卡巴斯基：2023年Q1 IT威胁演变报告

针对性攻击

BlueNoroff引入绕过MotW的新方法

2022年底，卡巴斯基报告了BlueNoroff的最近活动，这是一个以窃取加密货币而闻名的经济驱动型威胁团伙。该组织通常利用Word文档，使用快捷方式文件进行初始入侵。然而，该组织最近采用了新的方法来传播其恶意软件。

其中一种方法就是使用.ISO（光盘映像）和.VHD（虚拟硬盘）文件格式，旨在绕开Windows Mark of the Web（MotW）保护机制。MotW是Windows的一项安全措施——当有人试图打开从互联网下载的文件时，系统就会显示一条警告信息。

另一方面，该威胁组织似乎也在试验新的文件类型来传递恶意软件。研究人员观察到一个新的Visual Basic脚本，一个前所未见的Windows批处理文件和一个Windows可执行文件。

分析结果显示，该组织使用了70多个域名，这意味着他们直到最近都十分活跃。他们还创建了许多看起来像风险投资和银行域名的假域名：这些域名大多模仿日本风险投资公司，表明该组织对日本金融实体有着浓厚的兴趣。

Roaming Mantis实现新的DNS更改器

“漫游螳螂”（Roaming Mantis，又被称为Shaoye）是一个针对亚洲国家的成熟威胁组织。卡巴斯基于2018年首次观察到该组织的一系列网络犯罪活动。据悉，该组织的名字源于其通过在Wi-Fi网络之间“漫游”的智能手机传播，进而控制受感染的安卓设备并窃取设备信息，包括用户凭据。

然而，2022年9月，研究人员发现Roaming Mantis在活动中使用了一款名为“Wroba.o”的新型Android恶意软件，以及一个DNS更改器功能。DNS更改器是一种恶意程序，它将连接到被感染的Wi-Fi路由器的设备引导到网络犯罪分子控制的服务器上，而非合法的DNS服务器上。然后，潜在的受害者会被提示下载恶意软件，这些恶意软件可以控制设备或窃取凭证。

当一台受感染的智能手机连接到各种公共场所（如咖啡馆、酒吧、图书馆、酒店、购物中心、机场甚至家庭）中的“健康”路由器时，Wroba.o恶意软件可以入侵这些路由器，并影响其他连接的设备。新的DNS更改器功能可以使用被入侵的Wi-Fi路由器管理所有设备的通信， 例如重定向到恶意主机和禁用安全产品的更新。

目前，这项新的攻击技术主要针对韩国使用的特定Wi-Fi路由器，但相信很快就会在其他国家实施。

BadMagic：与俄乌冲突有关的新APT组织

自俄乌冲突开始以来，研究人员已经确定了大量地缘政治网络攻击。BadMagic APT组织也被追踪到与针对俄乌冲突地区的公司发起的网络攻击有关。

去年10月，研究人员发现顿涅茨克、卢甘斯克和克里米亚的政府、农业和运输组织受到活跃感染。最初的入侵途径尚不清楚，但下一阶段的细节暗示其使用了鱼叉式网络钓鱼或类似的东西。目标被重定向到一个URL，该URL指向托管在恶意web服务器上的ZIP文档。该文档包含两个文件：一个是诱骗文件（我们发现了PDF、XLSX和DOCX版本），一个是带有双扩展名的恶意LNK文件（例如PDF.LNK），打开后会导致感染。

在一些情况下，诱饵文档的内容与恶意LNK的名称直接相关，以诱骗用户激活它。

LNK文件下载并安装了一个名为“PowerMagic”的PowerShell后门程序，该后门程序反过来部署了一个名为“CommonMagic”的复杂模块化框架。研究人员发现，CommonMagic插件能够从USB设备窃取文件、截取屏幕截图、录制麦克风、记录按键、获取密码以及收集Gmail收件箱，并将其发送给威胁行为者。

