【聚看点】2023 年第一季度 IT 攻击概述
2023-06-15 12:19:16来源:ZAKER科技
早 2022 年底,研究人员就发布过 BlueNoroff 组织的活动,这是一个以盗窃加密货币而闻名的出于经济动机的组织,通常利用 Word 文档,使用快捷方式文件进行初始攻击。不过最近的追踪发现,该组织采用了新的方法来传播其恶意软件。
其中一种是使用 .ISO(光盘映像)和 VHD(虚拟硬盘)文件格式,旨在避开 Web 标记(MotW)标志。MOTW 是 Windows Internet Explorer 通过强制使 IE 浏览器浏览存储下来的网页在安全的位置的一种机制,目的是增强安全性。
【资料图】
该组织似乎也在尝试用新的文件类型来传播其恶意软件。研究人员观察到一个新的 Visual Basic 脚本、一个以前未见过的 Windows 批处理文件和一个 Windows 可执行文件。
分析显示,该组织使用了 70 多个域名,这意味着他们直到最近都非常活跃。他们还创建了许多看起来像风险投资和银行域名的假域名,这些域名大多模仿日本风险投资公司,表明该组织对日本金融机构有着广泛的兴趣。Roaming Mantis 使用了新的 DNS Changer ( DNS 解析器 )
Roaming Mantis(又名 Shaoye)是一个针对亚洲国家的知名攻击组织。从 2019 年到 2022 年,这名攻击者主要使用 "smishing" 来提供其登陆页面的链接,目的是控制受攻击的安卓设备并窃取设备信息,包括用户凭据。
然而,在 2022 年 9 月,研究人员发现 Roaming Mantis 使用了新的 Wroba.o Android 恶意软件,并发现了一个 DNS 解析器功能,该功能主要针对韩国使用的特定 Wi-Fi 路由器。
这可以用于管理来自使用恶意 DNS 设置的受攻击 Wi-Fi 路由器的设备的所有通信,例如,将某人重定向到恶意主机并干扰安全产品更新。用户将受攻击的安卓设备连接到咖啡馆、酒吧、图书馆、酒店、购物中心和机场等场所的免费公共 Wi-Fi。当连接到具有易受攻击设置的目标 Wi-Fi 型号时,恶意软件将破坏路由器并影响其他设备。因此,它可以在目标区域广泛传播。BadMagic:与俄乌冲突有关的新 APT 组织
自俄乌冲突开始以来,研究人员已经发现了大量地缘政治网络攻击。
去年 10 月,研究人员就发现了 BadMagic 的攻击。最初的攻击途径尚不清楚,但接下来要使用鱼叉式网络钓鱼或类似的方法。攻击目标被导航到一个 URL,该 URL 指向托管在恶意 web 服务器上的 ZIP 文档。该文档包含两个文件:一个是诱饵文档(研究人员发现了 PDF、XLSX 和 DOCX 版本),另一个是带有双重扩展名的恶意 LNK 文件(例如 PDF.LNK),打开后会导致攻击。
在一些情况下,诱饵文档的内容与恶意 LNK 的名称直接相关,以诱使用户激活它。LNK 文件下载并安装了一个名为 "PowerMagic" 的 PowerShell 后门,该后门反过来部署了一个复杂的模块化框架 "CommonMagic"。研究人员发现 CommonMagic 插件能够从 USB 设备中窃取文件,并进行截屏将其发送给攻击者。
在初步分析中,研究人员无法找到任何证据将他们发现的样本和活动中使用的数据与任何以前已知的攻击者联系起来。Prilex 针对非接触式信用卡交易发起攻击
Prilex 已经从专注于 ATM 的攻击演变成了涉及 PoS 的攻击。该组织开发的最新恶意软件不是基于 PoS 攻击中常见的内存抓取器技术,而是直接开发了一种高度先进的恶意软件,该软件包括独特的加密方案、目标软件的实时补丁、强制协议降级、操纵密码、执行所谓的 "GHOST 交易 " 和信用卡欺诈,甚至是芯片和 PIN 卡上的欺诈。
