普普安全资讯一周概览(0722-0728)

作者:

时间:
2023-07-28


01

勒索软件新玩家:8Base


8Base 是一个勒索软件团伙,自从 2022 年 3 月以来一直保持活跃,且在 2023 年 6 月攻击大幅增强。攻击者在泄漏数据的网站上,提供了各种常见问题的解决方案与多种联系方式。另一个有趣的地方是 8Base 团伙的沟通方式与另一个已知的勒索软件组织 RansomHouse 十分类似。其目标行业有商业服务、金融、制造与信息技术。该团伙也是双重勒索的使用者,多种手段并用逼迫受害者支付赎金。8Base 最近跨行业攻击了很多目标,但攻击者的身份与潜在动机仍然不明。尽管 8Base 勒索软件团伙并不一定是一个新出现的攻击团伙,但其最近激增的活动并未引起人们的广泛关注。在过去的一个月内,8Base 也可以排得上最活跃的前两位。除了勒索信息与扩展名为 .8Base 的加密文件外,其实大家对 8Base 勒索软件知之甚少。8Base 正在进行疯狂攻击,目前只能推测其使用几种不同的勒索软件进行攻击。该团伙针对小型企业的攻击十分频繁,一直处于活跃期。


普普点评

在发现 8Base 之初,研究人员就注意到其与 RansomHouse 之间存在明显的相似之处。其勒索信息与 RansomHouse 的勒索信息相似度达到 99%。数据泄露网站的欢迎页面就是从 RandomHouse 的页面复制过来的,服务条款页与常见问题解答页也是如此。由于二者高度相似,研究人员怀疑 8Base 是否为 RansomHouse 的分支或者模仿者,但是RansomHouse 使用黑市上出售的各种勒索软件进行攻击,并不自行开发,对于 8Base 也未能找到任何勒索软件变种。8Base 是否为 Phobos 或者 RandomHouse 的分支还有待观察,但一目了然的是 8Base 与 RansomHouse 几乎相同。






02

隐藏在SOHO路由器中的远程访问木马AVrecon,两年感染20个国家的7万台设备

最近,通信公海710Lumen的Black Lotus实验室在一篇博客中称,其发现了一项持续多年的波及全球路由器的恶意活动——新型僵尸网络“AVrecon”在未被察觉的情况下运行了至少两年,感染了全球7万台路由器。美国网络安全与基础设施安全局(CISA)最近就警告称,攻击者可利用SOHO路由器等网络设备作为全球攻击基础设施并对组织网络进行无限制访问。而SOHO路由器更新的频率通常较低,这更加剧了问题的严重性。例如Black Lotus研究人员分析的这个僵尸网络,其AVrecon恶意软件已经感染了超过7万台基于Linux的路由器,并在20多个国家的4万多个IP地址上保持着持久性控制。根据Black Lotus实验室的说法,AVrecon是继ZuroRAT和HiatusRAT之后,第三个专注于攻击SOHO路由器的恶意软件,主要攻击目标为英国和美国。据了解,AVrecon使用C语言编写,针对ARM嵌入式设备,特别是SOHO(小型办公室/家庭办公室)路由器。Black Lotus表示,这些目标设备通常缺乏标准端点安全解决方案,因此恶意软件可以利用已知漏洞进行更长时间的攻击。

普普点评

Black Lotus的研究人员发现,自2021年10月以来,至少有15个这样的服务器一直在运行。受感染的路由器用于与C2服务器之间的通信使用x.509证书进行加密,因此研究人员无法看到网络犯罪分子在“密码喷洒”攻击中的成功率。除此之外,受感染的设备还被用来点击各种Facebook和谷歌的广告。Black Lotus实验室建议,针对此类恶意活动,保持良好的习惯至关重要,例如定期重启路由器以及应用安全更新。






03

黑客专为网络犯罪设计的生成式人工智能WormGPT,用于定制真伪莫辨的钓鱼邮件

网络安全公海710SlashNext的一篇博客指出,随着生成式人工智能近来变得非常流行,越来越多黑客将这项技术改头换面,用于促进犯罪活动。最近,SlashNext在地下论坛发现了一种名为WormGPT的新型生成式AI网络犯罪工具。该工具自比为GPT模型的黑帽代替品,专门设计用于恶意活动。攻击者不需要熟练掌握特定语言,也能利用该工具针对攻击目标定制高度逼真的钓鱼邮件,以增加钓鱼成功的概率。使用生成式人工智能进行BEC(商业电子邮件诈骗)攻击,在效率之外,还具有另外几个优势。首先,它能够创建在语法上无可挑剔的电子邮件,降低被标记为可疑邮件的可能性。其次,它降低了钓鱼攻击的门槛,使得即使是技能有限的攻击者也能够发动精密的攻击。

普普点评

SlashNext安全研究团队对WormGPT工具进行测试后发现,其基于GPTJ语言模型,具有无限字符支持、聊天记忆保留和代码格式化等功能特点。据称,该工具在各种数据源上进行过训练,特别是与恶意软件相关的数据。个人和组织需要意识到这些风险,为防范此类AI驱动的BEC攻击,有必要了解最新的人工智能技术及其对网络安全的潜在影响,并采取适当措施来保护自己免受侵害,例如多因素身份验证和电子邮件过滤。






