2023年上半年,技术持续性的快速变革改变着我们生活的方方面面。5G网络的普及为前所未有的连接和通信速度奠定了基础,使智慧城市和物联网(IoT)的蓬勃发展成为可能;人工智能(AI)已经深入到日常生活中,增强了从虚拟助理、自动驾驶汽车到个性化医疗和预测分析的一切;量子计算也已取得重大进展,有望在解决以前无法攻克的复杂问题方面取得突破;增强现实和虚拟现实已经变得更加沉浸式和主流,增强了娱乐、教育和工业应用。
然而,在这些技术奇迹背后,还充斥着对数据隐私、网络安全和伦理影响的担忧,这凸显了负责任创新的必要性。今年上半年,犯罪活动继续升级,第二季度全球每周的网络攻击数量激增8%,达到两年来的最高水平。随着犯罪团伙不断改进其方法和工具来感染和影响世界各地的组织,我们熟悉的威胁(如勒索软件和黑客主义活动)已经进一步恶化。就连一些传统技术(U盘)也作为恶意软件的传播渠道再次流行。
让安全领导者夜不能寐的不仅仅是这些已知的网络攻击数量。像生成式人工智能这样的新工具,也被恶意行为者操纵来编写代码和钓鱼邮件,甚至可以欺骗训练有素的眼睛。
尽管面临诸多挑战,网络防御者也取得了光辉战绩。著名的Hive勒索软件组织被摧毁,阻止了1.3亿美元的潜在赎金支付,这只是今年上半年打击网络犯罪的显著成功案例之一。另一方面,全球各国政府正在讨论和实施更严格的法规和处罚,以支持对组织的更强有力的保护。
CheckPoint《2023年H1网络安全报告》分析了2023年上半年的威胁形势,使用真实案例和攻击统计数据等,帮助组织了解当今的主要威胁,以及阻止它们在组织内造成破坏和损害的方法。
2023年上半年重大网络事件时间表
1月
研究人员发现了一种前所未知的Linux恶意软件,它利用多个过时的WordPress插件和主题中的30个漏洞,将恶意javascript注入基于WordPress CMS(内容管理系统)的网站。该恶意软件针对32位和64位Linux系统,赋予其操作员远程命令能力。
Check Point报告称,俄罗斯网络犯罪分子试图绕过OpenAI的限制,将ChatGPT用于恶意目的。在地下黑客论坛上,黑客们正在讨论如何绕过IP地址、支付卡和电话号码控制——所有这些都是从俄罗斯进入ChatGPT所必需的流程。
2月
Check Point将市值超过1094万美元的Dingo加密令牌标记为“骗局”。该令牌背后的威胁行为者在其智能合约中添加了一个后门功能,以操纵费用。具体来说,他们使用代币智能合约代码中的“setTaxFeePercent”函数来操纵买卖费用。该功能已经被使用了47次,Dingo代币的投资者可能会面临失去所有资金的风险。
Check Point研究小组暴露了两个恶意代码包——Python-drgn和Bloxflip——由威胁参与者分发,利用包存储库作为可靠和可扩展的恶意软件分发渠道。
Check Point研究小组发现了一场针对亚美尼亚实体的活动,该活动使用了新版本的OxtaRAT——一种基于AutoIt的后门程序,用于远程访问和桌面监控。几年来,在阿塞拜疆和亚美尼亚因拉钦走廊的紧张局势日益加剧之际,这些威胁行为者一直以阿塞拜疆的人权组织、持不同政见者和独立媒体为目标。
美国领先的医疗服务提供商之一社区卫生系统公司(Community Health Systems)证实,最近针对Fortra goanywhere MFT文件传输平台零日漏洞的攻击影响了该公司,致使近100万名患者的个人信息泄露。
微软在周二发布的最新补丁中,针对总共77个漏洞发布了安全更新。9个漏洞被归类为“关键”漏洞,因为它们允许远程代码执行易受攻击的设备,并且有3个漏洞(CVE-2023-21823、CVE-2023-21715和CVE-2023-23376)在攻击中被积极利用。
俄乌战争一年后,Check Point研究小组将2022年9月视为一个转折点,针对乌克兰的每周网络攻击减少了44%,而针对一些北约国家的网络攻击增加了近57%。进一步分析显示,今年的主要趋势是“擦拭器”(wipers)和“黑客主义行动”。