在初步分析中，研究人员无法找到任何将新发现的样本和活动中使用的数据与先前已知的威胁组织联系起来的东西。但最近，通过研究历史遥测数据，卡巴斯基已经将BadMagic与之前的活动联系在一起，从而使该公司能够确定与CloudWizard框架相关的各种工具。

目前尚不清楚用于释放第一阶段安装程序的初始访问向量。然而，该恶意软件被配置为释放一个Windows服务（“syncobjsup.dll”）和一个第二个文件（“mods.lrc”），而该文件又包含三个不同的模块，用于收集和外传敏感数据。这些信息以加密形式传输到由行动者控制的云存储端点（OneDrive、Dropbox或Google Drive）。在这些服务都无法访问的情况下，将使用Web服务器作为备用机制。

其他恶意软件

priilex针对非接触式信用卡交易

Prilex已经从专注于ATM的恶意软件发展成为迄今为止最先进的PoS威胁。威胁行为者超越了在PoS攻击中常用的旧内存抓取器，变成了高度先进的恶意软件，包括独特的加密方案、目标软件的实时补丁、强制协议降级、操纵密码、执行所谓的“幽灵交易”和信用卡欺诈——甚至在芯片和PIN卡上。

在调查一起事件时，研究人员发现了新的priilex样本，其中一个新功能包括阻止非接触式交易的能力。这些交易会产生一个唯一的标识符，只对一次交易有效，使它们对网络犯罪分子毫无价值。通过阻止交易，Prilex试图迫使客户插入他们的卡来进行芯片和密码交易，从而允许网络犯罪分子使用他们的标准技术从卡中获取数据。

随着非接触式卡交易的增加，这是一种有价值的技术，可以让Prilex威胁行为者继续窃取卡信息。

威胁行为者使用社会工程技术来感染PoS终端。他们试图说服零售店的员工相信“迫切需要更新终端软件”，并允许“技术专家”访问商店，或者至少提供远程访问终端的权限。重要的是，零售机构要警惕感染的迹象——包括反复失败的非接触式交易——并教育员工识别网络犯罪分子入侵系统的方式。

对于零售公司（特别是拥有许多分支机构的大型网络），制定内部规定并向所有员工准确解释技术支持和/或维护人员应该如何操作是很重要的。这至少可以防止对PoS终端的未经授权的访问。此外，提高员工对最新网络威胁的意识总是一个好主意：这样他们就不会那么容易受到新的社会工程技巧的影响。

用虚假Tor浏览器窃取加密货币

研究人员最近发现了一个正在进行的加密货币盗窃活动，影响了52个国家的1.5万多名用户。在最近的活动中，攻击者使用特洛伊木马版本的Tor浏览器来窃取加密货币。

目标受众从包含密码保护——密码用于防止其被安全解决方案检测到——的RAR存档的第三方资源下载Tor浏览器的木马化版本。一旦文件被放置到目标电脑上，它就会在系统的自动启动中注册自己，并伪装成一个流行应用程序的图标，比如uTorrent。

恶意软件一直等到剪贴板中出现钱包地址，然后就会用网络罪犯自己的钱包地址替换部分输入的剪贴板内容。

针对现有样本的分析表明，这些攻击目标的估计损失至少为40万美元，但实际被盗金额可能要大得多，因为研究的关注重点只在Tor浏览器滥用。其他活动可能使用不同的软件和恶意软件交付方法，以及其他类型的钱包。

研究人员目前还不能确定任何托管安装程序的网站，所以它可能是通过torrent下载或其他软件下载器分发的。来自官方Tor项目的安装程序是数字签名的，不包含任何此类恶意软件的迹象。因此，为了保证安全，用户应该只从可靠和可信的来源下载软件。即使有人下载了木马化的版本，一个好的反病毒产品应该也能够检测到它。

