易，Prilex 試圖迫使客戶插入他們的卡來進行芯片和 PIN 交易，這樣攻擊者就有機會使用他們的標準技術從卡中捕獲數據。

隨著非接觸式卡交易的增加，該技術可以讓 Prilex 攻擊者繼續竊取卡信息。

攻擊者使用社會工程來攻擊 PoS 終端，他們試圖說服零售店的員工，他們迫切需要更新終端的軟件，并允許所謂 " 技術專家 " 訪問商店，或者至少提供遠程訪問終端的權限。所以，零售公司要警惕攻擊跡象，包括反復失敗的非接觸式交易，并教育員工了解這種攻擊方法。

對于零售公司（尤其是擁有許多分支機構的公司）來說，制定內部法規并向所有員工解釋技術支持或維護人員應該如何運作是很重要的。這至少可以防止對 pos 終端的未經授權的訪問。此外，提高員工對最新網絡威脅的意識總是一個好主意，這樣他們就不會那么容易受到新的社會工程技巧的影響。

使用假冒 Tor 瀏覽器竊取加密貨幣

研究人員最近發現了一個正在進行的加密貨幣盜竊活動，影響了 52 個國家的 1.5 萬多名用戶。攻擊者使用了一種已經存在了十多年的技術，最初是由銀行木馬用來替換銀行賬號的。然而，在最近的活動中，攻擊者使用木馬版的 Tor 瀏覽器來竊取加密貨幣。

目標從包含密碼保護的 RAR 文檔的第三方資源下載 Tor 瀏覽器的木馬化版本，密碼用于防止其被安全解決方案檢測到。一旦文件被釋放到目標計算機上，它就會在系統的自動啟動中自我注冊，并偽裝成一個流行應用程序（如 uTorrent）的圖標。

惡意軟件一直等到剪貼板中出現錢包地址，然后將輸入的剪貼板內容的一部分替換為攻擊者自己的錢包地址。

對現有樣本的分析表明，這些攻擊目標的估計損失至少為 40 萬美元，但實際被盜金額可能要大得多，因為研究人員的研究只關注 Tor 瀏覽器濫用。其他活動可能使用不同的軟件和惡意軟件傳播方法，以及其他類型的錢包。

研究人員目前還無法確定一個承載安裝程序的網站，因此它可能是通過 torrent 下載或其他軟件下載程序傳播的。來自官方 Tor 項目的安裝程序是數字簽名的，不包含任何此類惡意軟件的跡象。因此，為了保證安全，你應該只從可靠和可信的來源下載軟件。即使有人下載了木馬化的版本，一個好的反病毒產品也應該能夠檢測到它。

還有一種方法可以檢查你的系統是否受到同類惡意軟件的攻擊。在記事本中輸入以下 " 比特幣地址 "：

bc1heymalwarehowaboutyoureplacethisaddress

現在按 Ctrl+C 和 Ctrl+V。如果地址更改為其他地址，則系統可能受到剪貼板注入器惡意軟件的危害，并且使用起來很危險。

我們建議你用安全軟件掃描你的系統。如果你不確定是否有隱藏的后門，那么一旦系統被破壞，你就不應該信任它，直到它被重建。

利用 ChatGPT 發起攻擊

自從 OpenAI 通過 ChatGPT 向公眾開放其大型 GPT-3 語言模型以來，人們對該項目的興趣猛增，爭相探索它的可能性，包括寫詩、參與對話、提供信息、為網站創建內容等等。

關于 ChatGPT 對安全格局的潛在影響，也有很多討論。

鑒于 ChatGPT 模仿人類互動的能力，使用 ChatGPT 的自動魚叉式網絡釣魚攻擊很可能已經發生了。ChatGPT 允許攻擊者在工業規模上生成有說服力的個性化電子郵件。此外，來自釣魚信息目標的任何回復都可以很容易地輸入聊天機器人的模型，在幾秒鐘內產生令人信服的后續活動。也就是說，雖然 ChatGPT 可能會讓攻擊者更容易偽造網絡釣魚信息，但它并沒有改變這種攻擊形式的本質。

攻擊者還在地下黑客論壇上介紹了他們如何使用 ChatGPT 創建新的木馬。由于聊天機器人能夠編寫代碼，如果有人描述了一個所需的功能，例如，" 將所有密碼保存在文件 X 中，并通過 HTTP POST 發送到服務器 Y"，他們可以在不具備任何編程技能的情況下創建一個簡單的信息竊取器。然而，這樣的木馬很可能是很低級的，并且可能包含效果較差的漏洞。至少就目前而言，聊天機器人只能編寫低級惡意軟件。

研究人員還發現了一個惡意活動，試圖利用 ChatGPT 日益流行的優勢。欺詐者創建了模仿愛好者社區的社交網絡群組。這些群組還包含預先創建的帳戶的虛假憑據，這些帳戶聲稱可以訪問 ChatGPT。這些群組包含一個看似合理的鏈接，邀請人們下載一個虛假的 Windows 版 ChatGPT。