3月
以色列国家网络管理局声称,隶属于伊朗情报和安全部的伊朗APT组织MuddyWater是对以色列顶尖大学以色列理工学院发动网络攻击的幕后黑手。这次攻击伪装成一次常规的勒索软件攻击,严重扰乱了大学的活动。
Check Point研究人员披露了一种名为“FakeCalls”的安卓木马,它可以模仿20多种金融应用程序,并通过模拟与银行员工的对话来进行语音钓鱼。这种针对韩国市场设计的恶意软件还可以从受害者的设备中提取私人数据。
Check Point研究小组分析了ChatGPT4,并确定了5种允许威胁行为者绕过限制并利用ChatGPT4创建网络钓鱼电子邮件和恶意软件的情况。
Clop勒索软件团伙利用Fortra GoAnywhere管理文件传输系统中的零日安全漏洞(CVE-2023-0669)进行攻击,受害者包括美国一些奢侈品牌零售商。
研究人员发现了FakeGPT Chrome扩展的一个新变种,名为“ChatGPT-For-Google”,该扩展基于一个每天影响数千名受害者的开源项目。该变种窃取Facebook会话cookie,并在浏览器的ChatGPT集成的掩护下,使用恶意赞助的谷歌搜索结果损害帐户。
4月
3cx通信公司的VoIP应用程序3CXDesktopApp的Windows和macOS版本都遭到了攻击,并被用于在大规模供应链攻击中分发木马化版本。在这个被称为“SmoothOperator”的广泛活动中,威胁参与者滥用3CX的应用程序,使用3CXDesktopApp加载恶意文件,并向攻击者的基础设施发送信标。全球超过60万家使用3CX的公司可能受到这次攻击的影响。这次攻击与朝鲜的拉撒路组织有关,被追踪为CVE-2023-29059。
Check Point研究小组发布了一份关于Rhadamanthys信息窃取器的广泛出版物和分析,并于2022年9月在暗网上发布。研究人员展示了该恶意软件如何编译自己的数据库,其中包含被盗的谷歌Chrome信息,以便将其发送回C2服务器。
各种与穆斯林有关的黑客组织发起了“OpIsrael”活动,用DDoS攻击攻击以色列的网站。其中,Anonymous Sudan攻击的目标包括以色列政府的子域名,以及大学、医院、媒体期刊、机场和几家以色列公司的网站。
Check Point发现了一种名为Rorschach的新型勒索软件,它通过DLL侧加载合法的签名安全产品来部署。这种勒索软件具有高度可定制性,具有以前在勒索软件中看不到的独特功能,并且是观察到的加密速度最快的勒索软件之一。
Check Point在“微软消息队列”服务(俗称MSMQ)中发现了三个漏洞(CVE-2023-28302、CVE-2023-21769和CVE-2023-21554)。其中最严重的,被称为QueueJumper (CVE-2023-21554),是一个“关键”漏洞,可以允许未经身份验证的攻击者在Windows服务进程mqsvc.exe的上下文中远程执行任意代码。
Check Point指出,针对物联网设备的网络攻击急剧增加,与2022年相比,2023年前两个月每个组织的平均每周攻击次数增加了41%。平均每周,54%的组织遭受针对物联网设备的网络攻击,主要发生在欧洲,其次是亚太地区和拉丁美洲。
Check Point警告称,被盗ChatGPT账户的讨论和交易有所增加,重点是高级账户。网络犯罪分子会泄露ChatGPT帐户的凭证,交易高级ChatGPT帐户,并使用针对ChatGPT的暴力破解工具,这使得网络犯罪分子能够绕过OpenAI的地理隔离限制,并访问现有ChatGPT帐户的历史查询。
Check Point研究团队发现了Raspberry Robinmalware使用的新技术。这些方法包括几种反逃避技术、混淆技术和反虚拟机措施。该恶意软件还利用Win32k中的两个漏洞(CVE-2020-1054和cve -2021-1732)来提升其权限。
