BlueNoroff 引入繞過 MotW 的新方法

早 2022 年底，研究人員就發(fā)布過 BlueNoroff 組織的活動(dòng)，這是一個(gè)以盜竊加密貨幣而聞名的出于經(jīng)濟(jì)動(dòng)機(jī)的組織，通常利用 Word 文檔，使用快捷方式文件進(jìn)行初始攻擊。不過最近的追蹤發(fā)現(xiàn)，該組織采用了新的方法來傳播其惡意軟件。

其中一種是使用 .ISO（光盤映像）和 VHD（虛擬硬盤）文件格式，旨在避開 Web 標(biāo)記（MotW）標(biāo)志。MOTW 是 Windows Internet Explorer 通過強(qiáng)制使 IE 瀏覽器瀏覽存儲(chǔ)下來的網(wǎng)頁在安全的位置的一種機(jī)制，目的是增強(qiáng)安全性。

【資料圖】

該組織似乎也在嘗試用新的文件類型來傳播其惡意軟件。研究人員觀察到一個(gè)新的 Visual Basic 腳本、一個(gè)以前未見過的 Windows 批處理文件和一個(gè) Windows 可執(zhí)行文件。

分析顯示，該組織使用了 70 多個(gè)域名，這意味著他們直到最近都非常活躍。他們還創(chuàng)建了許多看起來像風(fēng)險(xiǎn)投資和銀行域名的假域名，這些域名大多模仿日本風(fēng)險(xiǎn)投資公司，表明該組織對(duì)日本金融機(jī)構(gòu)有著廣泛的興趣。

Roaming Mantis 使用了新的 DNS Changer ( DNS 解析器 )

Roaming Mantis（又名 Shaoye）是一個(gè)針對(duì)亞洲國家的知名攻擊組織。從 2019 年到 2022 年，這名攻擊者主要使用 "smishing" 來提供其登陸頁面的鏈接，目的是控制受攻擊的安卓設(shè)備并竊取設(shè)備信息，包括用戶憑據(jù)。

然而，在 2022 年 9 月，研究人員發(fā)現(xiàn) Roaming Mantis 使用了新的 Wroba.o Android 惡意軟件，并發(fā)現(xiàn)了一個(gè) DNS 解析器功能，該功能主要針對(duì)韓國使用的特定 Wi-Fi 路由器。

這可以用于管理來自使用惡意 DNS 設(shè)置的受攻擊 Wi-Fi 路由器的設(shè)備的所有通信，例如，將某人重定向到惡意主機(jī)并干擾安全產(chǎn)品更新。用戶將受攻擊的安卓設(shè)備連接到咖啡館、酒吧、圖書館、酒店、購物中心和機(jī)場(chǎng)等場(chǎng)所的免費(fèi)公共 Wi-Fi。當(dāng)連接到具有易受攻擊設(shè)置的目標(biāo) Wi-Fi 型號(hào)時(shí)，惡意軟件將破壞路由器并影響其他設(shè)備。因此，它可以在目標(biāo)區(qū)域廣泛傳播。

BadMagic：與俄烏沖突有關(guān)的新 APT 組織

自俄烏沖突開始以來，研究人員已經(jīng)發(fā)現(xiàn)了大量地緣政治網(wǎng)絡(luò)攻擊。

去年 10 月，研究人員就發(fā)現(xiàn)了 BadMagic 的攻擊。最初的攻擊途徑尚不清楚，但接下來要使用魚叉式網(wǎng)絡(luò)釣魚或類似的方法。攻擊目標(biāo)被導(dǎo)航到一個(gè) URL，該 URL 指向托管在惡意 web 服務(wù)器上的 ZIP 文檔。該文檔包含兩個(gè)文件：一個(gè)是誘餌文檔（研究人員發(fā)現(xiàn)了 PDF、XLSX 和 DOCX 版本），另一個(gè)是帶有雙重?cái)U(kuò)展名的惡意 LNK 文件（例如 PDF.LNK），打開后會(huì)導(dǎo)致攻擊。

在一些情況下，誘餌文檔的內(nèi)容與惡意 LNK 的名稱直接相關(guān)，以誘使用戶激活它。

LNK 文件下載并安裝了一個(gè)名為 "PowerMagic" 的 PowerShell 后門，該后門反過來部署了一個(gè)復(fù)雜的模塊化框架 "CommonMagic"。研究人員發(fā)現(xiàn) CommonMagic 插件能夠從 USB 設(shè)備中竊取文件，并進(jìn)行截屏將其發(fā)送給攻擊者。

在初步分析中，研究人員無法找到任何證據(jù)將他們發(fā)現(xiàn)的樣本和活動(dòng)中使用的數(shù)據(jù)與任何以前已知的攻擊者聯(lián)系起來。