04

2023年第二季度邮件安全观察:诈骗邮件内容更加流利

根据ASRC (Asia Spam-message Research Center) 研究中心与守内安公海710的监测观察,2023年第二季度,全球整体垃圾邮件、钓鱼邮件数量小幅上升,常见病毒附文件邮件有些许减少,来自新申请域名的垃圾邮件约较上季增加60%。可能因为今年初以来,生成式AI工具的应用爆发,让语言在邮件的隔阂明显被打破:这些过去常用英语书写的诈骗邮件,转成中文内容时,变得比过去更加流利了;同样的情况也发生在过去出现在非英语语系流行的诈骗邮件,英文的诈骗内容文法变得流利,更不容易看出破绽。另一个较特别的威胁邮件是简体中文的钓鱼邮件,数量较上一季飙升许多,滥发时间落在三月底四月初。

普普点评

研究人员观察了许多样本,发现利用IPFS建设的钓鱼网站,由于其分散系统的特性,没有中央机构可以对它稽查或管理,再加上IPFS还可搭配缩址、转址等功能进行更复杂的蒙骗或躲避稽查,未来可能会变成钓鱼网站存在的主流趋势。企业防御最直接的方式是避免接触这类的钓鱼邮件,采用有效的邮件扫描机制是一个好方法;此外,在无必要使用IPFS的前提下,直接隔离IPFS网址,也可让此类风险大幅度降低。




05

美国学生遭遇求职诈骗邮件“轰炸”!

近日,有威胁行为者冒充生物科学、医疗保健和生物技术公海710来欺骗北美求职者。网络安全公海710Proofpoint表示:裁员潮影响到了各行各业的人,因此威胁行为者开始在劳动市场里制造出一些就业骗局,并试图从求职者那里骗取一些资金。此外,有专家还发现了一种专门针对该国北部学生的新垃圾邮件活动。这种骗局一开始只会给学生发送一则无关痛痒的信息,这些信息的来源通常来自生物科学、医疗保健或生物技术公海710。该消息也可能是一则虚假的面试邀请,里面包含一个PDF文件,其中包含有关该职位的更多信息。发送该消息的人会邀请人们在第三方平台上进行视频或聊天面试,以获取到他们的更多信息,并为他们的角色做好准备。虽然Proofpoint无法确认视频聊天中对这些求职者提出的的具体问题都是什么,但研究人员根据之前类似的活动推测,这些恶意攻击者可能会告诉这些求职者他们需要预付设备费用,然后将骗取到的钱财收入囊中。

普普点评

专家们将这类骗局归类为预付款欺诈(AFF)活动。虽然这类活动是在今年3月份首次发现的,但与之相似的欺诈行为已经存在多年。大学生经常是网络罪犯的常见目标,因为考虑到学生的灵活性,并可以接受远程工作的形式,同时也比较缺乏识别欺诈行为的经验,正因如此他们才会更大概率的遭遇就业骗局。该公海710表示:不断上升的通货膨胀和教育成本正在给学生的财务状况带来压力,这也使得诈骗邮件中提记得能实现快速赚钱的承诺更具吸引力。



06

成千上万的 OpenAI 凭证在暗网上待售

Flare 的安全研究人员在分析暗网论坛和市场时注意到,OpenAI 证书是最新待售的商品之一, 目前可以确定了约有 20 多万个 OpenAI 证书以窃取日志的形式在暗网上出售。虽然这一数字与 OpenAI 1 月份 1 亿活跃用户相比,似乎微不足道,但也能说明网络攻击者“看到”了生成式人工智能工具蕴藏的破坏力。2023 年 6 月,网络安全公海710 Group IB 在一份报告中指出超过101100个被泄露的 OpenAI ChatGPT 账户凭证在非法的暗网市场上待售。可见许多网络犯罪分子都盯上了人工智能,甚至有一网络攻击者还开发了一个名为 WormGPT 的盗版 ChatGPT,并对其进行了针对恶意软件的数据训练, 该工具也被被宣传为“黑帽的最佳 GPT 替代品”。

普普点评

研究人员指出在一项实验中,指示 WormGPT 生成一封电子邮件,旨在向毫无戒心的客户经理施压,迫使其支付欺诈发票。结果,WormGPT 生成的电子邮件不仅极具说服力,而且在战略上非常狡猾,完美展示了其在复杂的网络钓鱼和 BEC 攻击中的潜力。研究人员指出尽管抵御这种威胁可能比较困难,但是并非不能防御。



07

双重伤害!雅诗兰黛同时遭遇两个勒索软件的攻击

据BleepingComputer 7月19日消息,化妆品巨头雅诗兰黛最近遭到了来自两个不同勒索软件的攻击。在7月18日提交给美国证券交易委员会 (SEC) 的文件中,雅诗兰黛公海710证实了其中一次攻击,称攻击者获得了其部分系统的访问权限,并可能窃取了数据。该公海710没有提供有关该事件的太多细节,称其积极采取行动并关闭了一些系统,但已这次攻击似乎是受MOVEit Transfer漏洞的影响,让Clop 勒索软件获得了对该公海710的访问权限。在其数据泄露网站上,Clop 列出了雅诗兰黛,并注明已经获取了131GB的数据。与此同时,BlackCat 勒索软件组织也将雅诗兰黛添加到了受害者名单中,并表示雅诗兰黛对勒索邮件保持沉默让他们感到不满。

普普点评

雅诗兰黛的安全专家表示,尽管该公海710使用了微软的检测和响应团队 (DART) 和 Mandiant,但网络仍然受到威胁,他们仍然可以访问。BlackCat表示,他们没有对公海710的任何系统进行加密,并补充说,除非雅诗兰黛参与谈判,否则他们将透露有关被盗数据的更多细节,并暗示泄露的信息可能会影响客户、公海710员工和供应商。在向 SEC 提交的文件中,雅诗兰黛重点强调了补救措施,包括恢复受影响的系统和服务,并对可能造成的持续性影响做了评估。