在调查一起事件时,研究人员发现了新的 Prilex 样本,其中一个新功能包括阻止非接触式交易的功能。这些交易生成一个仅对一笔交易有效的唯一标识符,这样攻击者就没有办法利用它了。通过阻止交易,Prilex 试图迫使客户插入他们的卡来进行芯片和 PIN 交易,这样攻击者就有机会使用他们的标准技术从卡中捕获数据。
随着非接触式卡交易的增加,该技术可以让 Prilex 攻击者继续窃取卡信息。
攻击者使用社会工程来攻击 PoS 终端,他们试图说服零售店的员工,他们迫切需要更新终端的软件,并允许所谓 " 技术专家 " 访问商店,或者至少提供远程访问终端的权限。所以,零售公司要警惕攻击迹象,包括反复失败的非接触式交易,并教育员工了解这种攻击方法。
对于零售公司(尤其是拥有许多分支机构的公司)来说,制定内部法规并向所有员工解释技术支持或维护人员应该如何运作是很重要的。这至少可以防止对 pos 终端的未经授权的访问。此外,提高员工对最新网络威胁的意识总是一个好主意,这样他们就不会那么容易受到新的社会工程技巧的影响。
使用假冒 Tor 浏览器窃取加密货币
研究人员最近发现了一个正在进行的加密货币盗窃活动,影响了 52 个国家的 1.5 万多名用户。攻击者使用了一种已经存在了十多年的技术,最初是由银行木马用来替换银行账号的。然而,在最近的活动中,攻击者使用木马版的 Tor 浏览器来窃取加密货币。
目标从包含密码保护的 RAR 文档的第三方资源下载 Tor 浏览器的木马化版本,密码用于防止其被安全解决方案检测到。一旦文件被释放到目标计算机上,它就会在系统的自动启动中自我注册,并伪装成一个流行应用程序(如 uTorrent)的图标。
恶意软件一直等到剪贴板中出现钱包地址,然后将输入的剪贴板内容的一部分替换为攻击者自己的钱包地址。对现有样本的分析表明,这些攻击目标的估计损失至少为 40 万美元,但实际被盗金额可能要大得多,因为研究人员的研究只关注 Tor 浏览器滥用。其他活动可能使用不同的软件和恶意软件传播方法,以及其他类型的钱包。
研究人员目前还无法确定一个承载安装程序的网站,因此它可能是通过 torrent 下载或其他软件下载程序传播的。来自官方 Tor 项目的安装程序是数字签名的,不包含任何此类恶意软件的迹象。因此,为了保证安全,你应该只从可靠和可信的来源下载软件。即使有人下载了木马化的版本,一个好的反病毒产品也应该能够检测到它。
还有一种方法可以检查你的系统是否受到同类恶意软件的攻击。在记事本中输入以下 " 比特币地址 ":
bc1heymalwarehowaboutyoureplacethisaddress
现在按 Ctrl+C 和 Ctrl+V。如果地址更改为其他地址,则系统可能受到剪贴板注入器恶意软件的危害,并且使用起来很危险。
我们建议你用安全软件扫描你的系统。如果你不确定是否有隐藏的后门,那么一旦系统被破坏,你就不应该信任它,直到它被重建。利用 ChatGPT 发起攻击
自从 OpenAI 通过 ChatGPT 向公众开放其大型 GPT-3 语言模型以来,人们对该项目的兴趣猛增,争相探索它的可能性,包括写诗、参与对话、提供信息、为网站创建内容等等。
关于 ChatGPT 对安全格局的潜在影响,也有很多讨论。
鉴于 ChatGPT 模仿人类互动的能力,使用 ChatGPT 的自动鱼叉式网络钓鱼攻击很可能已经发生了。ChatGPT 允许攻击者在工业规模上生成有说服力的个性化电子邮件。此外,来自钓鱼信息目标的任何回复都可以很容易地输入聊天机器人的模型,在几秒钟内产生令人信服的后续活动。也就是说,虽然 ChatGPT 可能会让攻击者更容易伪造网络钓鱼信息,但它并没有改变这种攻击形式的本质。
