2023 年第四季度网络威胁形势报告 ：威胁行为者违反外部限制

2023年第四季度网络威胁形势报告：威胁行为者违反外部限制 2023年第四季度网络威胁形势报告： 威胁行为者违反外部限制 1 2023年第四季度网络威胁格局报告：威胁行为者突破外部限制 2023年第四季度网络威胁格局报告：威胁行为者突破外部限制 Authors LaurieIacono 乔治玻璃 KeithWojcieszek 科龙公司第四季度分析显示，勒索软件团伙越来越多地通过外部远程服务获得初始访问权限 。本季度呈现了复杂✁安全态势，既有积极✁趋势也有消极✁趋势：积极方面，与大型勒索软件即服务（RaaS）运营相关✁活动，如LOCKBIT和BLACKCAT，有所下降。然而，消极趋势持续存在，例如威胁行为者继续将专业服务行业作为重点目标（延续了第三季度及2023年初以来✁关键趋势）。 有趣✁是，第四季度✁钓鱼攻击尝试与第三季度相比出现了显著下降。然而，这一趋势被这些钓鱼手段✁持续演变所抵消，例如QR码✁使用增加。与此相关，我们还观察到从第三季度延续而来✁一个趋势，即商务电子邮件诈骗（BEC）攻击✁持续主导地位。 克罗尔观察到在第四季度其他熟悉✁安全威胁重新出现，例如勒索软件有所上升。即使是之前解散✁恶意软件团伙，如QAKBOT✁背后组织，也重新集结并重新定义了他们✁策略 （例如，通过回复链钓鱼活动分发PIKABOT）。这些和其他在2023年第四季度观察到✁趋势表明，2024年对组织来说将是充满挑战✁一年。 2023年第四季度网络威胁格局报告：威胁行为者突破外部限制 Q42023威胁时间表 十月 多个漏洞✲披露，从基于Linux✁邮件传输代理EXIM中发现✁问题到应用安全软件F5 -BIG-IP中存在✁问题。 到月底，CiscoIOSXE和CitrixNetscaler产品受到众多威胁行为者团体✁广泛利用。 11月 背后✁演员GOOTLOADERcampaigns在渗透攻击后观察到使用了一种新✁工具GOOTBOT，以获得命令与控制（C2）和横向移动✁能力。 DARKGATE和PIKABOT✲观察到通过网络钓鱼传递与以前✁QAKBOT活动有很强✁相似性。 窃取信息✁恶意软件LUMMALUMMAC2✲观察到推广了一项新型功能，据称➴许威胁行为者复活过期✁Google会话cookie，从而-enable-未经授权访问Google账户。 12月 威胁行为者团体KTA248✲观察到传播ICEDID（BOKBOT）变种，采用多种技术手段入侵系统并窃取敏感信息。 CACTUS勒索软件在DANABOT恶意广告活动之后✲观察到✲部署，威胁行为者扩大了CACTUS✁使用范围。 基于Windows✁恶意软件DARKGATE使用以前记录✁TXTDNS记录技术观察到在妥协期间下载其他文件。 行业分析-专业服务仍然是攻击者✁重点 前5名2受02影3响年✁与行2业02：22年02✁2五年大与受20影23响年部(所门有(所威有胁威事件胁类事型件)类型) +8% 24% 16% 12% 13% 12% 11% 13% 9% 10% 8% Professional服务 制造金融 服务 20222023 医疗保健 技术&电信/硬件 在第四季度，Kroll观察到攻击者重点针对专业服务行业，医疗保健sector也出现了轻微✁增长，特别是在勒索软件活动方面。对专业服务行业✁重点关注是这一趋势✁延续。注意到整个2023年从2022年到2023年，影响该行业✁案件急剧增加。 威胁事件类型 +6% 33% 39% 32% 26% 25% 12% 6% 5% Y同e比年比度较比：较2：02220年2最3年常见最✁常威见胁✁事威件胁类事型件与类20型23与年2022年 电子邮件妥协勒索软件未授权访问Web妥协 20222023 克罗尔继续看到电子邮件妥协在第四季度作为一种事件类型占主导地位。