根据周四发布的季度 HP Wolf 安全威胁洞察报告,猫网络钓鱼、使用流行的微软文件传输工具成为网络寄生虫以及虚假发票是网络犯罪分子在今年前三个月使用的值得注意的技术之一。
根据对运行该公司软件的数百万个端点的数据进行分析,该报告发现数字亡命之徒利用一种针对网络钓鱼用户的网站漏洞,并将他们引导到恶意的在线位置。用户首先被发送到合法网站,然后重定向到恶意网站,这种策略使目标很难检测到这种切换。
“开放重定向漏洞可能相当常见,而且很容易被利用,”佛罗里达州克利尔沃特安全意识培训提供商KnowBe4的安全意识倡导者 Erich Kron 指出。
“它们的力量又回到了网络犯罪分子最喜欢的工具——欺骗,”他告诉 TechNewsWorld。 “开放重定向允许不良行为者使用合法 URL 重定向到恶意 URL,方法是在消息中制作链接以在 URL 末尾包含一个很少被人们检查的部分,从而将用户带到恶意 URL网站,即使他们知道的足够多,可以将鼠标悬停在链接上。”
“虽然浏览器中的 URL 会显示用户被重定向到的网站,但受害者在相信自己已经点击了合法链接后不太可能检查它,”他解释道。
“教人们将鼠标悬停在链接上以确保它们看起来合法是很常见的,”他补充道,“但也应该教会他们在输入任何敏感信息(例如密码、PII 或其他信息)之前始终检查浏览器栏中的 URL。信用卡号码。”
位于加利福尼亚州普莱森顿的网络安全公司SlashNext的首席执行官帕特里克·哈尔 (Patrick Harr) 指出,电子邮件仍然是基于附件的重定向的主要传送机制。“但是,”他告诉 TechNewsWorld,“我们也看到这些附件在外部传送。 Slack、Teams、Discord 和其他消息应用程序中的电子邮件,其文件名看起来很真实。”
利用 BITS
报告中指出的另一个值得注意的攻击是使用 Windows 后台智能传输服务 (BITS) 对组织的系统进行“远程攻击”。由于BITS是IT人员用来下载和上传文件的工具,攻击者可以利用它来逃避检测。
全球 IT 和安全解决方案公司Syxsense的首席执行官 Ashley Leonard解释说,BITS 是 Windows 的一个组件,旨在使用空闲网络带宽在后台传输文件。它通常用于在后台下载更新,确保系统保持最新状态而不中断工作或用于云同步,使 OneDrive 等云存储应用程序能够在本地计算机和云存储服务之间同步文件。
“不幸的是,正如 Wolf HP 报告中指出的那样,BITS 也可能被用于邪恶的方式,”Leonard 告诉 TechNewsWorld。 “恶意行为者可以使用 BITS 进行多种活动——窃取数据、进行命令和控制通信或持久性活动,例如执行恶意代码以更深入地渗透到企业中。”
“微软不建议禁用 BITS,因为它的用途是合法的,”他说,“但是企业可以通过一些方法来保护自己免受恶意行为者的利用。”其中包括:
使用网络监控工具检测异常的 BITS 流量模式,例如大量数据被传输到外部服务器或可疑域。
配置 BITS 以仅允许授权的应用程序和服务使用它,并阻止任何未经授权的进程访问 BITS 的尝试。
将关键系统和数据与网络不太敏感的区域隔离,以限制攻击者在受到威胁时的横向移动。
让所有系统保持最新的补丁和安全更新,以修复可能被攻击者利用的任何已知漏洞。
利用威胁情报源随时了解网络攻击者使用的最新策略、技术和程序,并相应地主动调整安全控制。
发票中的 RAT
HP Wolf 报告还发现网络掠夺者将恶意软件隐藏在伪装成供应商发票的 HTML 文件中。一旦在网络浏览器中打开,这些文件就会引发一系列事件,部署开源恶意软件 AsyncRAT。
“将恶意软件隐藏在 HTML 文件中的优势在于,在大多数情况下,攻击者依赖于与目标的互动,”位于马里兰州埃利科特城的威胁搜寻、检测和响应技术提供商Blackpoint Cyber 的威胁情报总监 Nick Hyatt 说。
他告诉 TechNewsWorld:“通过将恶意软件隐藏在虚假发票中,攻击者可能会让用户点击它来查看发票的用途。” “这反过来又可以让用户进行互动,并增加成功妥协的机会。”
虽然利用发票诱惑来瞄准公司是书中最古老的伎俩之一,但它仍然非常有效且有利可图。
HP Wolf 首席威胁研究员 Patrick Schläpfer 在一份声明中表示:“财务部门的员工习惯于通过电子邮件接收发票,因此他们更有可能打开发票。” “如果成功,攻击者可以通过将其出售给网络犯罪经纪人或部署勒索软件来快速将其访问权货币化。”
密码管理和在线存储公司Keeper Security安全和架构副总裁 Patrick Tiquet 补充道:“高度规避的基于浏览器的攻击所带来的威胁不断升级,是组织必须优先考虑浏览器安全并部署主动网络安全措施的另一个原因。” ,在芝加哥。
基于浏览器的网络钓鱼攻击(尤其是采用规避策略的攻击)的快速增加凸显了加强防护的迫切需求,”他告诉 TechNewsWorld。
不堪一击的网关扫描仪
另一份报告发现,HP Wolf 软件识别的电子邮件威胁中有 12% 绕过了一个或多个电子邮件网关扫描仪。
“电子邮件网关扫描仪是消除常见类型电子邮件威胁的有用工具。然而,它们在更有针对性的攻击(例如鱼叉式网络钓鱼或捕鲸)方面的效果要差得多。”KnowBe4 的 Kron 观察到。
“电子邮件扫描仪,即使是使用人工智能的扫描仪,通常也会寻找模式或关键字,或者寻找附件或 URL 中的威胁,”他继续说道。如果不良行为者使用非典型策略,过滤器可能会漏掉他们。”
他说:“过滤威胁和阻止合法电子邮件之间存在微妙的界限,在大多数情况下,过滤器将设置得更加保守,并且不太可能因阻止重要通信而导致问题。”
他承认,电子邮件网关扫描仪即使存在缺陷,也是至关重要的安全控制措施,但他断言,教会员工如何发现并快速报告成功的攻击也很重要。
位于达拉斯的移动安全公司Zimperium的产品战略副总裁 Krishna Vishnubhotla 补充道:“不良行为者在设计绕过传统检测机制的电子邮件活动方面发挥了创意。”
他说:“组织必须保护其员工免受所有传统端点和移动端点中这些电子邮件中的网络钓鱼链接、恶意二维码和恶意附件的侵害。”
本站全部资讯来源于实验室原创、合作机构投稿及网友汇集投稿,仅代表个人观点,不作为任何依据,转载联系作者并注明出处:https://www.lvsky.net/49.html
评论