Prilex 針對(duì)非接觸式信用卡交易發(fā)起攻擊

Prilex 已經(jīng)從專注于 ATM 的攻擊演變成了涉及 PoS 的攻擊。該組織開發(fā)的最新惡意軟件不是基于 PoS 攻擊中常見的內(nèi)存抓取器技術(shù)，而是直接開發(fā)了一種高度先進(jìn)的惡意軟件，該軟件包括獨(dú)特的加密方案、目標(biāo)軟件的實(shí)時(shí)補(bǔ)丁、強(qiáng)制協(xié)議降級(jí)、操縱密碼、執(zhí)行所謂的 "GHOST 交易 " 和信用卡欺詐，甚至是芯片和 PIN 卡上的欺詐。

在調(diào)查一起事件時(shí)，研究人員發(fā)現(xiàn)了新的 Prilex 樣本，其中一個(gè)新功能包括阻止非接觸式交易的功能。這些交易生成一個(gè)僅對(duì)一筆交易有效的唯一標(biāo)識(shí)符，這樣攻擊者就沒有辦法利用它了。通過阻止交易，Prilex 試圖迫使客戶插入他們的卡來進(jìn)行芯片和 PIN 交易，這樣攻擊者就有機(jī)會(huì)使用他們的標(biāo)準(zhǔn)技術(shù)從卡中捕獲數(shù)據(jù)。

隨著非接觸式卡交易的增加，該技術(shù)可以讓 Prilex 攻擊者繼續(xù)竊取卡信息。

攻擊者使用社會(huì)工程來攻擊 PoS 終端，他們?cè)噲D說服零售店的員工，他們迫切需要更新終端的軟件，并允許所謂 " 技術(shù)專家 " 訪問商店，或者至少提供遠(yuǎn)程訪問終端的權(quán)限。所以，零售公司要警惕攻擊跡象，包括反復(fù)失敗的非接觸式交易，并教育員工了解這種攻擊方法。

對(duì)于零售公司（尤其是擁有許多分支機(jī)構(gòu)的公司）來說，制定內(nèi)部法規(guī)并向所有員工解釋技術(shù)支持或維護(hù)人員應(yīng)該如何運(yùn)作是很重要的。這至少可以防止對(duì) pos 終端的未經(jīng)授權(quán)的訪問。此外，提高員工對(duì)最新網(wǎng)絡(luò)威脅的意識(shí)總是一個(gè)好主意，這樣他們就不會(huì)那么容易受到新的社會(huì)工程技巧的影響。

使用假冒 Tor 瀏覽器竊取加密貨幣

研究人員最近發(fā)現(xiàn)了一個(gè)正在進(jìn)行的加密貨幣盜竊活動(dòng)，影響了 52 個(gè)國家的 1.5 萬多名用戶。攻擊者使用了一種已經(jīng)存在了十多年的技術(shù)，最初是由銀行木馬用來替換銀行賬號(hào)的。然而，在最近的活動(dòng)中，攻擊者使用木馬版的 Tor 瀏覽器來竊取加密貨幣。

目標(biāo)從包含密碼保護(hù)的 RAR 文檔的第三方資源下載 Tor 瀏覽器的木馬化版本，密碼用于防止其被安全解決方案檢測(cè)到。一旦文件被釋放到目標(biāo)計(jì)算機(jī)上，它就會(huì)在系統(tǒng)的自動(dòng)啟動(dòng)中自我注冊(cè)，并偽裝成一個(gè)流行應(yīng)用程序（如 uTorrent）的圖標(biāo)。

惡意軟件一直等到剪貼板中出現(xiàn)錢包地址，然后將輸入的剪貼板內(nèi)容的一部分替換為攻擊者自己的錢包地址。

對(duì)現(xiàn)有樣本的分析表明，這些攻擊目標(biāo)的估計(jì)損失至少為 40 萬美元，但實(shí)際被盜金額可能要大得多，因?yàn)檠芯咳藛T的研究只關(guān)注 Tor 瀏覽器濫用。其他活動(dòng)可能使用不同的軟件和惡意軟件傳播方法，以及其他類型的錢包。

研究人員目前還無法確定一個(gè)承載安裝程序的網(wǎng)站，因此它可能是通過 torrent 下載或其他軟件下載程序傳播的。來自官方 Tor 項(xiàng)目的安裝程序是數(shù)字簽名的，不包含任何此類惡意軟件的跡象。因此，為了保證安全，你應(yīng)該只從可靠和可信的來源下載軟件。即使有人下載了木馬化的版本，一個(gè)好的反病毒產(chǎn)品也應(yīng)該能夠檢測(cè)到它。

