【聚看点】2023 年第一季度 IT 攻击概述

BlueNoroff 引入绕过 MotW 的新方法

早 2022 年底，研究人员就发布过 BlueNoroff 组织的活动，这是一个以盗窃加密货币而闻名的出于经济动机的组织，通常利用 Word 文档，使用快捷方式文件进行初始攻击。不过最近的追踪发现，该组织采用了新的方法来传播其恶意软件。

其中一种是使用 .ISO（光盘映像）和 VHD（虚拟硬盘）文件格式，旨在避开 Web 标记（MotW）标志。MOTW 是 Windows Internet Explorer 通过强制使 IE 浏览器浏览存储下来的网页在安全的位置的一种机制，目的是增强安全性。

【资料图】

该组织似乎也在尝试用新的文件类型来传播其恶意软件。研究人员观察到一个新的 Visual Basic 脚本、一个以前未见过的 Windows 批处理文件和一个 Windows 可执行文件。

分析显示，该组织使用了 70 多个域名，这意味着他们直到最近都非常活跃。他们还创建了许多看起来像风险投资和银行域名的假域名，这些域名大多模仿日本风险投资公司，表明该组织对日本金融机构有着广泛的兴趣。

Roaming Mantis 使用了新的 DNS Changer ( DNS 解析器 )

Roaming Mantis（又名 Shaoye）是一个针对亚洲国家的知名攻击组织。从 2019 年到 2022 年，这名攻击者主要使用 "smishing" 来提供其登陆页面的链接，目的是控制受攻击的安卓设备并窃取设备信息，包括用户凭据。

然而，在 2022 年 9 月，研究人员发现 Roaming Mantis 使用了新的 Wroba.o Android 恶意软件，并发现了一个 DNS 解析器功能，该功能主要针对韩国使用的特定 Wi-Fi 路由器。

这可以用于管理来自使用恶意 DNS 设置的受攻击 Wi-Fi 路由器的设备的所有通信，例如，将某人重定向到恶意主机并干扰安全产品更新。用户将受攻击的安卓设备连接到咖啡馆、酒吧、图书馆、酒店、购物中心和机场等场所的免费公共 Wi-Fi。当连接到具有易受攻击设置的目标 Wi-Fi 型号时，恶意软件将破坏路由器并影响其他设备。因此，它可以在目标区域广泛传播。

BadMagic：与俄乌冲突有关的新 APT 组织

自俄乌冲突开始以来，研究人员已经发现了大量地缘政治网络攻击。

去年 10 月，研究人员就发现了 BadMagic 的攻击。最初的攻击途径尚不清楚，但接下来要使用鱼叉式网络钓鱼或类似的方法。攻击目标被导航到一个 URL，该 URL 指向托管在恶意 web 服务器上的 ZIP 文档。该文档包含两个文件：一个是诱饵文档（研究人员发现了 PDF、XLSX 和 DOCX 版本），另一个是带有双重扩展名的恶意 LNK 文件（例如 PDF.LNK），打开后会导致攻击。

在一些情况下，诱饵文档的内容与恶意 LNK 的名称直接相关，以诱使用户激活它。

LNK 文件下载并安装了一个名为 "PowerMagic" 的 PowerShell 后门，该后门反过来部署了一个复杂的模块化框架 "CommonMagic"。研究人员发现 CommonMagic 插件能够从 USB 设备中窃取文件，并进行截屏将其发送给攻击者。

在初步分析中，研究人员无法找到任何证据将他们发现的样本和活动中使用的数据与任何以前已知的攻击者联系起来。

Prilex 针对非接触式信用卡交易发起攻击

Prilex 已经从专注于 ATM 的攻击演变成了涉及 PoS 的攻击。该组织开发的最新恶意软件不是基于 PoS 攻击中常见的内存抓取器技术，而是直接开发了一种高度先进的恶意软件，该软件包括独特的加密方案、目标软件的实时补丁、强制协议降级、操纵密码、执行所谓的 "GHOST 交易 " 和信用卡欺诈，甚至是芯片和 PIN 卡上的欺诈。

在调查一起事件时，研究人员发现了新的 Prilex 样本，其中一个新功能包括阻止非接触式交易的功能。这些交易生成一个仅对一笔交易有效的唯一标识符，这样攻击者就没有办法利用它了。通过阻止交易，Prilex 试图迫使客户插入他们的卡来进行芯片和 PIN 交易，这样攻击者就有机会使用他们的标准技术从卡中捕获数据。