該惡意鏈接安裝了一個木馬，可以竊取存儲在 Chrome、Edge、Firefox、Brave 和其他瀏覽器中的帳戶憑證。

由于安全研究人員經常發布有關攻擊者的報告，包括 TTP（戰術、技術和程序）和其他指標，研究人員決定嘗試了解 ChatGPT 對安全格局的影響，以及它是否可以幫助常見的惡意工具和 IoC，如惡意哈希和域。

基于主機的工件的響應看起來很有希望，所以研究人員指示 ChatGPT 編寫一些代碼，從測試 Windows 系統中提取各種元數據，然后問自己元數據是否是 IoC：

由于某些代碼片段比其他代碼片段更方便，研究人員繼續手動開發這種概念驗證：他們過濾了 ChatGPT 響應包含關于 IoC 存在的 "yes" 語句的事件的輸出，添加了異常處理程序和 CSV 報告，修復了小漏洞，并將代碼片段轉換為單獨的 cmdlet，從而生成了一個簡單的 IoC 掃描器 HuntWithChatGPT.psm1，它能夠通過 WinRM 掃描遠程系統。

雖然對于 OpenAI API 來說，IoC 掃描的精確實現目前可能不是一個非常劃算的解決方案，因為每臺主機需要 15 到 20 美元，但它顯示了有趣的結果，并為未來的研究和測試提供了機會。

人工智能對我們生活的影響將遠遠超出 ChatGPT 和其他當前機器學習項目的能力。Ivan Kwiatkowski 是卡巴斯基實驗全球研究和分析團隊的一名研究員，他最近探討了我們可以預期的長期變化的可能范圍。這些觀點不僅包括人工智能帶來的生產力提高，還包括它可能帶來的社會、經濟和政治變化的影響。

追蹤用戶的數字足跡

研究人員已經習慣了服務提供商、營銷機構和分析公司跟蹤用戶的鼠標點擊、社交媒體帖子以及瀏覽器和流媒體服務的歷史記錄。公司這么做有很多原因，他們希望更好地了解我們的偏好，并建議我們更有可能購買的產品和服務。他們這樣做是為了找出我們最關注的圖像或文本，甚至還向第三方出售我們的在線行為和偏好。

跟蹤是使用網絡信標（又名追蹤器像素和間諜像素）完成的。最流行的跟蹤技術是將 1 × 1 甚至 0x0 像素的微小圖像插入電子郵件、應用程序或網頁。電子郵件客戶端或瀏覽器通過傳輸服務器記錄的有關用戶的信息來請求從服務器下載圖像。這包括時間、設備、操作系統、瀏覽器和下載像素的頁面。這就是信標操作員了解你打開電子郵件或網頁的方式以及方式。通常使用網頁中的一小段 JavaScript 來代替像素，它可以收集更詳細的信息。這些信標被放置在每個頁面或應用程序屏幕上，使公司可以在你上網的任何地方跟蹤你。

在研究人員最近關于網絡追蹤器的報告中，他們列出了網站和電子郵件中最常見的 20 個信標。網絡信標的數據基于卡巴斯基匿名統計數據，該組件阻止網站追蹤器的加載。大多數公司至少與數字廣告和營銷有一定聯系，包括谷歌、微軟、亞馬遜和甲骨文等科技巨頭。

電子郵件信標的數據來自卡巴斯基郵件產品的匿名反垃圾郵件檢測數據。列表中的公司是電子郵件服務提供商（ESP）或客戶關系管理（CRM）公司。使用追蹤器收集的信息不僅對合法公司有價值，對攻擊者也有價值。如果他們能夠獲得這些信息，例如，由于數據泄露，他們可以利用這些信息攻擊在線賬戶或發送虛假電子郵件。此外，攻擊者還利用網絡信標。你可以在此處找到有關如何保護自己免受跟蹤的信息。

通過搜索引擎插入惡意廣告

最近幾個月，研究人員觀察到使用谷歌廣告作為傳播惡意軟件手段的惡意活動數量有所增加。至少有兩個不同的竊取程序—— Rhadamanthys 和 RedLine，它們濫用了搜索引擎推廣計劃，以便向受害者的電腦發送惡意有效負載。

他們似乎使用了與著名軟件（如 Notepad++ 和 Blender 3D）相關的網站模仿技術。攻擊者創建合法軟件網站的副本，并使用 " 誤植域名 " ( 使用拼寫錯誤的品牌或公司名稱作為 url ) 或 " 組合搶注 " ( 如上所述，但添加任意單詞作為 url ) 來使網站看起來合法。然后，他們付費在搜索引擎中推廣該網站，以將其推到搜索結果的首位。惡意軟件的分布表明，攻擊者的目標是全球范圍內的個人和企業受害者。