普普安全資訊一周概覽(0722-0728)

作者:

時(shí)間:
2023-07-28


01

勒索軟件新玩家:8Base


8Base 是一個(gè)勒索軟件團(tuán)伙,自從 2022 年 3 月以來(lái)一直保持活躍,且在 2023 年 6 月攻擊大幅增強(qiáng)。攻擊者在泄漏數(shù)據(jù)的網(wǎng)站上,提供了各種常見(jiàn)問(wèn)題的解決方案與多種聯(lián)系方式。另一個(gè)有趣的地方是 8Base 團(tuán)伙的溝通方式與另一個(gè)已知的勒索軟件組織 RansomHouse 十分類似。其目標(biāo)行業(yè)有商業(yè)服務(wù)、金融、制造與信息技術(shù)。該團(tuán)伙也是雙重勒索的使用者,多種手段并用逼迫受害者支付贖金。8Base 最近跨行業(yè)攻擊了很多目標(biāo),但攻擊者的身份與潛在動(dòng)機(jī)仍然不明。盡管 8Base 勒索軟件團(tuán)伙并不一定是一個(gè)新出現(xiàn)的攻擊團(tuán)伙,但其最近激增的活動(dòng)并未引起人們的廣泛關(guān)注。在過(guò)去的一個(gè)月內(nèi),8Base 也可以排得上最活躍的前兩位。除了勒索信息與擴(kuò)展名為 .8Base 的加密文件外,其實(shí)大家對(duì) 8Base 勒索軟件知之甚少。8Base 正在進(jìn)行瘋狂攻擊,目前只能推測(cè)其使用幾種不同的勒索軟件進(jìn)行攻擊。該團(tuán)伙針對(duì)小型企業(yè)的攻擊十分頻繁,一直處于活躍期。


普普點(diǎn)評(píng)

在發(fā)現(xiàn) 8Base 之初,研究人員就注意到其與 RansomHouse 之間存在明顯的相似之處。其勒索信息與 RansomHouse 的勒索信息相似度達(dá)到 99%。數(shù)據(jù)泄露網(wǎng)站的歡迎頁(yè)面就是從 RandomHouse 的頁(yè)面復(fù)制過(guò)來(lái)的,服務(wù)條款頁(yè)與常見(jiàn)問(wèn)題解答頁(yè)也是如此。由于二者高度相似,研究人員懷疑 8Base 是否為 RansomHouse 的分支或者模仿者,但是RansomHouse 使用黑市上出售的各種勒索軟件進(jìn)行攻擊,并不自行開發(fā),對(duì)于 8Base 也未能找到任何勒索軟件變種。8Base 是否為 Phobos 或者 RandomHouse 的分支還有待觀察,但一目了然的是 8Base 與 RansomHouse 幾乎相同。






02

隱藏在SOHO路由器中的遠(yuǎn)程訪問(wèn)木馬AVrecon,兩年感染20個(gè)國(guó)家的7萬(wàn)臺(tái)設(shè)備

最近,通信公司Lumen的Black Lotus實(shí)驗(yàn)室在一篇博客中稱,其發(fā)現(xiàn)了一項(xiàng)持續(xù)多年的波及全球路由器的惡意活動(dòng)——新型僵尸網(wǎng)絡(luò)“AVrecon”在未被察覺(jué)的情況下運(yùn)行了至少兩年,感染了全球7萬(wàn)臺(tái)路由器。美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)最近就警告稱,攻擊者可利用SOHO路由器等網(wǎng)絡(luò)設(shè)備作為全球攻擊基礎(chǔ)設(shè)施并對(duì)組織網(wǎng)絡(luò)進(jìn)行無(wú)限制訪問(wèn)。而SOHO路由器更新的頻率通常較低,這更加劇了問(wèn)題的嚴(yán)重性。例如Black Lotus研究人員分析的這個(gè)僵尸網(wǎng)絡(luò),其AVrecon惡意軟件已經(jīng)感染了超過(guò)7萬(wàn)臺(tái)基于Linux的路由器,并在20多個(gè)國(guó)家的4萬(wàn)多個(gè)IP地址上保持著持久性控制。根據(jù)Black Lotus實(shí)驗(yàn)室的說(shuō)法,AVrecon是繼ZuroRAT和HiatusRAT之后,第三個(gè)專注于攻擊SOHO路由器的惡意軟件,主要攻擊目標(biāo)為英國(guó)和美國(guó)。據(jù)了解,AVrecon使用C語(yǔ)言編寫,針對(duì)ARM嵌入式設(shè)備,特別是SOHO(小型辦公室/家庭辦公室)路由器。Black Lotus表示,這些目標(biāo)設(shè)備通常缺乏標(biāo)準(zhǔn)端點(diǎn)安全解決方案,因此惡意軟件可以利用已知漏洞進(jìn)行更長(zhǎng)時(shí)間的攻擊。

