事件简介
随着新冠病毒在国外爆发,国外黑客组织通过仿造新冠疫情的相关信息,不断向全球各国企业,政府组织机构发起网络攻击,根据国外某媒体相关报道,从3月中旬开始一个名叫DarkHotel的高级黑客组织通过钓鱼和垃圾邮件手法攻击WHO世界卫生组织,这个黑客组织自2004年以来一直在进行网络间谍活动,非常活跃,该组织位于东南亚地区,之前主要针对高价值的个人进行网络间谍跟踪,涉及个人的酒店和商务活动,该组织的攻击活动介绍,可以参考链接:https://attack.mitre.org/groups/G0012/,如下所示:
位于罗马尼亚的BitDefender和位于莫斯科的卡巴斯基两家安全公司,表示他们已将DarkHotel的攻击活动追溯到了位于东亚地区,并且由于新冠疫情的影响,黑客通过新冠疫情COVID-19已经在全球各地发起网络攻击行为,主要通过各种钓鱼和垃圾邮件对相关企业或政府机构发起网络攻击,具体的目标包含中国、朝鲜、日本和美国等地区的政府雇员和企业高管,同时相关安全专家表示,针对世界卫生组织的网络攻击行为,只是这次全球黑客组织发起攻击的冰山一角,针对这次黑客组织攻击WHO,笔者通过分析,大概整理了一下这个黑客组织的攻击流程。
主要攻击流程
黑客组织在前期通过一个仿冒的WHO内部电子邮件系统服务器,对WHO内部人员进行钓鱼攻击,诱使WHO机构的员工登录该电子邮件系统,盗取了WHO组织内部人员的电子邮箱密码,如下所示:
盗取到了WHO内部人员的电子邮件密码之后,再通过获取到的这些邮箱密码仿冒WHO的内部人员,对组织内部发送垃圾邮件,欺骗组织内部人员下载安装窃密木马(例如:HawkEye、Oski Stealer等),盗取WHO组织人员更多的信息,如下所示:
全球攻击活动
COVID-19目前在国外爆发,黑客组织开始利用新冠疫情发起大量的网络攻击行为,根据CERT-EU的监控报告,从3月份开始,基本上每天都在发生网络攻击事件,如下所示:
这些网络攻击涉及到各种不同平台,这些平台主要包含Windows、Linux(IOT物联网)、Android、macOS等,目前通过COVID-19发起的网络攻击,不仅仅包含勒索病毒攻击,APT攻击,同时还包含大量的物联网攻击样本,攻击涉及到的样本类型主要包含:勒索病毒、僵尸网络(Mirai变种)、窃密远控木马(APT攻击)等,这些网络攻击主要通过钓鱼、垃圾邮件、设备漏洞进行传播。
勒索病毒攻击
勒索病毒仍然是攻击者使用最多的恶意软件,仅管此前国外安全公司Emsisoft已经呼吁不要将医院等公共医疗机构做为勒索病毒攻击的目标,BleepingComputer网站运营人员也与各个勒索病毒攻击组织进行了联系,希望这些勒索病毒运营商不会攻击医疗机构,然而到目前为止只有Maze和DoppelPaymer两款勒索病毒的运营商做出回应,表示不会攻击医疗机构,与此同时Ryuk勒索病毒的运营商表示仍会将目标对准医院,使用PsExec部署勒索病毒,并选定了十家医院做为他们攻击目标,其中两个是独立医院,另一个是由美国9家医院组成的医疗网络,Maze勒索病毒虽然不攻击医院,仍然他们攻击了网络保险巨头Chubb,Chubb是全球领先的保险公司之一,拥有广泛的网络保险产品线,其中包括事件响应,法医,法律团队甚至公共关系,Chubb并非不知道网络攻击,因为在其 2019年《网络焦点报告》中, Chubb解释说,与恶意软件相关的索赔在2019年增加了18%,勒索软件占制造商网络索赔的40%,较小企业的网络索赔的23%,这种因为网络攻击导致的保险索赔都有明显增加,同时还有一些APT组织通过网络攻击传播勒索病毒,比方TA2101这个新型的黑客组织,之前利用垃圾邮件假冒政府向德国、意大利和美国进行网络攻击,传播Maze勒索病毒,笔者监控到近期比较流行的勒索病毒家族主要有:Sodinokibi勒索病毒、Maze勒索病毒、Globelmposter勒索病毒、CrySiS勒索病毒、Phobos勒索病毒、Ryuk勒索病毒、NetWalker勒索病毒、NEMTY勒索病毒、MedusaLocker勒索病毒等,同时CrySiS(Dharma)勒索病毒的源代码目前也在网上公开出售,如下所示:
此前GandCrab勒索病毒的源码也在相关的论坛被公开出售,现在CrySiS勒索病毒的源码也被出售,未来会不会有类似CrySiS勒索病毒的新型变种家族出现?需要持续关注,从最近几个月的观察来说,2020年勒索病毒攻击形势已经比2019年更加严峻,而且攻击活动也变的更加频繁,请各企业做好相应的防范措施,提高企业安全意识。