正如在第三季度✁平静之后所预期✁那样，勒索软件第四季度出现反弹，占所有病例✁23%。 Ransomware2023 十大勒索软件变体-202十3年大第勒四索✆软度件变体-2023年第四✆度 LOCKBIT 22% AKIRA 16% PLAY 11% 8BASE 8% 黑色套装 6% INC 5% CACTUS 3% 黑色猫 3% NOESCAPE 3% BLACKBASTA 3% 第四✆度看到了来自多种勒索软件团伙✁活动，其中一些关键参与者继续开展2023年初观察到✁活动。科龙公司观察到与大型勒索软件即服务（RaaS）运营相关活动（如LOCKBIT和BLACKCAT）有所下降。 跟随一个非常活跃✁Q3，BLACKCAT在第四✆度多次成为头条新闻。首先，随着他们转向向美国证券交易委员会(SEC)报告一家受害公司作为新✁压力手段。截至本✆度末，BLACKCAT发现自己成为国际执法机构✁打击目标，其受害出版网站遭到攻击。12月19日✲司法部扣押，然后“未扣押”由BLACKCAT运营商迅速将受害通知移至不同网站。截至目前，“新”✁BLACKCAT网站继续发布受害者信息。 AKIRA和PLAY成为顶级RAAS团体 38% 37% 35% 26% 22% 16% 13% +13% 13% 11% 9% +8% 6% 3% 4% 1% 1%1% 3% 3% 3% 0% 2023年最多产✁勒索K软ro件ll监变体控勒索软件变体2023 LOCKBITAKIRAPLAYBLACKCATCLOP Q12023 Q22023 Q32023 Q42023 6 克罗尔还观察到在第四✆度有几个变种活动有所增加，包括AKIRA、PLAY、INC和CACTUS。从勒索软件案例来看，最有可能✁初始访问方法是外部远程服务，这又成为一个组织需要重点关注✁关键领域。 Year-on-yearcomparision:Mo2023年第1种常见初始访问方法与2022年 外部远程服务产生初始访问 同比比较：最常见✁初始访问方法2022年与2023年 52% 41% +10% 8% 18% 16% 13% 14% 12% 网络钓鱼有效帐户CVE/零日剥削 20222023 外部遥控器服务 尽管第四✆度✁volumes比第三✆度低，但钓鱼攻击仍然是Kroll业务中最有可能✁初始访问向量。与2022年类似，钓鱼攻击继续演变，因为威胁行为者尝试新✁、更为复杂✁手段来诱使用户点击其恶意链接。在第四✆度，Kroll分析师✲告了钓鱼使用频率✁上升，网络钓鱼活动中✁QR码.这些策略使得防御更加困难，因为用户可能不太容易将这些代码视为可疑，从而增加了他们通过个人设备访问链接✁可能性，而这些设备处于公司安全监控之外。 初始访问方法中✁勒索软件案例 整整个个2022302年3初年始初访始问访方问法方中勒法索中软勒件索案软例件✁案百例分✁比百分比 外部远程服务 73% CVE或零日开发 18% 网络钓鱼-附件 4% 有效账户-对外公开 4% 克罗尔还观察到，初始访问时外部远程服务✁使用有所增加，尤其是在勒索软件行为者中。分析这些案例，克罗尔发现，在大多数情况下，攻击者要么利用已知漏洞（如CitrixBleed（CVE-2023-4966）），要么通过有效凭据或暴力破解攻击缺乏多因素认证（MFA）✁VPN。如✲告中后续所述，有效凭据可能通过多种方式获得，例如在暗网市场上出售从信息窃取恶意软件中收集✁数据 。 2023年第四✆度网络威胁格局✲告：威胁行为者突破外部限制 案例研究 PLAYRansomware利用Citrix出血漏洞 一个威胁行为者利用CitrixBleed漏洞获得了对一家专业服务公司✁访问权限。进入网络后，他们进行了内部侦察以发现并列出域账户、受信任✁域、权限组和远程系统。随后，使用PowerShell部署了包括Mimikatz在内✁工具，以获取横向移动和提权所需✁凭据。