攻击者还在地下黑客论坛上介绍了他们如何使用 ChatGPT 创建新的木马。由于聊天机器人能够编写代码,如果有人描述了一个所需的功能,例如," 将所有密码保存在文件 X 中,并通过 HTTP POST 发送到服务器 Y",他们可以在不具备任何编程技能的情况下创建一个简单的信息窃取器。然而,这样的木马很可能是很低级的,并且可能包含效果较差的漏洞。至少就目前而言,聊天机器人只能编写低级恶意软件。
研究人员还发现了一个恶意活动,试图利用 ChatGPT 日益流行的优势。欺诈者创建了模仿爱好者社区的社交网络群组。这些群组还包含预先创建的帐户的虚假凭据,这些帐户声称可以访问 ChatGPT。这些群组包含一个看似合理的链接,邀请人们下载一个虚假的 Windows 版 ChatGPT。
该恶意链接安装了一个木马,可以窃取存储在 Chrome、Edge、Firefox、Brave 和其他浏览器中的帐户凭证。由于安全研究人员经常发布有关攻击者的报告,包括 TTP(战术、技术和程序)和其他指标,研究人员决定尝试了解 ChatGPT 对安全格局的影响,以及它是否可以帮助常见的恶意工具和 IoC,如恶意哈希和域。
基于主机的工件的响应看起来很有希望,所以研究人员指示 ChatGPT 编写一些代码,从测试 Windows 系统中提取各种元数据,然后问自己元数据是否是 IoC:
由于某些代码片段比其他代码片段更方便,研究人员继续手动开发这种概念验证:他们过滤了 ChatGPT 响应包含关于 IoC 存在的 "yes" 语句的事件的输出,添加了异常处理程序和 CSV 报告,修复了小漏洞,并将代码片段转换为单独的 cmdlet,从而生成了一个简单的 IoC 扫描器 HuntWithChatGPT.psm1,它能够通过 WinRM 扫描远程系统。虽然对于 OpenAI API 来说,IoC 扫描的精确实现目前可能不是一个非常划算的解决方案,因为每台主机需要 15 到 20 美元,但它显示了有趣的结果,并为未来的研究和测试提供了机会。
人工智能对我们生活的影响将远远超出 ChatGPT 和其他当前机器学习项目的能力。Ivan Kwiatkowski 是卡巴斯基实验全球研究和分析团队的一名研究员,他最近探讨了我们可以预期的长期变化的可能范围。这些观点不仅包括人工智能带来的生产力提高,还包括它可能带来的社会、经济和政治变化的影响。
追踪用户的数字足迹
研究人员已经习惯了服务提供商、营销机构和分析公司跟踪用户的鼠标点击、社交媒体帖子以及浏览器和流媒体服务的历史记录。公司这么做有很多原因,他们希望更好地了解我们的偏好,并建议我们更有可能购买的产品和服务。他们这样做是为了找出我们最关注的图像或文本,甚至还向第三方出售我们的在线行为和偏好。
跟踪是使用网络信标(又名追踪器像素和间谍像素)完成的。最流行的跟踪技术是将 1 × 1 甚至 0x0 像素的微小图像插入电子邮件、应用程序或网页。电子邮件客户端或浏览器通过传输服务器记录的有关用户的信息来请求从服务器下载图像。这包括时间、设备、操作系统、浏览器和下载像素的页面。这就是信标操作员了解你打开电子邮件或网页的方式以及方式。通常使用网页中的一小段 JavaScript 来代替像素,它可以收集更详细的信息。这些信标被放置在每个页面或应用程序屏幕上,使公司可以在你上网的任何地方跟踪你。
在研究人员最近关于网络追踪器的报告中,他们列出了网站和电子邮件中最常见的 20 个信标。网络信标的数据基于卡巴斯基匿名统计数据,该组件阻止网站追踪器的加载。大多数公司至少与数字广告和营销有一定联系,包括谷歌、微软、亚马逊和甲骨文等科技巨头。
电子邮件信标的数据来自卡巴斯基邮件产品的匿名反垃圾邮件检测数据。列表中的公司是电子邮件服务提供商(ESP)或客户关系管理(CRM)公司。使用追踪器收集的信息不仅对合法公司有价值,对攻击者也有价值。如果他们能够获得这些信息,例如,由于数据泄露,他们可以利用这些信息攻击在线账户或发送虚假电子邮件。此外,攻击者还利用网络信标。你可以在此处找到有关如何保护自己免受跟踪的信息。通过搜索引擎插入恶意广告
