研究人員追踪了2019年使用惡意附件的五個大垃圾郵件活動,

從傳播Gandcrab的ZIP附件到分發Trickbot的DOC文件.

F-Secure的研究人員追踪到目前為止, 在2019年最常使用與垃圾郵件相關的頂級惡意附件和廣告。在大型垃圾郵件活動中比任何其他類型的附件常用的是

ZIP，PDF和MS辦公文件（如DOC和XLSM文件附件）

 

此外，研究人員注意到，光碟映像文件（存儲整個磁碟的內容和結構的ISO或IMG文件，如DVD或藍光）越來越多地用於傳播惡意軟體。研究人員稱，在越來越多的小型廣告系列中發現了AgentTesla惡意軟體和NanoCore遠端木馬程式。

F-Secure的研究人員說：“在2月和3月，我們看到了大量垃圾郵件活動，使用ZIP文件發送GandCrab勒索軟體，用DOC和XLSM文件分發Trickbot “在同一時期，我們看到了針對美國運通客戶的同樣大型廣告系列，以及使用PDF文件附件的‘Winner騙局’。

 

ZIP文件傳播GandCrab

研究人員表示，在2月和3月，有大量的垃圾郵件活動散播著GandCrab勒索軟體。這些廣告系列使用的是ZIP文件，旨在向某人發送照片。

 

但是，實際上ZIP文件包含一個模糊的JavaScript下載程式，它執行下載並執行GandCrab勒索軟體執行製文件的PowerShell 的script。如果有效成功下載並執行，它則會加密受害者的機器並顯示勒索軟體。

 

DOC / XLSM文件提供Trickbot

研究人員還注意到，3月份以稅收為主題的垃圾郵件活動大幅增加，這些活動利用DOC和XLSM文件來提供Trickbot模組化的銀行木馬。這封電子郵件宣稱該活動的目的是提供稅收賬單記錄，其中包含Office doc附件，其中包含使用bitsadmin工具下載和執行有效的惡意巨集。BitsAdmin是一個合法的命令執行工具，可用於下載或上載作業並監視進度。

 

研究人員表示，一旦下載並執行，Trickbot樣本就開始執行，並在受害者的機器上創建模組，竊取“盡可能多的數據” – 包括銀行憑證等。

 

TrickBot金融惡意軟體最初是在2016年發現的,最近幾個廣告系列展示了其發展背後的快節奏演變。研究人員已經注意到惡意軟體的新代碼注入技術，更新的信息竊取模組和自定義的方法。

 

美國運通網路釣魚中使用的PDF文件

3月份另一個受歡迎的垃圾郵件活動, 利用PDF文件對準美國運通客戶的網路釣魚攻擊。

 

 

 

研究人員說：“利用PDF文件中,最高峰是3月份針對美國運通的網絡釣魚活動。”

 

該電子郵件聲稱來自美國運通，稱受害者的帳戶已被標記，並且標有“正在審核中”的PDF文件。當該PDF文件打開時，它會顯示一個鏈接，引導用戶並假裝“安全消息”來自美國運通客戶安全團隊。實際上，該鏈接會將受害者帶到一個帶有縮短URL的惡意登陸頁面 – 進一步騙欺受害者 – 並詢問他們的銀行憑據。

 

用於“Winner騙局”的PDF文件

研究人員還發現了一個“贏家”騙局，他們說這是使用通過電子郵件傳播的PDF文件附件的第二高的廣告系列。

 

 

聲稱由Google發送的附件,告訴受害者他們贏得了由Google基金會和軟件產品促進基金會組織的140萬美元的電子郵件在線抽獎活動。

 

該表格隨後要求提供個人詳細信息，並且可以通過受害者電子郵件將其付款驗證信息發送給Google首席執行官Sunday Pichai，電子郵件地址為“sundarpicha@gmail.com”。

 

“這個騙局要求受害者提供個人詳細信息，如全名，地址，國家/國籍，電話/手機號碼，職業，年齡/性別和私人電子郵件地址，”研究人員說。

 