窃密远程攻击
APT攻击组织也是瞄准了这次COVID-19的疫情,不断通过钓鱼和垃圾邮件两种方式进行网络攻击行为,通过垃圾邮件附件携带各种诱饵文件欺骗受害者点击,这些恶意附件类型多种多样,包含Offices文档、URL链接、LNK文件、VBS脚本、以及仿冒成Office文档的EXE程序、包含漏洞的PDF文档等,这些APT攻击组织有成熟的黑客组织,比方上面2004年就开始活跃的DarkHotel黑客组织,也有一些普通的黑客组织,利用这次新冠疫情进行钓鱼和邮件攻击,这些活跃的APT攻击组织,主要还是以海莲花APT32、Kimsuky APT、TransprentTribe APT、BITTER(蔓灵花) APT、白象、Gamaredon APT等黑客组织为主,这些APT组织通过发起APT攻击,给受害者安装各种不同家族的流行的窃密木马、远控木马等,相关的木马家族:Parallax RAT、Crimson RAT、HawkEye、Kpot、AZORult、Hancitor、Denis、Oski Stealer、AgentTesla等、通过这些木马控制窃取受害者数据。
僵尸网络攻击
随着IOT物联网设备的普及,以Mirai变种为主的IOT DDOS变种样本越来越多,笔者在上一家公司主要研究物联网安全相关问题,分析研究过几款智能设备漏洞,以及基于这些智能设备的恶意样本,基于物联网设备,从目前捕获到的恶意软件来看,大多数都是基于Mirai的各种变种家族为主,例如:Hajime、Persirai、DvrHelper、Owari、Sora、blxntz等,这些变种样本主要通过智能设备的漏洞进行传播,然后再利用远程控制端控制这些BOT对目标发起DDOS攻击,最新的这些基于Mirai变种的样本,如下所示:
这些基于IOT的恶意软件变种样本,源码框架都与此前泄露的Mirai源码类似,如下所示:
基于物联网的网络安全攻击,未来可能会随着5G的流行,智能设备的增多,针对各种物联网设备的攻击会越来越多,通过在物联网设备中植入恶意软件对企业的网络流量和数据进行监控和窃取,同时也为下一步的网络攻击活动提供基础,物联网设备可能会成为黑客组织攻击企业的入口之一,需要持续关注。
网络攻击态势
从上面的这些网络攻击事件,我们可以发现全球各地的黑客组织都在不断发起网络攻击行为,同时随着新冠疫情在国外流行爆发,这些网络攻击行为似乎变的更加普遍,大多数人的网络安全意识并不强,当你收到并打开一个链接、一封邮件、一个文档或者从网上下载一个程序的时候,你是否考虑过这些可能会包含恶意软件?每天都会有很多不同的钓鱼网站和垃圾邮件在网络上传播,这些黑客组织从来没有停止过发起网络攻击行为,网络安全,是一场永不停止的战争,新冠疫情的爆发让这些攻击变的更加普遍,黑客往往喜欢利用一些热点的事件传播恶意软件,会通过各种不同的手法对全球各地的企业,政府机构发起网络攻击,传播各种不同的恶意软件,笔者从事恶意软件研究十几年,接触过各种不同平台的恶意软件,分析过很多不同的恶意软件家族,恶意软件一直是网络安全的最大威胁之一,未来不管平台怎么发展,网络安全如何变化,恶意软件一直是黑客组织获利的主要手段之一,前段时间Malwarebytes Labs发布了《2020年恶意软件威胁态势报告》,这份报告由Malwarebytes的安全威胁分析师及研究人员共同发布,报告介绍了2020年macOS、Windows、Android、Web以及数据隐私方面的威胁态势,报告分析了2019年的恶意软件威胁态势,在Windows平台,以Emotet和TrickBot两款僵尸网络家族为主的恶意软件与2019年主流的勒索病毒Ryuk,Sodinokbi,Phobos家族“狼狈为奸”,一起对企业发起攻击,对企业数据进行加密勒索,在Android平台,预装在Android设备上的恶意软件和广告软件有所增加,广告类恶意软件在Windows平台上也是无处不在,这些广告类的恶意软件通过投放广告,劫持浏览器,重定向网络流量进行谋利,而且很难卸载,同时2019年挖矿木马总体量呈现衰落趋势,挖矿木马带来的收益无法满足一些黑客组织的攻击活动,他们需要寻找更快的利润增长点,比方通过勒索病毒攻击快速获利,有兴趣的读者可以去下载看看,下载地址:
https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf
265
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