還有一種方法可以檢查你的系統(tǒng)是否受到同類惡意軟件的攻擊。在記事本中輸入以下 " 比特幣地址 "：

bc1heymalwarehowaboutyoureplacethisaddress

現(xiàn)在按 Ctrl+C 和 Ctrl+V。如果地址更改為其他地址，則系統(tǒng)可能受到剪貼板注入器惡意軟件的危害，并且使用起來很危險(xiǎn)。

我們建議你用安全軟件掃描你的系統(tǒng)。如果你不確定是否有隱藏的后門，那么一旦系統(tǒng)被破壞，你就不應(yīng)該信任它，直到它被重建。

利用 ChatGPT 發(fā)起攻擊

自從 OpenAI 通過 ChatGPT 向公眾開放其大型 GPT-3 語言模型以來，人們對(duì)該項(xiàng)目的興趣猛增，爭(zhēng)相探索它的可能性，包括寫詩、參與對(duì)話、提供信息、為網(wǎng)站創(chuàng)建內(nèi)容等等。

關(guān)于 ChatGPT 對(duì)安全格局的潛在影響，也有很多討論。

鑒于 ChatGPT 模仿人類互動(dòng)的能力，使用 ChatGPT 的自動(dòng)魚叉式網(wǎng)絡(luò)釣魚攻擊很可能已經(jīng)發(fā)生了。ChatGPT 允許攻擊者在工業(yè)規(guī)模上生成有說服力的個(gè)性化電子郵件。此外，來自釣魚信息目標(biāo)的任何回復(fù)都可以很容易地輸入聊天機(jī)器人的模型，在幾秒鐘內(nèi)產(chǎn)生令人信服的后續(xù)活動(dòng)。也就是說，雖然 ChatGPT 可能會(huì)讓攻擊者更容易偽造網(wǎng)絡(luò)釣魚信息，但它并沒有改變這種攻擊形式的本質(zhì)。

攻擊者還在地下黑客論壇上介紹了他們?nèi)绾问褂?ChatGPT 創(chuàng)建新的木馬。由于聊天機(jī)器人能夠編寫代碼，如果有人描述了一個(gè)所需的功能，例如，" 將所有密碼保存在文件 X 中，并通過 HTTP POST 發(fā)送到服務(wù)器 Y"，他們可以在不具備任何編程技能的情況下創(chuàng)建一個(gè)簡(jiǎn)單的信息竊取器。然而，這樣的木馬很可能是很低級(jí)的，并且可能包含效果較差的漏洞。至少就目前而言，聊天機(jī)器人只能編寫低級(jí)惡意軟件。

研究人員還發(fā)現(xiàn)了一個(gè)惡意活動(dòng)，試圖利用 ChatGPT 日益流行的優(yōu)勢(shì)。欺詐者創(chuàng)建了模仿愛好者社區(qū)的社交網(wǎng)絡(luò)群組。這些群組還包含預(yù)先創(chuàng)建的帳戶的虛假憑據(jù)，這些帳戶聲稱可以訪問 ChatGPT。這些群組包含一個(gè)看似合理的鏈接，邀請(qǐng)人們下載一個(gè)虛假的 Windows 版 ChatGPT。

該惡意鏈接安裝了一個(gè)木馬，可以竊取存儲(chǔ)在 Chrome、Edge、Firefox、Brave 和其他瀏覽器中的帳戶憑證。

由于安全研究人員經(jīng)常發(fā)布有關(guān)攻擊者的報(bào)告，包括 TTP（戰(zhàn)術(shù)、技術(shù)和程序）和其他指標(biāo)，研究人員決定嘗試了解 ChatGPT 對(duì)安全格局的影響，以及它是否可以幫助常見的惡意工具和 IoC，如惡意哈希和域。

基于主機(jī)的工件的響應(yīng)看起來很有希望，所以研究人員指示 ChatGPT 編寫一些代碼，從測(cè)試 Windows 系統(tǒng)中提取各種元數(shù)據(jù)，然后問自己元數(shù)據(jù)是否是 IoC：

由于某些代碼片段比其他代碼片段更方便，研究人員繼續(xù)手動(dòng)開發(fā)這種概念驗(yàn)證：他們過濾了 ChatGPT 響應(yīng)包含關(guān)于 IoC 存在的 "yes" 語句的事件的輸出，添加了異常處理程序和 CSV 報(bào)告，修復(fù)了小漏洞，并將代碼片段轉(zhuǎn)換為單獨(dú)的 cmdlet，從而生成了一個(gè)簡(jiǎn)單的 IoC 掃描器 HuntWithChatGPT.psm1，它能夠通過 WinRM 掃描遠(yuǎn)程系統(tǒng)。

雖然對(duì)于 OpenAI API 來說，IoC 掃描的精確實(shí)現(xiàn)目前可能不是一個(gè)非常劃算的解決方案，因?yàn)槊颗_(tái)主機(jī)需要 15 到 20 美元，但它顯示了有趣的結(jié)果，并為未來的研究和測(cè)試提供了機(jī)會(huì)。

