攻击者以一系列富有创意且高效的战术武装自己,利用一切可行手段精准突破系统防线。
2024年,黑客们找到了各种狡猾的方法潜入系统,从利用人类好奇心进行的说服力极强的网络钓鱼诈骗,到暴露技术维护漏洞的残酷软件缺陷,他们玩得不亦乐乎。这一年,各种巧妙的入侵事件频发,充分显示了用户习惯与安全实践之间的巨大差距。
Enterprise Strategy Group的高级分析师梅琳达·马克斯(Melinda Marks)表示:“虽然每年都会出现新型攻击,但重要的是要认识到,黑客总是会寻找最容易的入侵途径,这就意味着安全团队缺乏可见性或控制力的领域,他们需要降低这些领域的风险。”
下面让我们深入了解今年攻击者绕过防御的主要方式。
X-day漏洞让用户补丁更新忙不停
2024年发生了几起近年来记忆中最具破坏性的零日漏洞(Zero-day)和N日漏洞(N-day)利用事件,其中一些甚至被高调的黑客利用来突破关键系统,并发动国家级别的持久性攻击。
Enterprise Strategy Group的首席分析师戴夫·格鲁伯(Dave Gruber)引用了一项针对当年的勒索软件研究表示:“根据我们的研究,软件和配置漏洞是主要的初始攻击点。对于较小规模的企业而言,初始攻击点更可能是通过商业合作伙伴,而较大规模企业的初始攻击点则更可能与软件漏洞相关。”
虽然补丁更新工作让安全团队忙得不可开交,但其中一些漏洞的利用尤其具有破坏性。
1. Fortinet漏洞被国家支持的行为者零日利用:2024年10月,Fortinet对其FortiManager平台中的一个关键(CVSS 9.8/10)远程代码执行(RCE)漏洞发出警告,该漏洞被追踪为CVE-2024-47575,攻击者正积极利用此漏洞窃取IP地址、凭证和配置等敏感数据,未发现恶意软件或后门。这一被利用的漏洞已与国家支持的行为者Volt Typhoon相关联。
2. Check Point漏洞助伊朗黑客入侵:8月,美国网络安全和基础设施安全局(CISA)就CheckPoint安全网关软件中的一个关键漏洞(CVE-2024-24919)发出警告。该漏洞的CVSS评分较高(8.6/10),使得Pioneer Kitten和Peach Sandstorm等伊朗黑客组织能够利用该公司安全解决方案中的信息披露弱点。据报道,该漏洞在野外被积极利用,攻击者借此访问使用VPN和移动接入组件的系统中的敏感数据。
3. Ivanti Connect漏洞遭滥用:2023年12月,研究人员在Ivanti的Connect Secure和Policy Secure网关中发现了两个串联的零日漏洞,分别为CVE-2023-46805和CVE-2024-21887。这些漏洞允许未经身份验证的远程代码执行,使攻击者能够窃取配置、更改文件,并在被攻破的VPN设备中设置反向隧道。攻击者瞄准医疗和制造等关键行业,利用先进的横向移动和持久性技术获取知识产权和敏感数据。此次活动凸显了未打补丁的企业软件的风险,Ivanti在努力发布缓解措施的同时也在开发补丁。
4. Cleo的王冠落入持续黑客之手:12月,Cleo的LexiCom、VLTrader和Harmony系统中的漏洞让黑客利用了一个不完整的补丁,影响了10多家企业。攻击者利用该漏洞上传并运行恶意代码,暴露敏感数据。Huntress检测到此次入侵,并建议断开系统连接,直到发布完整的修复程序。
5. MOVEit影响延续至2024年:由Clop勒索软件组织利用的MOVEit漏洞(CVE-2023-35708)自2023年起就引发了广泛的数据泄露事件,其重大影响一直持续到2024年。Progress Software的MOVEit Transfer中的这一SQL注入漏洞使攻击者能够从全球超过2600家企业中窃取敏感数据,目标行业包括政府、医疗和教育。Clop改变了策略,不再使用勒索软件,而是依靠数据盗窃和公开曝光来向受害者施压。此次攻击凸显了在不断演变的网络犯罪手段面前,及时打补丁和强化数据安全的至关重要性。
2024年,无论是已打补丁还是未打补丁的漏洞都造成了广泛问题,凸显了软件缺陷仍是黑客的主要入侵途径,然而,也有好消息传来,一份报告表明,改进的补丁实践有助于改变局面,在这一年中,零日漏洞利用在影响力和严重性上超过了N日攻击。
网络钓鱼诱饵愈发狡猾
2024年,网络钓鱼仍然是首要的攻击手段,不法分子利用AI制造出极具说服力的诈骗,甚至连顶尖的检测工具也无法总是识别。今年的网络钓鱼耻辱榜上有几个重大活动。