最近几个月,研究人员观察到使用谷歌广告作为传播恶意软件手段的恶意活动数量有所增加。至少有两个不同的窃取程序—— Rhadamanthys 和 RedLine,它们滥用了搜索引擎推广计划,以便向受害者的电脑发送恶意有效负载。
他们似乎使用了与著名软件(如 Notepad++ 和 Blender 3D)相关的网站模仿技术。攻击者创建合法软件网站的副本,并使用 " 误植域名 " ( 使用拼写错误的品牌或公司名称作为 url ) 或 " 组合抢注 " ( 如上所述,但添加任意单词作为 url ) 来使网站看起来合法。然后,他们付费在搜索引擎中推广该网站,以将其推到搜索结果的首位。恶意软件的分布表明,攻击者的目标是全球范围内的个人和企业受害者。责任编辑:hnmd003
相关阅读
相关阅读
-
【聚看点】2023 年第一季度 IT 攻击概述
BlueNoroff引入绕过MotW的新方法早2022年底,研究人员就发布过BlueNoro
-
全球最新:vivo x100 系列影像堆料生猛,更多配置信息曝光
有数码博主爆料,vivox100系列也拿到了可变光圈的供应链,主摄像头延续
-
焦点热议:iOS 17 的那些小秘密,发布会上就不告诉你
自打库克在WWDC上发布了iOS17之后,网上对这次大会的吐槽就从没停下来
-
【天天速看料】银行业研报,部分银行倒闭有助全球银行业恢复秩序?
图片来源@视觉中国文|BT财经最近,全球的银行业动荡暴露了该行业面临的
-
全球观点:“麻辣粉”跟随下调 10 个基点 分析师:6 月 LPR 报价有可能出现非对称下调
继公开市场逆回购、各期限常备借贷便利操作(SLF)后,中期借贷便利操
-
故宫博物院最新公告:营地车、自动平衡车等禁止入院!出现这种情形,60 日内将无法预约门票及展览
今日(6月15日)上午,故宫博物院发布参观须知,对大件行李箱、营地车
-
统计局:下阶段随着经济持续好转,就业保持总体稳定有较好支撑|世界新资讯
国家统计局新闻发言人付凌晖表示,总的来看,青年失业率处在高位。从总
-
创业板指半日涨1.55% 机器人板块涨幅居前
上证报中国证券网讯6月15日,沪指早盘窄幅震荡,微涨0 09%,深成指涨0
-
【快播报】中国人寿盛世年金保险如何购买?购买需要哪些材料?
线上购买:在中国人寿保险官方网站上进行在线购买即可,操作简单快捷。
-
环球微动态丨小鹏汽车城市NGP在北京正式开放
小鹏汽车城市NGP在北京正式开放6月15日,小鹏汽车宣布,其城市NGP正式
-
今日精选:雷诺旗下Mobilize与欧洲零售商谈判,为电动汽车提供充电盒
雷诺旗下Mobilize与欧洲零售商谈判,为电动汽车提供充电盒盖世汽车讯据
-
观焦点:8万级SUV再添新潮品,2023款欧萌达焕新上市!
8万级SUV再添新潮品,2023款欧萌达焕新上市!在出行需求升级时代,SUV
-
环球即时看!为汽车产业的创新发展提供新思路
为汽车产业的创新发展提供新思路近日,在由KPMG组织的汽车社群研讨活动
-
助力低碳交通 长城汽车亮相2023上海国际碳博会
助力低碳交通长城汽车亮相2023上海国际碳博会6月11日至14日,首届“上
-
u盘缩水盘是什么意思?缩水u盘怎么修复?
u盘缩水盘是什么意思?缩水U盘,也称扩容盘、升级盘。是指不法厂商使用一种量产工具的软件,改变U盘上的...
-
二次元是日本文化吗?二次元与三次元的区别
二次元是日本文化吗?二次元,来自于日语的"二次元(にじげん)",意思是"二维",在日本的动画爱好者中指动...
-
过温保护是什么意思?过温保护怎么测试?
过温保护是什么意思?过温保护(Over Temperature Protection,OTP)是一种常见的电子保护功能,通常用于保...