普普點(diǎn)評(píng)

Black Lotus的研究人員發(fā)現(xiàn),自2021年10月以來(lái),至少有15個(gè)這樣的服務(wù)器一直在運(yùn)行。受感染的路由器用于與C2服務(wù)器之間的通信使用x.509證書進(jìn)行加密,因此研究人員無(wú)法看到網(wǎng)絡(luò)犯罪分子在“密碼噴灑”攻擊中的成功率。除此之外,受感染的設(shè)備還被用來(lái)點(diǎn)擊各種Facebook和谷歌的廣告。Black Lotus實(shí)驗(yàn)室建議,針對(duì)此類惡意活動(dòng),保持良好的習(xí)慣至關(guān)重要,例如定期重啟路由器以及應(yīng)用安全更新。






03

黑客專為網(wǎng)絡(luò)犯罪設(shè)計(jì)的生成式人工智能WormGPT,用于定制真?zhèn)文娴尼烎~郵件

網(wǎng)絡(luò)安全公司SlashNext的一篇博客指出,隨著生成式人工智能近來(lái)變得非常流行,越來(lái)越多黑客將這項(xiàng)技術(shù)改頭換面,用于促進(jìn)犯罪活動(dòng)。最近,SlashNext在地下論壇發(fā)現(xiàn)了一種名為WormGPT的新型生成式AI網(wǎng)絡(luò)犯罪工具。該工具自比為GPT模型的黑帽代替品,專門設(shè)計(jì)用于惡意活動(dòng)。攻擊者不需要熟練掌握特定語(yǔ)言,也能利用該工具針對(duì)攻擊目標(biāo)定制高度逼真的釣魚郵件,以增加釣魚成功的概率。使用生成式人工智能進(jìn)行BEC(商業(yè)電子郵件詐騙)攻擊,在效率之外,還具有另外幾個(gè)優(yōu)勢(shì)。首先,它能夠創(chuàng)建在語(yǔ)法上無(wú)可挑剔的電子郵件,降低被標(biāo)記為可疑郵件的可能性。其次,它降低了釣魚攻擊的門檻,使得即使是技能有限的攻擊者也能夠發(fā)動(dòng)精密的攻擊。

普普點(diǎn)評(píng)

SlashNext安全研究團(tuán)隊(duì)對(duì)WormGPT工具進(jìn)行測(cè)試后發(fā)現(xiàn),其基于GPTJ語(yǔ)言模型,具有無(wú)限字符支持、聊天記憶保留和代碼格式化等功能特點(diǎn)。據(jù)稱,該工具在各種數(shù)據(jù)源上進(jìn)行過(guò)訓(xùn)練,特別是與惡意軟件相關(guān)的數(shù)據(jù)。個(gè)人和組織需要意識(shí)到這些風(fēng)險(xiǎn),為防范此類AI驅(qū)動(dòng)的BEC攻擊,有必要了解最新的人工智能技術(shù)及其對(duì)網(wǎng)絡(luò)安全的潛在影響,并采取適當(dāng)措施來(lái)保護(hù)自己免受侵害,例如多因素身份驗(yàn)證和電子郵件過(guò)濾。






