这是两部分系列文章的第一部分。要了解2020年最奇怪的网络安全事件,请阅读我们的第二个故事.
2020年,我们经历了重大转变。世界上很多地方都在努力限制冠状病毒的传播,人们改变了自己的日常生活方式,包括在家工作、站在社交距离之外的队伍中,以及等待当地规定,规定他们可以和不同家庭的成员做什么、不能做什么。
那是一段充满压力和困惑的时期,在此期间,网络罪犯适应了——有时有点太好了。
今天,我们要谈谈2020年我们在网上看到的一些最邪恶、最可耻的伎俩。我们分享的不是一份最具破坏性或最严重的攻击清单——因为这份清单肯定会排在第一位最近的太阳风袭击.相反,这是一份让我们吃惊的网络攻击和网络攻击技术的清单,无论是因为它们几乎难以察觉,还是因为它们非常严厉。
这些是2020年最诱人的——或最不可忽视的——网络攻击诱惑和网络攻击能力。
冠状病毒、冠状病毒、冠状病毒
从2月份开始,Malwarebytes和许多其必威平台APP他网络安全研究人员已经记录了一个冠状病毒的显著增加吸引了人们被用来欺骗人们打开恶意电子邮件和访问危险的网站。
首先,我们找到了网络罪犯冒充世界卫生组织分发一本假冒的冠状病毒电子书那个攻击载体肯定起作用了,因为在同一个月,网络犯罪分子再次冒充世界卫生组织传播入侵键盘记录器特斯拉特工.
其他类似的努力包括模仿无特征的"卫生部",请求捐款,以及据报道巴基斯坦国家资助的威胁行动者传播远程管理工具通过一场以冠状病毒为主题的钓鱼活动.事实上,就连最受通缉的网络威胁软件Emotet和TrickBot的运营商改变了他们的诱惑语言,把重点放在了冠状病毒上.
我们在每一次重大危机中都能看到这样的故事:恐慌和困惑的公众到处寻找答案,包括他们的收件箱。通过利用这种恐惧,威胁行为人能够欺骗无数只想在生活中得到一些指导和明确的受害者。
特百惠信用卡欺诈只是众多类似攻击之一
在应对冠状病毒大流行的最初几天,世界各地的地方和州政府开始关闭非必要的店面,以努力限制COVID-19的传播。虽然杂货店和药店仍在营业,但其他零售商店有时被迫完全转向在线商业模式,因为客流量已经不复存在。这意味着更多的商店在网上销售更多的商品,更多的人在网上购物。
但是,随着网上购物的增加,试图窃取网上信用卡数据的行为也在增加。
三月份,恶意软件字节必威平台APP发现了一个活跃的针对食品储存产品制造商特百惠的网络攻击.在这次攻击中,威胁行为者通过在一个图像文件中插入恶意代码,在付款过程中触发欺诈性付款表单,成功侵入了特百惠的主要网站。
对于毫无戒心的用户来说,这次网络抢劫几乎是察觉不到的。在试图从特百惠的网上商店结账时,受害者首先会看到一个欺诈性的、令人信服的付款表格,要求他们填写信用卡号码、有效期和三位数字的安全代码。
在受害者确认了自己的信用卡信息后,他们收到了网站超时的警告通知,他们必须再次输入自己的信用卡信息。虽然第二种支付方式是合法的,但为时已晚——网络窃贼已经得到了他们想要的东西。
特百惠袭击只是2020年众多类似袭击之一。事实上,仅在3月份,我们就记录了与上月相比,信用卡欺诈攻击增加了26%.二月份本身并不是一个安静的月份,因为我们也发现了威胁行为者在虚假的内容传送网络中隐藏一个信用卡扫描器.
Emotet融入人群(电子邮件附件)
2020年,最具破坏性的网络威胁之一严重改进了它的伪装。
两年多来,一个危险的恶意软件叫Emotet已被证明是其中之一全球企业面临的最大威胁.这是因为Emotet最初是一种银行木马,现在已经演变成一种复杂的威胁,通常是更广泛、更持久的网络破坏的第一步。
对于今天的大多数企业来说,Emotet攻击不再是一种攻击只是一个Emotet攻击。相反,一次成功的Emotet攻击可能会持续数天甚至数周而不被察觉。与此同时,威胁行动者可以使用Emotet下载一个单独的银行木马名为Trickbot,但另一个ransomware叫做琉克.
更糟糕的是,多年来,第一次阅读Emotet已经变得越来越难辨认。这种银行木马主要是通过恶意垃圾邮件传播的,恶意邮件中包含一些危险附件,比如启用宏操作的文档或其他危险链接。虽然类似的恶意邮件很容易检测出来,比如从从未见过的电子邮件地址发出的一次性账单发票,但Emotet却不同。
在大约一年的时间里,Emotet找到了一种方法将自己插入活跃的电子邮件线程,但也要复制并转发合法的邮件附件以便将自己的恶意负载隐藏在电子邮件用户可能已经识别的一组文档中。
在实施这些新技术的同时,Emotet在夏天也卷土重来.几个月后,它也做了一个表面的整容,潜伏在一个虚假的Microsoft Office更新请求中.
