2023 年第三季度威胁格局报告 ： 社会工程占据中心地位

Q3 2023 年威胁形势报告 社会工程学占据中心地位 2023 年第三季度威胁格局报告 ： 社会工程占据中心地位 Authors Laurie Iacono Keith Wojcieszek 社会工程学在多种形式下于2023年第三季度占据中心地位。本季度，“人性攻击”从长期存在的安全挑战演变为威胁行为者的首选方法。这一变化通过我们观察到的显著社会工程策略的升级， 随着网络钓鱼的显著增加 ，smishing， 有效帐户 ， 语音钓鱼和其他策略 - 加起来是我们一年来看到的最高数量的事件。 社交工程攻击的数量不断增加，相应的攻击方法也变得越来越多样化，无论是通过电话、短信还是其他方式。KTA243(分散蜘蛛)已知可以做 ， 新颖的电子邮件网络钓鱼诈骗 ， 或直接通过 Microsoft Teams 使用DARKGATE 恶意软件作为社会工程学兴起的一部分, 商务电子邮件妥协 (BEC)持续稳步增长，在此期间，既有已建立的威胁行为者群体也有新的威胁行为者群体采用了多种策略来获取数据，并在某些情况下对信息进行加密勒索。 在我们对Kroll处理的所有案件进行分析时，专业服务领域在第三季度继续排名第一，与法律公司相关的活动集中度较高。我们还观察到与上一季度相比，建筑业和制造业的针对性有所名义性上升。上一季度. 我们的季度观察发现了一些值得注意的趋势，包括尽管臭名昭著的QAKBOT恶意软件已被中断，但某些指标表明其操作者仍然活跃。 Q3 2023 年威胁时间表 July 发布了有关威胁行为者使用类似工具的可能性的警告TeamsPhisher通过微软团队发起社会工程攻击。 在黑暗网络上观察到的 Chatter 表明演员对 ChatGPT 的恶意版本感兴趣蠕虫 GPT. 获得了新的见解CLOP 团伙使用的外渗方法在MOVEit大规模剥削事件。 August 多份报告强调不断演变的网络钓鱼 Landscape，报告显示国家政权正利用 Microsoft Teams 进行有针对性的攻击，而一项新的垃圾邮件活动则使用了Google AMP 网址绕过电子邮件安全和另一个网络钓鱼活动使用 QR 码传播恶意软件。 与之相关的临界严重程度Telerik and Citrix NetScaler被观察到被用来访问网络。 九月 A多国执法行动宣布 QAKBOT 恶意软件的中断。也被称为 QBOT ， Kroll 已经跟踪了与恶意软件相关的活动 ， 因为2020， 经常将其视为勒索软件部署的前兆。 Kroll 观察到DARKGATE 恶意软件由 Microsoft Teams 中共享的文件分发。 KTA243 (UNC3944, SCATTER SWINE, SCATTERED SPIDER, 0KTAPUS) 使用基于电话的社会工程学和基于短信的钓鱼攻击来窃取凭证并渗透组织。 行业分析 - 专业服务成为焦点 在第三季度，克罗尔继续观察到专业服务行业在各类案件中排名首位。与第一季度类似，克罗尔发现与法律公司相关的此类活动高度集中，并受到所有行业普遍增加的商务电子邮件欺骗（BEC）以及针对特定领域的专门活动的推动。法律行业， 例如 BLACKCAT 勒索软件团伙。 Kroll 还观察到制造业 (2%) 和建筑业 (1.5%) 的目标从上一季度. 在科尔勒的观察中，制造业和建筑业在第三季度最常经历商务电子邮件欺骗（BEC）事件。对于制造业，勒索软件是最可能观察到的威胁类型中的第二位，而内部威胁则是建筑业中第二可能的威胁类型。由于潜在的灾难性和高调攻击风险，制造业和关键基础设施经常成为网络犯罪分子的目标。2021年殖民管道公司的勒索软件攻击就是一个典型例子。历史上，制造业一直是犯罪分子的重点关注对象，因为该行业的许多企业尚未充分认识到其攻击面的规模。尽管行业现在已经更好地准备保护自己，但针对其的威胁仍然存在。 