5月
微软警告称,最近出现了一波利用CVE-2023-27350的攻击浪潮,这是PaperCut应用服务器中的一个严重的远程代码执行漏洞。据报道,该漏洞正被威胁行为者用来发布Cl0P和LockBit勒索软件变体。PaperCut已经发布了解决该漏洞的补丁。
Check Point公布了与“Educated Manticore”有关的新发现。Educated Manticore是一个活跃集群,与“Phosphorus”有很强的重叠,后者是一个在中东和北美地区活跃且与伊朗有联系的威胁组织。Educated Manticore采用了最近的趋势,并开始使用ISOimages和可能的其他存档文件来启动感染链。
FBI、CISA和ACSC警告称,BianLian勒索软件组织已将其策略转变为只进行勒索攻击。该组织现在不再对文件进行加密并要求赎金,而是专注于窃取敏感数据,并威胁除非支付赎金,否则将公布这些数据。
6月
一个影响MOVEit Transfer(一个托管文件传输平台)的零日SQL注入漏洞(CVE-2023-34362)已被广泛利用了数周。该漏洞可能导致信息泄露,专家们担心可能会出现大规模的勒索活动,类似于今年早些时候Clop勒索软件组织发起的Fortra GoAnywhere零日攻击活动。
Check Point研究小组发现了一个正在进行的针对北非目标的行动,涉及一个以前未公开的多级后门,名为“Stealth Soldier”。该后门程序主要执行监视功能,如文件泄露、屏幕和麦克风录音、按键记录和窃取浏览器信息。
世界上最大的两家航空公司(美国航空公司和西南航空公司)表示,他们正在处理因第三方供应商Pilot Credentials被黑客入侵而导致的数据泄露事件。两家航空公司近9000名飞行员和学员招聘过程中的申请人的相关文件曝光。
夏威夷最大的大学——夏威夷大学(university of Hawaii)透露,该校的一个校区遭到了勒索软件攻击。该大学并未公布此次攻击的影响,但声称对此次攻击负责的勒索软件团伙NoEscape表示,已从该大学的网络中窃取了65GB的敏感数据。
2023年上半年攻击态势概览
2023年上半年,勒索软件、感染方法、黑客主义活动、移动威胁以及基于人工智能的攻击都有了重大发展。下文概述了这些不断变化的安全挑战,并阐明了它们如何影响未来的网络安全格局。
勒索软件
就攻击的复杂性和所造成的损害而言,勒索软件目前对企业构成了最重大的威胁。损害赔偿包括直接支付和间接业务成本,如恢复和补救费用,对股票市场表现的影响,以及法律影响和品牌损害。
勒索软件正在不断发展,变得越来越复杂,增加了更多的功能,使攻击更有针对性,更成功。这主要是由勒索软件即服务(RaaS)组织之间不断升级的竞争所驱动的,这些组织都在寻求招募更多的合作伙伴,并最大化他们的“销售额”。在许多情况下,这些集团是传统企业的犯罪镜像,有研发团队、质量保证部门、专业谈判代表,甚至人力资源人员。他们可能有几十甚至几百名员工,收入数亿美元。
团伙之间的竞争(毕竟,盗贼之间没有荣誉可言)导致了更快地数据加密,创新的逃避技术和更低的合作伙伴佣金率。例如,LockBit、Alphv、BlackBasta和AvosLocker等主要实体都采用了一种规避技术,利用安全重启模式功能来使受感染的计算机更难恢复。另一个值得注意的发展是针对不同操作系统(最主要的是Linux)的勒索软件变种的激增;这些变种主要由包括LockBit、Royal、CL0P、BianLian和ViceSociety在内的RaaS组织提供。
勒索软件组织也开始实施大规模攻击,利用广泛部署的企业软件中的漏洞,同时感染多名受害者。CL0P和LockBit勒索软件组织通过供应链攻击和勒索或是利用零日漏洞,在今年上半年实现了广泛的感染。今年年初,CL0P利用GoAnywhere MFTsecure文件传输工具中的一个零日漏洞发起了攻击,导致130多家组织遭袭。6月初,CL0P还宣布他们利用MOVEit文件传输程序中的漏洞,影响了数百个新的受害者,其中大多数是大公司和政府组织。