電子郵件末尾的消息告訴受害者：“出於安全原因，建議您將此通知保密，作為我們預防措施的一部分，以避免雙重索賠和無理濫用此程式。”

 

ISO和IMG傳送AgentTesla

有趣的是，研究人員表示他們已經注意到自2018年7月以來使用光碟映像文件（ISO和IMG文件）傳播惡意軟體的攻擊者數量激增, ISO映像文件是CD數據和佈局的快照; 而各種光碟應用程式創建的IMG是光碟映像文件。

 

最值得注意的是，研究人員已經看到越來越多的活動 – 儘管規模較小 – 使用這種技術來傳送AgentTesla信息竊取惡意軟體和NanoCore RAT。

 

“有趣的是，我們還看到最近的垃圾郵件活動提供了兩種類型的附件：惡意Office Doc和ISO映像文件 – 都安裝了AgentTesla信息輸出器，”他們說。

 

在這些活動中，一個有意義的文檔會執行一個巨集來下載和執行; 而ISO文件中包含惡意執行文件。

 

“無論受害者選擇打開兩種附件類型中的哪一種，都要安裝AgentTesla – 一種能夠從常用的已安裝軟體（如瀏覽器，電子郵件客戶端和ftp客戶端）收集受害者系統信息和憑據的信息輸出器”研究人員。

 

垃圾郵件活動不斷發展

垃圾郵件活動繼續採用新的策略，使其更難以發現 – 並且使用新類型的附件（例如上述ISO映像文件）只會使攻擊者更容易欺騙受害者。

 

事實上，根據最近的研究，垃圾郵件是網路犯罪分子在2018年整體傳播惡意軟

體的最常用方法，佔全年每10次感染企業中的9次。

 

大約69％的垃圾郵件活動試圖欺騙用戶訪問惡意URL以下載惡意軟體文件或提交另一個導致感染的在線操作。

 

其餘31％的廣告系列使用了惡意附件。

 

“惡意軟體作者傾向於在他們的活動中更喜歡特定類型的文件附件來分發惡意內容，”F-Secure的研究人員強調說。

 

I

 

 

 

 

 

信息共享可減少網路資安漏洞…

網路資安漏洞來自現代企業的多個方面，但有關現實世界漏洞的信息共享 – 無論好壞 – 提供了寶貴的情報。

2019年4月，美國超導公司總裁兼首席執行官Daniel McGahn在波士頓網路安全大會上舉行的網路瘋狂案例研究會議期間表示，他有一個簡單的理由來分享公司的經驗與會者。

“我不希望任何人經歷我們所經歷的事情，”McGahn說。

2011年，美國超導公司（American Superconductor）裁減了數百個工作崗位，並在2011年盜竊軟件後損失了超過10億美元的股東權益。美國超導公司使用該軟體來調節風力渦輪機的動力。

據法院文件顯示，中國風力發電機組製造商華銳風電集團有限公司被指控犯有盜竊罪。McGahn說，這次違規行為最終導致了美國超導公司的IT控制和保護流程的全面改造，但更重要的是讓公司領導者意識到運營現代企業所帶來的無休止的網路資安漏洞。

隨著各國尋求美國公司的知識產權，美國超導國家的民族國家襲擊正在上升。McGahn指出，公司應該為這些威脅做好準備，但是當大多數業務流程發生在電子商務的狂野西部時，風險管理是一個持續的鬥爭。

“你不會帶著很多錢進入一個糟糕的社區，”McGahn說。“但當我與聯邦調查局特工交談時，我說，‘你必須意識到我們所有的電子商務都發生在世界上最糟糕的街區：它被稱為互聯網。”

法律公司 – 及其客戶 – 易受攻擊

網路瘋狂會議的主持人表示，律師事務所是攻擊者特別誘人的目標。電子軟體開發商Relativity的首席銷售總監 Amanda Fennell表示，擁有大量客戶群的公司不僅要警惕商品攻擊，還要注意民族國家的威脅和駭客攻擊行為。