威胁事件类型 商业电子邮件妥协继续稳步增长的受欢迎程度。根据最新的互联网犯罪报告从FBI的互联网犯罪投诉中心（IC3）的数据来看，由于商务电子邮件欺骗（BEC），企业损失超过27亿美元。在第三季度，Kroll观察到与电子邮件篡改相关的事件有所增加，这一威胁因此占据了当季案件近47%的比例。 尽管 BEC 占据了中心舞台 ，勒索软件余下部分仍构成持续威胁。尽管第三季度（Q3）的勒索软件案例总百分比有所下降（-13.5%），但单个勒索软件事件的数量与前几个季度保持一致。第三季度观察到的最活跃的团体包括LOCKBIT和BLACKCAT。Kroll还注意到围绕新出现的团体如CACTUS、RHYSIDA和INC的活动有所增加。 案例研究BLACKCAT 撞击制造商 在一个Kroll案例中，第三季度期间，威胁行为者使用有效的凭证登录了一家制造公司的VPN服务。在首次未授权访问后的第一个月里，Kroll发现了几起可疑登录事件，行为者很可能在此期间进行了网络侦察，在某次事件中通过FileZilla执行了数据泄露。在首次恶意访问后近六周，威胁行为者被观察到再次回到系统，并持续了两天时间。在这段时间内，他们使用MegaSync进行数据泄露，还使用了Advanced IP Scanner进行网络发现和MimiKatz进行凭证收集。最终，威胁行为者部署了BLACKCAT载荷作为新的服务创建。在访问过程中，威胁行为者共泄露了近600GB的数据，这些数据后来在威胁行为者的站点上被曝光。 案例研究RHYSIDA 追随医疗保健部门 8 月初发布的警告多个政府机构表明了一个新的勒索软件团伙RHYSIDA将目标锁定在医疗保健行业。科尔罗公司的业务趋势在第三季度与这一报告相吻合。在一个影响大型医疗组织的案例中，攻击者利用已泄露的凭证（也称为有效账户）并结合客户Citrix NetScaler环境中的漏洞访问了系统。在获得访问权限后不久，威胁行为者部署了SYSTEMBC，这是一种特洛伊木马恶意软件，有助于隐藏与威胁行为者命令和控制（C2）基础设施的连接。在事件处理过程中，攻击者使用了多种工具，包括高级端口扫描器进行网络发现、AnyDesk进行远程访问以及MegaSync进行数据泄露。在文件被成功加密之后，攻击者更改了系统的密码，使IT员工无法访问网络。 社会工程学，或许多人所说的“黑客攻击人类”，是网络泄露和未授权访问远程系统的主要原因之一。科龙在第三季度观察到社会工程学手法显著增加，其中钓鱼攻击增加了8%，有效账户增加了9%，语音钓鱼也有所增加（数据未给出）。vishing) ， 以及其他战术 (3%) 。 案例研究健身订阅网络钓鱼使人们陷入旋转 在第三季度，Kroll 观察到多个案例中，来自专业服务公司的个人收到了一封伪造电子邮件，声称他们的订阅已开始生效，并且从当天起将按月自动扣费，订阅的是一个流行的健身会员服务。在多个案例中，收件人通过电子邮件或电话回应了这些提示，表示他们并未订购此类订阅。随后，收件人被引导下载了 Zoho Assist——一种远程支持软件会话工具。一旦获得访问权限，攻击者就会窃取文件，并要求支付财务赎金以避免数据泄露。 恶意软件趋势与分析 Kroll 主动跟踪恶意软件命令和控制基础设施 ， 提交给公共沙箱和活动事件响应（ IR) 和管理的检测和响应(MDR) 案例数据 ， 用于生成最活跃的恶意软件菌株列表以进行比较。 与我们分享的发现有明显不同第二季度威胁形势报告QAKBOT未出现在前10大恶意软件列表中，这是因为FBI在八月中断了这一著名的僵尸网络。Kroll公司已经跟踪QAKBOT多年。它还被称为QBOT、PINKSLIPBOT和QUAKBOT，通常通过恶意垃圾邮件传播，并且长期以来被观察到使用回复链主题劫持攻击以提高点击率。经过持续更新和新增模块后，QAKBOT被许多勒索软件团伙用作初始入侵向量，包括CONTI、PROLOCK、EGREGOR、REVIL、MEGACORTEX和黑色 Basta据估计 ， 僵尸网络已经感染了全球 700, 000 台机器。 