此外,“三重勒索”也开始盛行,即除了数据加密和盗窃外,还会对目标及其合作伙伴和客户施加压力,以确保赎金支付。2023年6月,针对曼彻斯特大学的一次攻击行动就应用了这种策略。显然,勒索软件对犯罪分子来说仍然是一笔大生意,他们不断地寻找新的漏洞和利用它们进行敲诈的新方法。
我们在2023年上半年发现了48个勒索软件组织攻击了2200多名受害者。我们预计2023年下半年也会出现同样的情况,甚至更多。
USB驱动器
就像黑胶唱片甚至音乐磁带再次流行一样,旧的攻击方法有时会重新出现,最近网络罪犯和民族国家行为者进行的基于USB的网络攻击就是一个例子。作为最古老的已知攻击媒介之一,USB目前是当代恶意网络操作的重要渠道。攻击者再次将USB驱动器视为感染气隙、分段或高度保护的网络的最佳方式。2022年,联邦调查局发布了一项针对美国国防公司的攻击活动的警告,攻击者邮寄了装载恶意有效载荷的USB驱动器。
Raspberry Robin蠕虫在此类攻击中尤为突出。它被认为是多用途恶意软件列表中最常见的恶意软件变体之一,并通过利用“autorun. Inf”文件或可点击的LNK文件经由受感染的USB传播。这种蠕虫与FIN11威胁行为者有关,成功的感染会成为后续攻击的启动平台。
国家威胁行为者目前正在利用USB传播的感染,甚至是由传统恶意软件如ANDROMEDA(可追溯到2013年)引起的感染来劫持他们的基础设施。可见,USB感染仍然是获得初始访问系统的有效方法。
黑客主义活动
黑客主义活动是2023年上半年的另一个主要威胁。黑客组织根据民族主义和政治动机来选择他们的目标。今年年初,与俄罗斯有关联的Killnet组织攻击了西方医疗机构,后来宣布他们打算转型为一家“私人军事黑客公司”。
另一个黑客组织AnonymousSudan于2023年1月首次出现,并一直特别活跃,该组织以西方组织为目标,斯堪的纳维亚航空公司是DDoS攻击的一个典型受害者。该组织还试图实施一种勒索策略,坚持要求付费以停止攻击。他们还将目标扩大到包括美国组织,特别是医疗保健行业的组织。
事实证明,隶属于政府的黑客主义活动正在使用更强大的僵尸网络,从规模的角度来看,我们也看到了DDoS攻击规模的升级,最高记录为每秒超过7100万次请求,这表明黑客行动的轨迹正在加剧。
移动威胁
自今年年初以来,Check Point一直在监测各种移动网络攻击活动。例如,针对东亚受害者的FluHorse恶意软件,有效地将自己伪装成流行的android应用程序,旨在提取双因素身份验证(2FA)代码以及其他敏感用户数据。在今年3月披露的另一项活动中,攻击者传播了名为FakeCalls的恶意软件,该软件旨在模拟20多种不同的金融应用程序,并生成欺诈性语音呼叫。
在复杂的间谍活动领域,研究人员报告了一项名为Triangulation的活动,该活动利用零点击利用来控制iOS设备,继续大规模利用苹果产品中零日漏洞的趋势。
基于AI的攻击
自2022年11月发布以来,ChatGPT已经在广泛的活动中取得了成功,包括通过沃顿商学院的MBA考试,通过美国医疗执照考试,并在许多其他领域展示了更广泛的生产能力。可以说,ChatGPT的推出带来了一场开创性的革命。人工智能能力的影响已经引发了一些大胆的预测,从就业市场的重大变革到对人类生存的潜在威胁。
在网络领域,这种模式的转变已经在很多方面得到了体现。去年,Check Point研究人员证明,犯罪分子可以利用人工智能创造复杂的社会工程内容。他们还可以制作更具欺骗性的网络钓鱼电子邮件,为Office文档开发恶意VBA宏,为反向shell操作生成代码等等。