人工智能對(duì)我們生活的影響將遠(yuǎn)遠(yuǎn)超出 ChatGPT 和其他當(dāng)前機(jī)器學(xué)習(xí)項(xiàng)目的能力。Ivan Kwiatkowski 是卡巴斯基實(shí)驗(yàn)全球研究和分析團(tuán)隊(duì)的一名研究員，他最近探討了我們可以預(yù)期的長(zhǎng)期變化的可能范圍。這些觀點(diǎn)不僅包括人工智能帶來的生產(chǎn)力提高，還包括它可能帶來的社會(huì)、經(jīng)濟(jì)和政治變化的影響。

追蹤用戶的數(shù)字足跡

研究人員已經(jīng)習(xí)慣了服務(wù)提供商、營銷機(jī)構(gòu)和分析公司跟蹤用戶的鼠標(biāo)點(diǎn)擊、社交媒體帖子以及瀏覽器和流媒體服務(wù)的歷史記錄。公司這么做有很多原因，他們希望更好地了解我們的偏好，并建議我們更有可能購買的產(chǎn)品和服務(wù)。他們這樣做是為了找出我們最關(guān)注的圖像或文本，甚至還向第三方出售我們的在線行為和偏好。

跟蹤是使用網(wǎng)絡(luò)信標(biāo)（又名追蹤器像素和間諜像素）完成的。最流行的跟蹤技術(shù)是將 1 × 1 甚至 0x0 像素的微小圖像插入電子郵件、應(yīng)用程序或網(wǎng)頁。電子郵件客戶端或?yàn)g覽器通過傳輸服務(wù)器記錄的有關(guān)用戶的信息來請(qǐng)求從服務(wù)器下載圖像。這包括時(shí)間、設(shè)備、操作系統(tǒng)、瀏覽器和下載像素的頁面。這就是信標(biāo)操作員了解你打開電子郵件或網(wǎng)頁的方式以及方式。通常使用網(wǎng)頁中的一小段 JavaScript 來代替像素，它可以收集更詳細(xì)的信息。這些信標(biāo)被放置在每個(gè)頁面或應(yīng)用程序屏幕上，使公司可以在你上網(wǎng)的任何地方跟蹤你。

在研究人員最近關(guān)于網(wǎng)絡(luò)追蹤器的報(bào)告中，他們列出了網(wǎng)站和電子郵件中最常見的 20 個(gè)信標(biāo)。網(wǎng)絡(luò)信標(biāo)的數(shù)據(jù)基于卡巴斯基匿名統(tǒng)計(jì)數(shù)據(jù)，該組件阻止網(wǎng)站追蹤器的加載。大多數(shù)公司至少與數(shù)字廣告和營銷有一定聯(lián)系，包括谷歌、微軟、亞馬遜和甲骨文等科技巨頭。

電子郵件信標(biāo)的數(shù)據(jù)來自卡巴斯基郵件產(chǎn)品的匿名反垃圾郵件檢測(cè)數(shù)據(jù)。列表中的公司是電子郵件服務(wù)提供商（ESP）或客戶關(guān)系管理（CRM）公司。使用追蹤器收集的信息不僅對(duì)合法公司有價(jià)值，對(duì)攻擊者也有價(jià)值。如果他們能夠獲得這些信息，例如，由于數(shù)據(jù)泄露，他們可以利用這些信息攻擊在線賬戶或發(fā)送虛假電子郵件。此外，攻擊者還利用網(wǎng)絡(luò)信標(biāo)。你可以在此處找到有關(guān)如何保護(hù)自己免受跟蹤的信息。

通過搜索引擎插入惡意廣告

最近幾個(gè)月，研究人員觀察到使用谷歌廣告作為傳播惡意軟件手段的惡意活動(dòng)數(shù)量有所增加。至少有兩個(gè)不同的竊取程序—— Rhadamanthys 和 RedLine，它們?yōu)E用了搜索引擎推廣計(jì)劃，以便向受害者的電腦發(fā)送惡意有效負(fù)載。

他們似乎使用了與著名軟件（如 Notepad++ 和 Blender 3D）相關(guān)的網(wǎng)站模仿技術(shù)。攻擊者創(chuàng)建合法軟件網(wǎng)站的副本，并使用 " 誤植域名 " ( 使用拼寫錯(cuò)誤的品牌或公司名稱作為 url ) 或 " 組合搶注 " ( 如上所述，但添加任意單詞作為 url ) 來使網(wǎng)站看起來合法。然后，他們付費(fèi)在搜索引擎中推廣該網(wǎng)站，以將其推到搜索結(jié)果的首位。惡意軟件的分布表明，攻擊者的目標(biāo)是全球范圍內(nèi)的個(gè)人和企業(yè)受害者。