我们不知道什么时候才能摆脱Emotet,但我们知道这一天不会来得太快。
勒索软件越来越喜欢敲诈勒索
去年11月,宾夕法尼亚州的一家保安人员服务公司面临着一个不可能的最后期限。他们刚刚遭到勒索软件攻击,在当时最早有记录的案例中,他们有一个选择:要么支付赎金,要么你的机密文件被泄露到网上,让所有人都看到。
这是所谓的"迷宫小组"的杰作迷宫ransomware.
在宾夕法尼亚州,时间正在流逝,迷宫小组开始发出信号,表明他们不是在玩。使用一个连接到迷宫勒索软件攻击的电子邮件地址,一个来自迷宫小组的人给哔哔电脑的记者发了邮件基本上是在吹嘘他们的攻击。他们在电子邮件中写道:
“我给你写信是因为我们侵入了联合环球安全公司(aus.com)的网络,下载了数据,并在他们的网络中执行了Maze勒索软件。
他们被要求支付赎金以获得解密器,防止数据泄露,我们还告诉他们,如果他们不支付赎金,我们将写信告诉你们这一情况,因为对安全公司来说,被入侵和勒索是可耻的。”
我们给了他们思考的时间,但他们似乎放弃了支付流程。”
这家安全公司拒绝支付Maze Crew的赎金,而且,正如它所说的,Maze Crew公布了700mb的数据和从这次攻击中窃取的文件。
有趣的是,迷宫勒索软件的幕后操作者他们在11月宣布退休.不管他们是否可信,他们造成的伤害是永恒的。继去年他们敲诈勒索之后,其他威胁演员也纷纷效仿。事实上,根据八月份的一份报告在美国,30%的勒索软件攻击都涉及勒索威胁。在22%的攻击中,威胁行动者实际上迈出了实现这些威胁的第一步,从目标那里窃取了数据。
如果威胁行动者不从其他威胁行动者那里寻求灵感就好了。
释放的怪
今年10月,我们的威胁情报团队公布了关于一种网络威胁的发现,这种威胁就像它的名字“海妖”(Kraken)一样难以捉摸、难以捉摸。
这次攻击首先来自一份恶意文件——很可能是通过鱼叉式钓鱼运动传播的——该文件承诺提供获得工人赔偿的信息。打开文档,启用它的内容将允许连接到“你的赔偿权利[。,它将得到一个单独的、下载的图像。在内部,一个恶意宏启动了一系列事件,从内存中加载并执行有效负载。
有效负载是一个。net DLL,它向Windows错误报告服务WerFault.exe注入一个嵌入的shellcode。但是在攻击可以真正触发之前,DLL执行一些狡猾的技巧来避免检测。首先,它通过测量完成一组特定指令所需的时间来检查是否存在调试器。然后,它检查是否存在VMware或VirtualBox。然后它会检查处理器特性,shellcode还会检查调试器。在最后一次调试检查之后,它在一个新线程中创建它的最终shellcode。
在所有这些工作之后,一组指令中的最终shellcode发出一个HTTP请求来下载恶意负载。
不过,这里也有一些好消息。经过进一步调查,我们发现这个鬼鬼祟祟的威胁并不是与任何活跃的APT小组有关,而是红队活动测试安全的工作。
唷!
冒名顶替者综合症
今年4月,我们的团队发现,一群威胁行为者建立了一个恶意网站,目的是作为通往网络的大门影响开发工具包,它可以分发浣熊信息窃取者。
这种方法本身并不是什么新鲜事,而且威胁行为者一直在为这类攻击建立恶意网站。然而,让我们吃惊的是,威胁行动者试图冒充的组织:是我们,恶意软件必威平台APP.
恶意域名,在malwarebytesfree[。必威平台APP在我们自己的主页上向用户展示了许多相同的信息,因为这些信息只是简单地被滑动和转载。
该域名于3月29日通过域名注册局注册。RU LLC,当时在俄罗斯的托管地址是173.192.139[.]27。当我们仔细观察时,我们发现在山寨网站上有一小段JavaScript代码用于检查用户的网页浏览器。如果用户在Internet Explorer上访问该网站,他们将被引导到一个属于辐射漏洞工具包的恶意URL。
如果这些网络窃贼是想奉承我们,那没用。
漫长的一年
2020年,不仅冠状病毒被证明是欺骗人们让他们的机器感染病毒的最长期的诱饵之一,而且恶意软件的能力也大幅增加。
不过,今年也不全是厄运。必威平台APPMalwarebytes已经做了大量的工作,以确保您的安全,我们不断跟踪什么发生在晚上,以确保您的安全整个白天。
此外,我们不应该过早下结论所有今年的网络威胁由最诱人的。事实上,明天,我们将看一看2020年最奇怪的网络事件,剧透警告,有时威胁行为者会搞砸。
评论