不久之后,Check Point的一份出版物展示了网络犯罪分子已经在使用ChatGPT制作信息窃取器和加密工具的例子。OpenAI采用了各种机制来限制对ChatGPT的恶意使用,但威胁行为者很快就发明了新的方法来绕过这些限制,有效地发动了一场大规模的网络军备竞赛。俄罗斯威胁行为者已经探索了绕过OpenAI地理围栏限制的方法。
另一篇论文则展示了如何绕过集成到最新版本ChatGPT4中的防御机制,网络犯罪分子正在积极寻找新的方法来利用ChatGPT及其广泛的恶意目的。立法者阻止人工智能用于社会工程的努力尚处于初步阶段,尚未找到解决方案。
全球数据分析
该地图显示了全球网络威胁风险指数,展示了世界各地的主要风险区域。
【全球网络威胁风险指数,颜色越深风险越大,灰色为低危】
【2023年上半年按行业划分的组织平均每周攻击次数(与2022年上半年相比百分比变化)】
教育、政府和医疗保健仍然是最常遭受网络攻击的行业。这已经从不同的来源和多个地理区域得到了证实,但比较勒索软件攻击的数据显示,制造业和零售业是受勒索软件组织攻击和勒索最多的行业。对这种差异的一种解释可能是,制造业和零售业是有能力支付赎金的私营部门。
针对教育和政府部门的攻击旨在窃取个人身份信息(PII)和受限制的商业和私人数据。“fullz”(一个人的完整信息包)的地下市场,是由一系列看似永无止境的教育和医疗机构违规行为所滋养的。医疗保健行业在这两个指数中都名列前茅。
【2023上半年电子邮件与Web攻击媒介的占比】
【2023上半年Web恶意文件分发类型】
【与2022年相比,2023年上半年电子邮件传播恶意文件的流行程度发生了变化】
【20123年上半年邮件中恶意归档文件类型】
电子邮件仍然是发起攻击的主要工具,占所有恶意载荷的92%。自微软从2022年开始消除文档内宏以来,恶意Office文件的使用急剧下降。我们的数据显示,恶意Excel文件的流行率下降了81-96%,其他Office格式的流行率也大幅下降。
相反地,感染链已经多样化,ZIP、RAR、ISO图像和其他存档格式以及html LNK文件的使用显著增加。我们也越来越多地看到威胁行为者利用DLL文件作为电子邮件发起的感染链的最后一步,并减少了EXE文件的使用。
值得注意的是,OneNote文件(.one)——微软Office套件的一个组件,以前很少被使用——被广泛地用于进行网络攻击。尽管需要用户交互(双击)才能在OneNote中执行嵌入的文件和附件,但自今年年初以来,利用这种技术的攻击显著增加。这一策略使得诸如Qbot、AsyncRAT、Redline、AgentTesla和IcedID等恶意软件得以传播。
利用PDF文件并不是一个新趋势,但其频率正在增加,并预计将继续下去。例如,Qbot在今年4月发起了一场大规模的活动,部署了多种语言的恶意PDF文件。
恶意软件统计数据
【2023上半年的顶级恶意软件家族(全球版)】
主要的恶意软件家族分为两类:第一类包括多用途恶意软件,如Qbot、Emotet和Glupteba。这些正在进行大规模僵尸网络操作,以实现窃取数据、向其他恶意行为者提供系统访问和感染代码等各种恶意目的;第二类包括AgentTesla、Formbook和Lokibot等信息窃取器。这些类型的恶意软件在地下论坛上交易,并被威胁行为者用来窃取各种类型的数据,包括登录凭据、金融和企业账户以及信用卡详细信息等。
Qbot是一种多用途恶意软件,以其广泛的网络钓鱼活动而闻名,是2023年上半年最常被检测到的恶意软件。它经常被用来传播其他恶意软件家族,包括潜在的勒索软件。自1月份以来,Qbot策划了多次恶意垃圾邮件活动,通过各种方法破坏受害者的系统。这些包括但不限于onenote文件、PDF文件、HTML走私、ZIP文件等的使用。
Emotet正在利用其他文件类型,包括在3月份的一次宣传活动中使用恶意的OneNote文件。
五月份,Guloader下载器发布了一个新版本,其特点是完全加密的有效载荷和先进的反分析技术。今年年初,NjRat在中东和北非开展了一场全面的运动,感染了目标国家。
