网络攻击
第一 种新型勒索软件攻击
在当今互联网世界中,勒索软件已成为企业和个人面临的严峻威胁。根据Akamai发布的《互联网状态(SOTI)报告》,在不断发展的勒索软件环境中,攻击者正试图突破受害者的防御能力。与此同时,勒索软件组织正在将他们的攻击技术从传统的网络钓鱼行为转移到WEB应用零日漏洞的利用。这一趋势表明,攻击者正在不断寻找新的攻击途径,而漏洞滥用的范围和复杂性也在不断增长,而人工智能的迅猛发展也为勒索软件等恶意软件攻击提供了更为广泛的可乘之机。面对这些威胁,持续的漏洞利用到防御革新是至关重要的
第二 种针对虚拟设备的RaaS
Ransomware as a Sevice 指的是一种商业模型,其中勒索软件开发者向感兴趣的恶意行为者提供工具,以便他们可以发起勒索软件攻击。由于虚拟设备上缺少安全工具、对ESXi接口缺乏足够的网络分段,同时,大量的ESXi漏洞也让攻击者更容易得手。现在,RaaS已经将目标移到了VMware流行的ESXi虚拟机管理程序。
第三种 生成式AI威胁
基于生成式AI的网络攻击是一种非常新的威胁,它们带来了诸多众所周知的安全风险,其中之一是降低了恶意分子的攻击门槛,比如黑客通过使用OpenAI撰写出更逼真的网络钓鱼邮件。
安全研究人员还发现了专门供恶意黑客及其他犯罪分子使用的生成式AI工具,包括WormGPT、FraudGPT和DarkGPT。甚至连ChatGPT本身也可以为黑客提供重要帮助,比如为非英语母语人群改善语法。目前,还没有有效的防护措施来阻止基于生成式AI的攻击威胁。
第四类 为网络钓鱼设计的深度伪造视频制作软件
深度伪造领域最近出现了一款为网络钓鱼设计的深度伪造视频制作软件。该软件旨在通过使用深度伪造功能,帮助恶意团伙看起来更加个性化。这是目前发现的首款专为网络钓鱼骗局设计的深度伪造视频技术。
由于语音克隆软件日益普及,音频深度伪造在2023年也开始兴风作浪,被广泛用于转账骗局。这个领域更严重的威胁是,攻击者可能最终能够实现实时语音深度伪造,从而能够以最小的延迟将自己的声音转换成克隆的声音。
第五种 利用Teams的网络钓鱼
2023年,安全研究人员发现了利用微软Teams的攻击活动。攻击者使用了受攻击的微软365账户进行网络钓鱼攻击,使用Teams消息发送诱饵来引诱用户,并确保多因素身份验证(MFA)提示获得批准,从目标组织窃取凭据。研究人员表示,这个名为Midnight Blizzard的组织很可能在基于Teams的攻击中达成目标。
9月初,Truesec公司调查了另一起使用Teams网络钓鱼邮件分发附件的活动,该活动旨在安装DarkGate Loader恶意软件,而这个恶意软件可用于从事诸多恶意活动(包括部署勒索软件)。
同样在9月份,一个编号为Storm-0324的网络犯罪组织使用开源工具分发攻击载荷时,通过微软Teams聊天发送网络钓鱼诱饵。不过这些攻击与使用Teams的Midnight Blizzard活动无关,它们的目的主要是为了获得初始访问权限以从事恶意活动,比如部署勒索软件。
第六种 升级版应付账款欺诈
应付账款欺诈指攻击者冒充供应商,向目标受害者发送使用自己账号的发票,这不是新骗局。这种威胁目前有了一种更隐蔽的新变体,可以用来实施针对性很强的欺骗。
攻击者会通过社会工程进入到受害者的邮件账户并篡改邮件规则,将企业收到的发票转发给自己并删除发票,防止受害者收到真正的发票。在此之后,攻击者就会篡改发票,添加其自己的账号,并再此发送给受害者。
第七种 双重供应链攻击
2023年3月,应用广泛的通信软件开发商3CX遭受了一次类似SolarWinds的严重供应链攻击。研究人员调查后发现,与过去的软件供应链攻击相比,3CX攻击的最大特点是双重供应链攻击,因为这是由早期的供应链攻击造成的,攻击者篡改了金融软件公司Trading Technologies分发的软件包,因此,可以认为是一起软件供应链攻击导致了另一起软件供应链攻击。
第八种 为了利益的结盟合作
在最近针对赌场运营商米高梅(MGM)和凯撒娱乐的攻击活动中,研究人员发现了许多令人担忧的因素,攻击者不仅利用社会工程伎俩欺骗了IT服务台,成功获取到非法的访问权限,同时,另一个更加令人不安的动向是,两起攻击事件的背后都有多个攻击组织的合作,包括讲英语的Scattered Spider黑客组织与讲俄语的Alphv勒索软件团伙。Scattered Spider使用了由Alphv提供的BlackCat勒索软件,而Alphv团伙的成员之前隶属DarkSide,该组织是Colonial Pipeline攻击的幕后黑手。欧美的黑客组织与讲俄语的黑客组织结盟合作在之前非常罕见,这或许会促使网络攻击的威胁态势往令人不安的新方向发展。
第九种 向受害者更大施压
攻击者们普遍认为,只有向受害企业实施更大的压力,他们才会更好满足自己提出的赎金要求。以勒索犯罪组织Clop为例,该组织实施了今年最大规模勒索攻击之一的MOVEitluo活动。在攻击活动中,Clop一直在尝试不同的方法来发布和推送这些信息。最传统的方式是在开放的互联网上搭建泄密网站,但这类网站很容易被识别和阻止,因此攻击者们开始提供被盗数据种子文件,并采用去中心化的分发系统,这些种子文件更难被删除,而且下载起来更快。
第十种 最小破坏性攻击
安全研究人员发现,今天的攻击者更加关注窃取数据和获取利益,因此他们在实施网络攻击时,会尽量避免给受害者带来严重的破坏,因此不再使用大范围加密数据的攻击模式,而是选择最小破坏性的攻击手法。
研究人员甚至发现,一些攻击者在进行攻击的同时,还会将自己重新塑造成一种“安全顾问”的角色。一些勒索软件攻击者在完成勒索攻击后,甚至还推出了“安全顾问服务”,他们会为被攻击的企业提供付费版安全性审计报告,概述如何更有效地保护企业网络系统环境。通过这些方式,攻击者似乎在向受害者表明,他们其实是在“帮助”企业,而不是在搞破坏。