法律公司也是完美的供應鏈目標：一家律師事務所可以擁有1000名客戶，為駭客創造一個目標豐富的環境，她補充道。

“考慮兼併和收購，知識產權 – 如果你想要追求涉及大量資金的事情，你想影響決策，強迫人民，那麼律師事務所和法律技術可能是你成為一個好地方看看，“Fennell說。

美國超導公司總裁兼首席執行官

但是，雖然看起來駭客戰術會變得更加複雜，但像中毒文件和網路釣魚這樣的方法仍然很常見。例如，員工在入住酒店時可以更新他們的社交媒體，然後收到要求點擊關於他們酒店發票的消息的電子郵件。如果該員工點擊，駭客可以訪問他們的設備。

Fennell說：“這真的是針對攻擊的，這種情況正是基於我們對離開那裡非常貪婪的信息而發生的，肯定會讓很多人咬傷。”

她補充道，這使得公司非常脆弱，因為只需要一個人犯錯誤。

Fennell說：“可能貴公司有人會或你的律師事務所有人會在Google Docs上發帖，或者在手機上留下一些東西。”

‘家庭邊緣‘網路資安漏洞

公司的另一個巨大漏洞來自一個意想不到的來源：Wi-Fi的安全性和人們家中的設備。物聯網安全平台Minim的創始人Jeremy Hitchcock表示，物聯網和其他互聯網設備的大量湧入對現代消費者來說很方便，而且風險也很大。

“與家庭邊緣相比，公司真的很安全，”Hitchcock在網路瘋狂會議上說道。“你們當中有多少人知道你家中的所有設備是否都更新到最新版本？”

MITRE公司的網路整合主管Emily Frye表示，設備通常具有功能，並且是快速推向市場的首要任務。同時，安全性通常是這些設備的一個小問題，有時甚至會出現內置的網路資安漏洞，如後門，為駭客提供方便的訪問。

“在那裡沒有建立功能，快速上市，安全的激勵，”Frye說。“你對進入你生活空間的擴展攻擊空間的軟體質量幾乎無法控制。”

網路瘋狂會議上的眾多節目主持人回應了McGahn關於分享網路資安體驗（好的和壞的）的重要性的言論，以便改善未來的風險管理流程。

發言人表示，對攻擊及其後果的可見性和信息共享是預防的關鍵，同時還要製定質量指標和對網路資安人才的投資。

Source: http://ow.ly/YIhv50tmoFg

 

AT & T Cybersecurity的Senior Product Marketing Manager “Tawnya Lancaster” 在 Alien Labs的Blog 說道,

一個如何檢測平台或服務攻擊的範例

Oh那些我們在雲端使用的應用程式… 

由Proofpoint發布的一項為期六個月的全面研究報告顯示，攻擊者“正在利用傳統‎安全協定和憑據轉儲,來提高大規模暴力破解程序的速度和效率。”

威脅參與者設計針對平台或服務的威脅，這些威脅將為他們提供最大的投資回報率。這意味著針對擁有最多用戶的系統進行攻擊。因此，今天的大多數攻擊都針對Microsoft Office 365（世界上使用最廣泛的生產力套件）和G-Suite。

他們進去後會發生什麼？

根據該報告，一旦駭客進入“受信任”帳戶，他們就會發起內部網路釣魚攻擊或企業電子郵件洩密（BEC）攻擊，其最終目標是將他們的範圍擴展到組織中，這樣他們就可以做壞事諸如竊取金錢或信息之類的東西（經濟收益是這類攻擊的一大動機）。以下是其工作原理的概述：

 