04

2023年第二季度郵件安全觀察:詐騙郵件內(nèi)容更加流利

根據(jù)ASRC (Asia Spam-message Research Center) 研究中心與守內(nèi)安公司的監(jiān)測(cè)觀察,2023年第二季度,全球整體垃圾郵件、釣魚郵件數(shù)量小幅上升,常見(jiàn)病毒附文件郵件有些許減少,來(lái)自新申請(qǐng)域名的垃圾郵件約較上季增加60%。可能因?yàn)榻衲瓿跻詠?lái),生成式AI工具的應(yīng)用爆發(fā),讓語(yǔ)言在郵件的隔閡明顯被打破:這些過(guò)去常用英語(yǔ)書寫的詐騙郵件,轉(zhuǎn)成中文內(nèi)容時(shí),變得比過(guò)去更加流利了;同樣的情況也發(fā)生在過(guò)去出現(xiàn)在非英語(yǔ)語(yǔ)系流行的詐騙郵件,英文的詐騙內(nèi)容文法變得流利,更不容易看出破綻。另一個(gè)較特別的威脅郵件是簡(jiǎn)體中文的釣魚郵件,數(shù)量較上一季飆升許多,濫發(fā)時(shí)間落在三月底四月初。

普普點(diǎn)評(píng)

研究人員觀察了許多樣本,發(fā)現(xiàn)利用IPFS建設(shè)的釣魚網(wǎng)站,由于其分散系統(tǒng)的特性,沒(méi)有中央機(jī)構(gòu)可以對(duì)它稽查或管理,再加上IPFS還可搭配縮址、轉(zhuǎn)址等功能進(jìn)行更復(fù)雜的蒙騙或躲避稽查,未來(lái)可能會(huì)變成釣魚網(wǎng)站存在的主流趨勢(shì)。企業(yè)防御最直接的方式是避免接觸這類的釣魚郵件,采用有效的郵件掃描機(jī)制是一個(gè)好方法;此外,在無(wú)必要使用IPFS的前提下,直接隔離IPFS網(wǎng)址,也可讓此類風(fēng)險(xiǎn)大幅度降低。




05

美國(guó)學(xué)生遭遇求職詐騙郵件“轟炸”!

近日,有威脅行為者冒充生物科學(xué)、醫(yī)療保健和生物技術(shù)公司來(lái)欺騙北美求職者。網(wǎng)絡(luò)安全公司Proofpoint表示:裁員潮影響到了各行各業(yè)的人,因此威脅行為者開始在勞動(dòng)市場(chǎng)里制造出一些就業(yè)騙局,并試圖從求職者那里騙取一些資金。此外,有專家還發(fā)現(xiàn)了一種專門針對(duì)該國(guó)北部學(xué)生的新垃圾郵件活動(dòng)。這種騙局一開始只會(huì)給學(xué)生發(fā)送一則無(wú)關(guān)痛癢的信息,這些信息的來(lái)源通常來(lái)自生物科學(xué)、醫(yī)療保健或生物技術(shù)公司。該消息也可能是一則虛假的面試邀請(qǐng),里面包含一個(gè)PDF文件,其中包含有關(guān)該職位的更多信息。發(fā)送該消息的人會(huì)邀請(qǐng)人們?cè)诘谌狡脚_(tái)上進(jìn)行視頻或聊天面試,以獲取到他們的更多信息,并為他們的角色做好準(zhǔn)備。雖然Proofpoint無(wú)法確認(rèn)視頻聊天中對(duì)這些求職者提出的的具體問(wèn)題都是什么,但研究人員根據(jù)之前類似的活動(dòng)推測(cè),這些惡意攻擊者可能會(huì)告訴這些求職者他們需要預(yù)付設(shè)備費(fèi)用,然后將騙取到的錢財(cái)收入囊中。

普普點(diǎn)評(píng)

專家們將這類騙局歸類為預(yù)付款欺詐(AFF)活動(dòng)。雖然這類活動(dòng)是在今年3月份首次發(fā)現(xiàn)的,但與之相似的欺詐行為已經(jīng)存在多年。大學(xué)生經(jīng)常是網(wǎng)絡(luò)罪犯的常見(jiàn)目標(biāo),因?yàn)榭紤]到學(xué)生的靈活性,并可以接受遠(yuǎn)程工作的形式,同時(shí)也比較缺乏識(shí)別欺詐行為的經(jīng)驗(yàn),正因如此他們才會(huì)更大概率的遭遇就業(yè)騙局。該公司表示:不斷上升的通貨膨脹和教育成本正在給學(xué)生的財(cái)務(wù)狀況帶來(lái)壓力,這也使得詐騙郵件中提記得能實(shí)現(xiàn)快速賺錢的承諾更具吸引力。