-
世界动态:基于一起税款滞纳金纠纷案的思考与建议
作者:汤旖璆俞中天一、基本案情A企业是X市的一家企业,持有某地块的土
-
流量计是干嘛用的?流量计种类有哪些?
流量计是干嘛用的?流量计英文名称是flowmeter,全国科学技术名词审定委员会把它定义为:指示被测流量和(...
-
29届北京国际图书博览会开幕
第29届北京国际图书博览会于6月15日在北京国家会议中心开幕。参展国家
-
亚洲电视控股开盘涨超8% 日前宣布进入电商直播_滚动
亚洲电视控股(00707 HK)涨8 47%。消息方面,亚洲电视控股于6月6日开始
-
高质量发展调研行|广东潮州凤凰镇:“茶+文旅产业”带动乡村振兴_环球播报
广东潮州凤凰镇坚持“以茶为本、茶旅融合”,深入挖掘凤凰单丛茶文化丰
-
“太晦气了!”女子深夜竟收到手机新功能推送,是关于 ..._天天最新
6月12日深夜,长沙周女士收到一则来自iPhone的通知。内容为了解如何添
-
天天动态:人工智能大模型电视长虹超脑开启公测
品玩6月15日讯,四川长虹官微消息,长虹电视部分产品已搭载长虹超脑人
-
索尼 WF-1000XM5 真无线耳机详细参数曝光 数日后发布
【CNMO新闻】近期,关于索尼WF-1000XM5新款旗舰真无线耳机的消息不断传
-
世界观天下!GitHub 报告显示,92% 的美国程序员或正在借助 AI 工作
品玩6月15日讯,GitHub近日发布的一份报告显示,美国约有92%的程序员正
-
疑似 realme 真我 GT Neo5 Pro 规格曝光 骁龙 8 Gen 2 加持兼备快充大电池 快看
如今许多骁龙8Gen2的安卓旗舰已发布问世,但realme真我尚未推出搭载这
-
天天速递!周鸿祎谈“百模大战”:弯道超车的关键在发展多模态
本文来源:时代周报作者:唐洛作为搜索引擎厂商,我们发展大模型不该是
-
世界速读:中国建设银行公告!明起将下线这项功能
6月15日,中国建设银行发布《关于下线基金实时估值展示功能的公告》,
-
《白夜极光》观察:腾讯打法巨变!对比《崩铁》《重返未来》如何?_热点评
文|DataEye6月13日,《白夜极光》正式登陆各大平台,吹响了腾讯进攻二
精彩推荐
阅读排行
精彩推送
- 涉警人员什么意思?涉警人员影响...
- 醉酒驾车的酒精含量是多少?醉酒...
- 刑拘是什么意思?刑拘期间在里面...
- 【快播报】西安培华学院第四届就...
- 什么是渎职侵权罪?渎职侵权是属...
- 中华人民共和国票据法第七十六条...
- 港澳通行证怎么办理?港澳通行证...
- 民生信用卡怎么还款?民生银行信...
- 直系亲属指哪些人?直系亲属为什...
- 注册投资公司的方式是什么?中华...
- 中华人民共和国商标法第三十三条...
- 企业法人是指什么?企业法人和非...
- 单位名称变更证明的写法是什么?...
- 合同无效的后果是什么?民法典第...
- 中药秘方申请专利的方式是什么?...
- 我国的权力机关有哪些?权力机关...
- 劳务外包有五险一金吗?社会保险...
- 党政机关、群众团体、企业、事业...
- 离婚一方不同意怎么样才能离婚?...
- 单独两孩是什么意思?单独二孩办...
- 有期徒刑一年缓刑一年是什么意思...
- 人寿百万医疗险都保什么病?值不...
- 全球热文:为什么要买理财保险?...
- 环球关注:百万医疗的优缺点有哪...
- 百万医疗几岁可以买?一年要交多...
- 万能险和年金险的区别在哪?哪一...
- 梅西门票二手平台涨近4倍,你会...
- 资金流向(6月14日)丨科大讯飞...
- 遇到碰瓷户的处理流程是什么?碰...
- 周末加班费怎么算?中华人民共和...