攻擊者>通過網路釣魚活動攻擊雲端帳戶或竊取員工的憑據

一旦他們控制了帳戶>他們就會在SaaS環境中橫向移動以破壞其他用戶帳戶（我們正在談論多個） – 這更容易做到，因為其他員工信任他們從中獲取電子郵件或附件的帳戶>

從那裡，攻擊者可以做很多事情，包括發起中間人（MITM）攻擊或設置“郵件委託”（即當你授予他人訪問你的帳戶時）

最終目標>通常是為了獲得金錢或信息

如果您想了解更多有關BEC攻擊的信息。查看Trustwave的Blog，  該Blog總結了詐騙者採取的許多方法，包括在電子郵件中使用業務域，這些電子郵件看起來類似於目標公司的高管的電子郵件。

 

保持領先雲端，領先於壞人

在保護您的雲端資產所需的“分層安全性”中，AT&T USM Anywhere Office 365應用程式,可用於監控雲端活動，包括過多的登錄失敗，例如Proofpoint報告中提到的登錄。

 

例如，圖1中的屏幕截圖顯示了Microsoft Azure目錄的儀表板，其中包含有關登錄活動的信息 – 登錄嘗試失敗了很多次。

 

一個特定的用戶“愛麗絲”顯然是主要罪魁禍首（或有人試圖扮成愛麗絲）。你也可以看到按原籍國登錄，在這種情況下，我們看到來自Botswana的登錄峰值 – 嗯。。。可能值得考慮“愛麗絲” 不在美國辦公室工作。

 

 

登錄嘗試失敗的Microsoft Azure目錄的儀表板

我們可以深入了解Alice的登錄活動的更多細節，注意到登錄的源資產肯定來自Botswana – 嗯，這看起來不太好。

 

來自Botswana的登錄失敗

 

深入研究，我們可以看到更多信息（圖3）。除非愛麗絲最近去非洲旅行，並且現在正試圖在度假時工作，這絕對表明某些事情是不對 – 可能是暴力認證攻擊。從這裡，您有多個選項，例如進入和阻止該特定IP地址。

更有罪的信息，可能想阻止這個IP

 

此外，在AlienVault USM Anywhere中，您還可以建立“警報規則alarm rule”。

 

 

建立USM警報規則

AT&T Alien Labs團隊定期更新我們的威脅情報並編寫Correlation rule關聯規則以檢測雲端的威脅，包括在Office 365 SaaS環境中。（警告：不可能為宇宙中的每個威脅編寫關聯規則，但我們建立了數百個，並且不斷更新這些規則以及每天添加更多規則）。 

 

例如，對於Office 365，我們建立了Delivery＆Attack |” 暴力認證| IMAP的關聯規則““即使用自動化通過使用隨機輸入（例如字典術語或已知的用戶名/密碼列表）重複測試用戶名/密碼字段。

圖5中的屏幕截圖顯示了“暴力破解後成功認證”觸發的警報摘要。這還包括所有相關事件（許多失敗的用戶登錄），警報優先級，用戶名，IP等。

 

 

針對Office 365的強制身份驗證

用戶可以深入了解以獲取更多信息，包括相關事件（即我們可以看到許多用戶登錄嘗試和失敗）。此外，警報顯示MITRE ATT & CK“規則攻擊策略”（憑證訪問）和“規則攻擊技術”（暴力） – 對於那些使用ATT和CK框架作為威脅檢測和響應的最佳實踐的人有好處戰略。（Alien Labs已將其所有相關規則映射到ATT和CK框架。

警報還包括有關下一步操作以及如何操作的建議（圖7）。

 

有關如何調查身份驗證活動的建議

在保護雲端帳戶方面的最後一個考慮因素是：它們並非生活在真空中。如果您喜歡那裡的大部分組織，那麼您可能正在使用多個雲端服務提供商（IaaS，PaaS和Saas）與您的本地網路相結合。在一個地方獲得所有這些環境的可見性 – 以及對它們的威脅 – 是能夠保持領先於雲端計算中的強力帳戶妥協等關鍵。

 

從SaaS應用程序收集數據

 

Source: http://ow.ly/AJkN50txmNA