06

成千上萬(wàn)的 OpenAI 憑證在暗網(wǎng)上待售

Flare 的安全研究人員在分析暗網(wǎng)論壇和市場(chǎng)時(shí)注意到,OpenAI 證書是最新待售的商品之一, 目前可以確定了約有 20 多萬(wàn)個(gè) OpenAI 證書以竊取日志的形式在暗網(wǎng)上出售。雖然這一數(shù)字與 OpenAI 1 月份 1 億活躍用戶相比,似乎微不足道,但也能說(shuō)明網(wǎng)絡(luò)攻擊者“看到”了生成式人工智能工具蘊(yùn)藏的破壞力。2023 年 6 月,網(wǎng)絡(luò)安全公司 Group IB 在一份報(bào)告中指出超過(guò)101100個(gè)被泄露的 OpenAI ChatGPT 賬戶憑證在非法的暗網(wǎng)市場(chǎng)上待售??梢?jiàn)許多網(wǎng)絡(luò)犯罪分子都盯上了人工智能,甚至有一網(wǎng)絡(luò)攻擊者還開發(fā)了一個(gè)名為 WormGPT 的盜版 ChatGPT,并對(duì)其進(jìn)行了針對(duì)惡意軟件的數(shù)據(jù)訓(xùn)練, 該工具也被被宣傳為“黑帽的最佳 GPT 替代品”。

普普點(diǎn)評(píng)

研究人員指出在一項(xiàng)實(shí)驗(yàn)中,指示 WormGPT 生成一封電子郵件,旨在向毫無(wú)戒心的客戶經(jīng)理施壓,迫使其支付欺詐發(fā)票。結(jié)果,WormGPT 生成的電子郵件不僅極具說(shuō)服力,而且在戰(zhàn)略上非常狡猾,完美展示了其在復(fù)雜的網(wǎng)絡(luò)釣魚和 BEC 攻擊中的潛力。研究人員指出盡管抵御這種威脅可能比較困難,但是并非不能防御。



07

雙重傷害!雅詩(shī)蘭黛同時(shí)遭遇兩個(gè)勒索軟件的攻擊

據(jù)BleepingComputer 7月19日消息,化妝品巨頭雅詩(shī)蘭黛最近遭到了來(lái)自兩個(gè)不同勒索軟件的攻擊。在7月18日提交給美國(guó)證券交易委員會(huì) (SEC) 的文件中,雅詩(shī)蘭黛公司證實(shí)了其中一次攻擊,稱攻擊者獲得了其部分系統(tǒng)的訪問(wèn)權(quán)限,并可能竊取了數(shù)據(jù)。該公司沒(méi)有提供有關(guān)該事件的太多細(xì)節(jié),稱其積極采取行動(dòng)并關(guān)閉了一些系統(tǒng),但已這次攻擊似乎是受MOVEit Transfer漏洞的影響,讓Clop 勒索軟件獲得了對(duì)該公司的訪問(wèn)權(quán)限。在其數(shù)據(jù)泄露網(wǎng)站上,Clop 列出了雅詩(shī)蘭黛,并注明已經(jīng)獲取了131GB的數(shù)據(jù)。與此同時(shí),BlackCat 勒索軟件組織也將雅詩(shī)蘭黛添加到了受害者名單中,并表示雅詩(shī)蘭黛對(duì)勒索郵件保持沉默讓他們感到不滿。

普普點(diǎn)評(píng)

雅詩(shī)蘭黛的安全專家表示,盡管該公司使用了微軟的檢測(cè)和響應(yīng)團(tuán)隊(duì) (DART) 和 Mandiant,但網(wǎng)絡(luò)仍然受到威脅,他們?nèi)匀豢梢栽L問(wèn)。BlackCat表示,他們沒(méi)有對(duì)公司的任何系統(tǒng)進(jìn)行加密,并補(bǔ)充說(shuō),除非雅詩(shī)蘭黛參與談判,否則他們將透露有關(guān)被盜數(shù)據(jù)的更多細(xì)節(jié),并暗示泄露的信息可能會(huì)影響客戶、公司員工和供應(yīng)商。在向 SEC 提交的文件中,雅詩(shī)蘭黛重點(diǎn)強(qiáng)調(diào)了補(bǔ)救措施,包括恢復(fù)受影響的系統(tǒng)和服務(wù),并對(duì)可能造成的持續(xù)性影響做了評(píng)估。