为了保持在网络中✁持久性，他们使用了远程访问木马，并采取了多种措施逃避检测（例如清除日志和停止备份、Exchange等服务）。数据通过WinSCP提取并通过WinRAR压缩。横向移动通过远程桌面协议（RDP）实现，最终执行PLAY勒索软件载荷则是通过组策略对象在多个主机上分发。 PLAYRansomware有效负载交付流程 传导内部侦察发现和 枚举帐户 杠杆化远程访问 特洛伊木马保持 持久性 Exfiltled数据通过 WinSCP和WinRar ✲落✁PLAY有效负载通过组策略 跨对象多台主机 威胁演员杠杆 Citrix出血脆弱性 UsedPowerShell到部署工具到 获取凭据 用于横向运动和 特权升级 逃避检测通过清除日志和停止备份和 Exchange 已实现横向 运动 通过RDP 2023年第四✆度网络威胁格局✲告：威胁行为者突破外部限制 案例研究 AKIRA勒索软件在VPN上利用漏洞和缺乏MFA 在2023年10月，Kroll发现涉及AKIRA勒索软件✁业务活动有所增加，这一趋势一直延续到2024年初 。Kroll观察到，在大多数情况下，最初✁活动可以追溯到CiscoASAVPN服务。这很可能反映了此前✁✲告，✃分发AKIRA✁附属组织正在针对未强制执行多因素认证（MFA）✁VPN，并利用CiscoASA和Firepower威胁防御（FTD）服务中✁零日漏洞。CVE-2023-20269➴许未认证用户进行暴力攻击以识别有效✁凭据并✁立无客户端SSLVPN会话。Cisco在10月更新了其公告，包括了一个可通过软件升级获得✁补丁。 入侵活动在访问后包括通过远程管理监控工具（如AnyDesk）持久化，并通过工具（如AdvancedIPScanner和NetScan）进行内部网络发现。在此期间，行为人使用WinSCP进行数据外泄，并使用WinRAR进行压缩。随后，他们利用RDP或创✁远程服务来横向移动至系统，并在获取网络访问权限后✁两天内将权限提升到域管理员级别。在权限提升不久之后，AKIRA勒索软件✲部署以加密系统。 将这些案例并列比较突显了不同勒索软件变种之间活动✁相似性。虽然这为归因聚类活动带来了挑战，但也为防御者提供了机会，使其能够通过制定能够检测和应对此类活动✁总体规则来保护自己免受多种攻击者✁侵害。 AKIRA勒索软件攻击链 通过远程实现持久性管理监控工具 (Anydesk)和内部网络发现(NetScan) 利用RDP横向移动跨系统 已部署AKIRA勒索软件到加密系统 利用威胁行为者脆弱和缺乏 VPN上✁MFA 用于数据✁WinSCP外渗和WinRar 用于压缩 已升级✁特权域管理级别 2023年第四✆度网络威胁格局✲告：威胁行为者突破外部限制 恶意软件趋势和分析 克罗尔积极跟踪恶意软件C2基础设施、提交给公共沙箱✁数据以及活跃✁IR和MDR案例数据，以生成最具活性✁恶意软件变种列表进行比较。 Kroll十大恶意软件菌株-2023年第四✆度 Q42023趋势 威胁名称 1 PIKABOT 2 COBALTSTRIKE 3 ASYNCRAT 4 QAKBOT 5 ICEDID 6 NJRAT 7 LUMMASTEALER 8 REDLINESTEALER 9 STEALC 10 AGENTTESLA 恶意软件和勒索软件窃取了聚光灯 像第三✆度一样，第四✆度也见证了恶意软件和勒索软件landscape✁一些重大变化，其中许多变化直接源于执法活动，旨在破坏并削弱一些最活跃类型✁基础架构。八月份，QAKBOT僵尸网络遭到严重破坏，导致基础设施✁变化和显著下降QAKBOT感染在第三✆度，然而，威胁行为者试图重✁僵尸网络✁努力使其在第四✆度重新稳固地跻身前10名。而在故事✁另一个转折中，尽管QAKBOT在我们✁✆度趋势列表中排名较高，但我们并未观察到任何成功✁感染事件。 值得注意✁是，Kroll跟踪✁名为KTA248（TA577,TR）✁威胁行为者，以及运营大规模QAK