随着非接触式卡交易的增加，该技术可以让 Prilex 攻击者继续窃取卡信息。

攻击者使用社会工程来攻击 PoS 终端，他们试图说服零售店的员工，他们迫切需要更新终端的软件，并允许所谓 " 技术专家 " 访问商店，或者至少提供远程访问终端的权限。所以，零售公司要警惕攻击迹象，包括反复失败的非接触式交易，并教育员工了解这种攻击方法。

对于零售公司（尤其是拥有许多分支机构的公司）来说，制定内部法规并向所有员工解释技术支持或维护人员应该如何运作是很重要的。这至少可以防止对 pos 终端的未经授权的访问。此外，提高员工对最新网络威胁的意识总是一个好主意，这样他们就不会那么容易受到新的社会工程技巧的影响。

使用假冒 Tor 浏览器窃取加密货币

研究人员最近发现了一个正在进行的加密货币盗窃活动，影响了 52 个国家的 1.5 万多名用户。攻击者使用了一种已经存在了十多年的技术，最初是由银行木马用来替换银行账号的。然而，在最近的活动中，攻击者使用木马版的 Tor 浏览器来窃取加密货币。

目标从包含密码保护的 RAR 文档的第三方资源下载 Tor 浏览器的木马化版本，密码用于防止其被安全解决方案检测到。一旦文件被释放到目标计算机上，它就会在系统的自动启动中自我注册，并伪装成一个流行应用程序（如 uTorrent）的图标。

恶意软件一直等到剪贴板中出现钱包地址，然后将输入的剪贴板内容的一部分替换为攻击者自己的钱包地址。

对现有样本的分析表明，这些攻击目标的估计损失至少为 40 万美元，但实际被盗金额可能要大得多，因为研究人员的研究只关注 Tor 浏览器滥用。其他活动可能使用不同的软件和恶意软件传播方法，以及其他类型的钱包。

研究人员目前还无法确定一个承载安装程序的网站，因此它可能是通过 torrent 下载或其他软件下载程序传播的。来自官方 Tor 项目的安装程序是数字签名的，不包含任何此类恶意软件的迹象。因此，为了保证安全，你应该只从可靠和可信的来源下载软件。即使有人下载了木马化的版本，一个好的反病毒产品也应该能够检测到它。

还有一种方法可以检查你的系统是否受到同类恶意软件的攻击。在记事本中输入以下 " 比特币地址 "：

bc1heymalwarehowaboutyoureplacethisaddress

现在按 Ctrl+C 和 Ctrl+V。如果地址更改为其他地址，则系统可能受到剪贴板注入器恶意软件的危害，并且使用起来很危险。

我们建议你用安全软件扫描你的系统。如果你不确定是否有隐藏的后门，那么一旦系统被破坏，你就不应该信任它，直到它被重建。

利用 ChatGPT 发起攻击

自从 OpenAI 通过 ChatGPT 向公众开放其大型 GPT-3 语言模型以来，人们对该项目的兴趣猛增，争相探索它的可能性，包括写诗、参与对话、提供信息、为网站创建内容等等。

关于 ChatGPT 对安全格局的潜在影响，也有很多讨论。

鉴于 ChatGPT 模仿人类互动的能力，使用 ChatGPT 的自动鱼叉式网络钓鱼攻击很可能已经发生了。ChatGPT 允许攻击者在工业规模上生成有说服力的个性化电子邮件。此外，来自钓鱼信息目标的任何回复都可以很容易地输入聊天机器人的模型，在几秒钟内产生令人信服的后续活动。也就是说，虽然 ChatGPT 可能会让攻击者更容易伪造网络钓鱼信息，但它并没有改变这种攻击形式的本质。

攻击者还在地下黑客论坛上介绍了他们如何使用 ChatGPT 创建新的木马。由于聊天机器人能够编写代码，如果有人描述了一个所需的功能，例如，" 将所有密码保存在文件 X 中，并通过 HTTP POST 发送到服务器 Y"，他们可以在不具备任何编程技能的情况下创建一个简单的信息窃取器。然而，这样的木马很可能是很低级的，并且可能包含效果较差的漏洞。至少就目前而言，聊天机器人只能编写低级恶意软件。

研究人员还发现了一个恶意活动，试图利用 ChatGPT 日益流行的优势。欺诈者创建了模仿爱好者社区的社交网络群组。这些群组还包含预先创建的帐户的虚假凭据，这些帐户声称可以访问 ChatGPT。这些群组包含一个看似合理的链接，邀请人们下载一个虚假的 Windows 版 ChatGPT。