6. 微软用户遭俄罗斯网络钓鱼者欺骗:由于其在企业环境中的主导地位,微软成为主要网络钓鱼活动(如俄罗斯Midnight Blizzard发起的活动)的首要目标。该APT组织瞄准了100多家组织,使用虚假电子邮件诱骗受害者下载恶意的RDP文件。这些文件使攻击者能够访问敏感的企业数据,凸显了网络钓鱼战术日益复杂,以及多因素认证(MFA)和更好的终端安全等防御措施的迫切需求。
7. 新型网络钓鱼现身:11月,一场狡猾的网络钓鱼活动被发现利用DocuSign的Envelopes API发送看似合法的虚假发票,诱骗收件人批准未经授权的付款。攻击者使用付费的DocuSign账户绕过安全过滤器,伪造PayPal和Norton等品牌的文档。受害者在不知情的情况下签署了交易,导致重大财务损失,这凸显了需要更强的验证和多因素认证来应对此类创造性攻击。
8. 阿里巴巴和Adobe用户被骗泄露凭证:2024年的其他重大活动瞄准了两个网络钓鱼新手——阿里巴巴和Adobe,采用了颇为相似的战术。阿里巴巴诈骗通过关于订单纠纷的虚假电子邮件诱骗企业泄露凭证,而Adobe用户则面临模仿文档共享请求的网络钓鱼电子邮件,导致凭证被盗。
2024年,网络钓鱼导致了全球36%的所有入侵事件,再次证明了其为何是黑客制造混乱的经典首选手段。
供应链脱轨
这一年发生了几起大型供应链攻击事件,造成了重大且持久的损害,其中一些影响可能会延续到2025年。黑客变得更具创造力,瞄准受信任的平台和第三方供应商,扰乱全球行业。下面快速回顾一下今年最具影响力的两起黑客攻击事件,它们制造了持续的网络安全挑战。
9. 经审核的机器人袭击Discord用户:3月,拥有超过17万名Discord成员的Top.gg机器人社区遭到供应链攻击,第三方机器人验证工具Colorama被攻破。攻击者在工具的更新中注入恶意代码,获得机器人权限。这使他们能够抓取用户数据、劫持令牌,并在经过验证的机器人中传播网络钓鱼链接,造成迅速破坏,并侵蚀社区内的信任。
10. 大规模PyPI黑客攻击曝光:11月,攻击者被发现利用拼写蹲占(typosquatting)和依赖混淆(dependency confusion)技巧,瞄准流行的Python包仓库PyPI。他们上传伪装成受信任库的恶意包,欺骗开发者下载。一旦安装,这些包就会释放键盘记录器、后门和窃取数据的工具,使数千名开发者及其项目面临风险。此次入侵迅速蔓延,影响了企业和开源应用程序。
除了这些攻击外,SolarWinds和MOVEit供应链泄露事件的后续影响也在这一年持续发酵,这两起事件均影响了数百家组织。
马克斯表示:“随着第三方和开源代码使用量的增加,攻击者正在寻找可扩展的领域,如API和软件供应链,这些领域存在被篡改的潜力。如果没有合适的工具和流程来帮助安全团队高效工作,他们很难管理这些领域。”
2024年网络安全“失误”让黑客有机可乘
2024年,内部风险和应用程序配置错误为严重的网络混乱打开了大门。无论是员工数据泄露还是云设置出错,这些漏洞都为黑客提供了轻松的入侵途径。以下是今年最令人失望的事件概述。
11. 假工作,真数据劫案:14名朝鲜特工冒充IT工作人员,使用被盗身份和虚假设置获得远程工作。在六年的时间里,他们窃取了8800万美元,窃取敏感数据并勒索雇主。另一件蹊跷事是,假冒的朝鲜自由职业者帮助绕过制裁并泄露商业信息,证明内部风险可能成为朝鲜民主主义人民共和国政权的金矿。
12. 客户AWS配置错误导致数据泄露:12月,配置错误的AWS实例使客户凭证和专有代码等敏感数据暴露。黑客瞄准了数百万个面向公众的网站,从数千个配置错误的设置中窃取数据。此次入侵凸显了强健的云配置实践的至关重要性。
除了上述主要入侵点外,这一年还发生了黑客利用被攻破的人类和机器凭证进行二次感染的事件,如《纽约时报》源代码被黑和互联网档案馆事件。
Enterprise Strategy Group的高级分析师托德·蒂曼(Todd Thiemann)表示:“非人类身份是攻击面中迅速增长的一部分,在2024年受到了更多关注。我们在这一领域的研究显示,尽管组织表示他们缺乏对非人类身份的可见性,但72%的组织要么知道,要么怀疑他们的非人类账户或凭证已被攻破。”
他补充说,2023年Okta和Cloudflare遭遇了备受瞩目的事件,而2024年则发生了与非人类身份泄露相关的事件,如互联网档案馆和Sisense客户数据泄露事件。