XMrig仍然是最流行的加密货币挖矿工具,它被用来在受感染的平台上创造收入,通常是更严重感染的早期预警信号。
【2023上半年顶级“双重勒索”威胁组织】
在2023年上半年,共有48个勒索软件组织报告入侵并公开勒索2200多名受害者。在活跃的组织中,Lockbit3在此期间是最多产的,占所有报告受害者的24%,超过500起。与2022年上半年相比,报告的Lockbit3受害者数量增加了20%。
【勒索软件受害者的行业分布】
虽然Check Point 网络威胁地图中的数据将教育、政府和医疗保健部门列为主要目标,但勒索软件受害者的情况却呈现出不同的视角。
数据显示,制造业和零售业是最大的受害者,政府和教育机构在目标层次中排名较低。这种差异可能源于这些部门在遵守赎金要求方面的不同能力和倾向,教育和政府组织可能更不太愿意支付赎金,而更可能沦为旨在利用个人和技术数据的攻击受害者。
全球漏洞利用统计数据
以下TOP漏洞分析数据基于2023年Check Point入侵防护系统传感器网络收集的数据。
【2023上半年利用漏洞的攻击百分比】
2023年报告的新发现漏洞几乎立即就会被威胁行为者利用和实施。2022年报告的涉及CVE的攻击占所有检测到的攻击的17%,这表明威胁行为者正在加速将新的漏洞整合到经常使用的攻击中。从这个角度来看,2023年上半年有28%的攻击利用了新的漏洞,而2022年上半年这一数据为20%,2021年上半年为17%。
实用建议:防止勒索软件和其他攻击
在先进的网络安全工具的背景下,组织需要在内部部署、云和混合网络乃至董事会层面都保持良好的安全卫生。领导者可以采取以下几项措施来最大限度地减少遭受攻击的风险和潜在影响。
稳健的数据备份
勒索软件的目的是迫使受害者支付赎金,以重新访问他们的加密数据。然而,这只有在目标实际上无法访问其数据时才有效。稳健、安全的数据备份解决方案是减轻勒索软件攻击影响的有效方法。
网络意识培训
网络钓鱼邮件是传播勒索软件最流行的方式之一。通过诱骗用户点击链接或打开恶意附件,网络犯罪分子可以进入员工的电脑,并开始在其上安装和执行勒索软件。网络安全意识培训对于保护组织免受勒索软件的侵害至关重要,以利用自己的员工作为确保受保护环境的第一道防线。这种培训应该指导员工在网络钓鱼邮件中使用的经典符号和语言。
最新的补丁
保持计算机的最新状态并安装安全补丁,特别是那些被标记为关键的补丁,可以帮助提升组织防御勒索软件攻击的能力。
加强用户认证
实施强大的密码策略,要求使用多因素身份验证,并教育员工了解旨在窃取登录凭据的网络钓鱼攻击,这些都是组织网络安全策略的关键组成部分。
反勒索软件解决方案
反勒索软件解决方案监控计算机上运行的程序,以发现勒索软件通常表现出的可疑行为,如果检测到这些行为,程序可以采取行动,在进一步破坏之前停止加密。
利用更好的威胁防护
大多数勒索软件攻击可以在造成破坏之前被检测和解决。这就需要在组织中配置自动的威胁检测和预防机制,以扫描和监视电子邮件以及可疑文件的迹象,从而提升防御能力。
人工智能已经成为对抗网络威胁不可或缺的盟友。通过增强人类专业知识和加强防御措施,人工智能驱动的网络安全解决方案为抵御各种攻击提供了强大的屏障。随着网络犯罪分子不断改进他们的策略,人工智能和网络安全之间的共生关系无疑将对保护我们的数字未来至关重要。
原文链接:https://www.checkpoint.com/downloads/resources/2023-mid-year-cyber-security-report.pdf?mkt_tok=NzUwLURRSC01MjgAAAGN4_HqIACQAeCeqpovsFYt-YAfAHeIbdescrwm58Q3LRxFTIvH1BZQQjsyEj4cl2nkQQG2kDtu2g2uwsFLZzdinh4TE8I0t2pa_nSqglBcVaubi6f1