该恶意链接安装了一个木马，可以窃取存储在 Chrome、Edge、Firefox、Brave 和其他浏览器中的帐户凭证。

由于安全研究人员经常发布有关攻击者的报告，包括 TTP（战术、技术和程序）和其他指标，研究人员决定尝试了解 ChatGPT 对安全格局的影响，以及它是否可以帮助常见的恶意工具和 IoC，如恶意哈希和域。

基于主机的工件的响应看起来很有希望，所以研究人员指示 ChatGPT 编写一些代码，从测试 Windows 系统中提取各种元数据，然后问自己元数据是否是 IoC：

由于某些代码片段比其他代码片段更方便，研究人员继续手动开发这种概念验证：他们过滤了 ChatGPT 响应包含关于 IoC 存在的 "yes" 语句的事件的输出，添加了异常处理程序和 CSV 报告，修复了小漏洞，并将代码片段转换为单独的 cmdlet，从而生成了一个简单的 IoC 扫描器 HuntWithChatGPT.psm1，它能够通过 WinRM 扫描远程系统。

虽然对于 OpenAI API 来说，IoC 扫描的精确实现目前可能不是一个非常划算的解决方案，因为每台主机需要 15 到 20 美元，但它显示了有趣的结果，并为未来的研究和测试提供了机会。

人工智能对我们生活的影响将远远超出 ChatGPT 和其他当前机器学习项目的能力。Ivan Kwiatkowski 是卡巴斯基实验全球研究和分析团队的一名研究员，他最近探讨了我们可以预期的长期变化的可能范围。这些观点不仅包括人工智能带来的生产力提高，还包括它可能带来的社会、经济和政治变化的影响。

追踪用户的数字足迹

研究人员已经习惯了服务提供商、营销机构和分析公司跟踪用户的鼠标点击、社交媒体帖子以及浏览器和流媒体服务的历史记录。公司这么做有很多原因，他们希望更好地了解我们的偏好，并建议我们更有可能购买的产品和服务。他们这样做是为了找出我们最关注的图像或文本，甚至还向第三方出售我们的在线行为和偏好。

跟踪是使用网络信标（又名追踪器像素和间谍像素）完成的。最流行的跟踪技术是将 1 × 1 甚至 0x0 像素的微小图像插入电子邮件、应用程序或网页。电子邮件客户端或浏览器通过传输服务器记录的有关用户的信息来请求从服务器下载图像。这包括时间、设备、操作系统、浏览器和下载像素的页面。这就是信标操作员了解你打开电子邮件或网页的方式以及方式。通常使用网页中的一小段 JavaScript 来代替像素，它可以收集更详细的信息。这些信标被放置在每个页面或应用程序屏幕上，使公司可以在你上网的任何地方跟踪你。

在研究人员最近关于网络追踪器的报告中，他们列出了网站和电子邮件中最常见的 20 个信标。网络信标的数据基于卡巴斯基匿名统计数据，该组件阻止网站追踪器的加载。大多数公司至少与数字广告和营销有一定联系，包括谷歌、微软、亚马逊和甲骨文等科技巨头。

电子邮件信标的数据来自卡巴斯基邮件产品的匿名反垃圾邮件检测数据。列表中的公司是电子邮件服务提供商（ESP）或客户关系管理（CRM）公司。使用追踪器收集的信息不仅对合法公司有价值，对攻击者也有价值。如果他们能够获得这些信息，例如，由于数据泄露，他们可以利用这些信息攻击在线账户或发送虚假电子邮件。此外，攻击者还利用网络信标。你可以在此处找到有关如何保护自己免受跟踪的信息。

通过搜索引擎插入恶意广告

最近几个月，研究人员观察到使用谷歌广告作为传播恶意软件手段的恶意活动数量有所增加。至少有两个不同的窃取程序—— Rhadamanthys 和 RedLine，它们滥用了搜索引擎推广计划，以便向受害者的电脑发送恶意有效负载。

他们似乎使用了与著名软件（如 Notepad++ 和 Blender 3D）相关的网站模仿技术。攻击者创建合法软件网站的副本，并使用 " 误植域名 " ( 使用拼写错误的品牌或公司名称作为 url ) 或 " 组合抢注 " ( 如上所述，但添加任意单词作为 url ) 来使网站看起来合法。然后，他们付费在搜索引擎中推广该网站，以将其推到搜索结果的首位。恶意软件的分布表明，攻击者的目标是全球范围内的个人和企业受害者。