QAKBOT分发商，尤其是KTA248（TA577），全年经常采取间歇性行动，恶意软件的分发从6月中旬开始显著下降。FBI的干扰基本切断了与僵尸网络控制层和命令与控制基础设施的通信，并向受感染设备发布了卸载命令。 自QAKBOT事件以来，克罗尔观察到一些较为未见的恶意软件变种有所上升，例如DARKGATE和PIKABOT，而其他开源窃取工具恶意软件的趋势保持一致。这表明QAKBOT操作者正在寻找新的初始访问恶意软件进行部署。 克罗尔最近观察到的病例DARKGATE 恶意软件通过Microsoft Teams消息向交通运输和Hospitality 行业的多家组织交付。这一活动也在开源报告中得到了强调，并与Kroll观察共享了多个关键指标，如常见的文件名、对手基础设施以及用于托管初始下载的类似域名命名约定。 抵御社会工程威胁 ： 主要建议 在第三季度社交工程攻击频发的情况下，企业必须采取积极措施确保自身具备足够的防御能力。由于这种威胁类型不断多样化，组织需要保持警惕，识别并应对所有潜在的攻击点。这从应用多种安全措施开始。关键安全控制以改善整体安全状况。企业还应考虑以下步骤 ： 网络钓鱼和未经授权的访问 ••••为所有用户提供定期培训和宣传课程通过电子邮件保护确保通过 URL 重写进行检测应用用户行为分析、消息跟踪日志、审计跟踪日志等。实施防网络钓鱼的身份验证方法 ， 例如在 FIDO 中注册的设备(Fast IDentity Online) ， 特别是对于特权用户 • 审查和更新IT帮助台政策及异常处理程序，以应对旨在注册或禁用多重因素认证（MFA）以及未经授权设备的社会工程攻击。 •使用创造性的条件访问控制 (CAC) 策略来减少攻击面。例如: - 如果您的企业设备策略仅包括桌面端的Windows和移动设备的iOS，请阻止Android和MacBooks进行身份验证 - 禁用或限制允许的身份验证方法的范围，例如短信和语音批准，或未使用的MFA应用程序类型 - 考虑阻止或标记来自组织足迹之外地理区域的身份验证尝试和注册 - 限制每个用户允许的身份验证设备数量，并在授权MFA设备时要求额外的身份验证因素 - 审查并减少会话令牌的有效期，并在可用时实施持续访问评估功能（CAE） 非法同意补助金 • 管理应用权限政策 • 限制用户可以同意的应用权限（或完全禁用）。任何之前已获得权限的应用程序在进行更改后仍然拥有权限。 检测 • 使用 Microsoft 365 Defender 门户(如果获得许可) • 删除所有 Oauth 同意授权 • 获取 AzureADSpermissions. ps1 熟悉的威胁带来了新的安全挑战 我们的研究发现过去两个季度表明，长期存在的有时被忽视的威胁可以迅速改变形式和重点，成为紧迫的安全问题。供应链威胁尤其如此。Q2成为关键关注点，社会工程学在第三季度也遵循了相似的模式。「人性黑客攻击」已在过去几个月中证明是威胁行为者首选的方法，进一步增加了本已动荡的威胁环境的复杂性。由于现在正被利用的各种形式的社会工程学手段日益多样化，企业必须确保自己具备相应的防护措施。最新功能必须捍卫他们。 回头看看Q3 2022展示了安全条件如何急剧变化。情况从2022年的勒索软件攻击下降转变为当前勒索软件团伙（无论是新成立的还是老的）都在采用新的策略。同样地，虽然电子邮件欺诈在去年第三季度达到了平台期，但在一年后却在所有行业中有所上升。另一个从2022年到2023年的关键变化是全球社会经济条件变得更加波动，这有可能影响许多行业的企业网络安全状况。确实，我们对2023年第一季度和第二季度的研究发现表明，由于上述原因，安全条件依然充满挑战。大型勒索软件组的分裂并且其他变化也有所体现。这已在我们观察到的第三季度趋势中得到证实，并且没有迹象表明这种趋势会在2023年的最后季度及以后减弱。 The c