还有一种方法可以检查用户的系统是否受到同类恶意软件的危害。在记事本中输入以下“比特币地址”：

bc1heymalwarehowaboutyoureplacethisaddress

现在按Ctrl+C和Ctrl+V。如果地址更改为其他地址，则系统可能受到剪贴板注入器恶意软件的危害，并且使用起来很危险，建议使用安全软件扫描自己的系统。

似乎每个人都在谈论ChatGPT

自从OpenAI通过ChatGPT向公众开放了它的大型GPT-3语言模型以来，人们对这个项目的兴趣猛增，开始争相探索它的可能性，包括写诗、参与对话、提供信息、为网站创建内容等等。

关于ChatGPT对威胁形势的潜在影响也有很多讨论。

鉴于ChatGPT模仿人类互动的能力，使用ChatGPT的自动鱼叉式网络钓鱼攻击很可能已经发生了。ChatGPT允许攻击者在工业规模上生成有说服力的个性化电子邮件。此外，来自钓鱼信息目标的任何回应都可以很容易地输入聊天机器人的模型，在几秒钟内产生引人注目的后续行动。也就是说，虽然ChatGPT可能使网络罪犯更容易炮制网络钓鱼信息，但它并没有改变这种攻击形式的本质。

网络犯罪分子还在地下黑客论坛上报道了他们如何利用ChatGPT创建新的木马。由于聊天机器人能够编写代码，如果有人描述了一个想要的功能（例如，“将所有密码保存在文件X中，并通过HTTP POST发送到服务器Y”），他们无需任何编程技能就可以创建一个简单的信息窃取程序。然而，这样的木马很可能是原始的，并且可能包含损害其有效性的错误。至少就目前而言，聊天机器人只能与恶意软件编写新手竞争。

研究人员还发现了一个试图利用ChatGPT流行趋势的恶意活动。欺诈者创建了模仿爱好者社区的社交网络群组。这些组还包含预先创建的帐户的假凭据，声称可以提供对ChatGPT的访问。这些群组包含一个貌似可信的链接，邀请人们下载一个假的Windows版ChatGPT。

该恶意链接安装了一个木马，可以窃取存储在Chrome、Edge、Firefox、Brave和其他浏览器中的帐户凭据。

由于安全研究人员经常发布关于威胁行为者的报告，包括TTPs（战术，技术和程序）和其他指标，卡巴斯基研究人员决定尝试找出ChatGPT对威胁研究的了解程度，以及它是否可以帮助常见的恶意工具和IoCs（妥协指标），例如恶意哈希和域。

基于主机的工件的响应看起来很有希望，所以我们指示ChatGPT编写一些代码来从测试Windows系统中提取各种元数据，然后问它该元数据是否是IoC：

接下来，研究人员继续手动开发这个概念证明：研究人员过滤了ChatGPT响应中包含关于IoC存在的“yes”语句的事件输出，添加了异常处理程序和CSV报告，修复了小错误，并将代码片段转换为单独的cmdlet，这产生了一个简单的IoC扫描器HuntWithChatGPT. psm1，能够通过WinRM扫描远程系统。

虽然对于OpenAI API来说，IoC扫描的精确实现目前可能不是一个非常划算的解决方案，因为每台主机需要15到20美元，但它显示了有趣的中期结果，并揭示了未来研究和测试的机会。

追踪我们的数字足迹

我们已经习惯了服务提供商、营销机构和分析公司跟踪我们的鼠标点击、社交媒体帖子、浏览器和流媒体服务历史。公司这么做有很多原因：他们希望更好地了解我们的偏好，并更好地为我们推荐产品和服务。他们这样做是为了找出我们最关注的图像或文本。他们还向第三方出售我们的在线行为和偏好。

跟踪是借助网络信标（web beacons，又名跟踪像素和间谍像素）完成的。最流行的跟踪技术是在电子邮件、应用程序或网页中插入一个小图像-1×1，甚至是0x0像素。电子邮件客户端或浏览器通过传输服务器记录的有关用户的信息来请求从服务器下载图像。这包括时间、设备、操作系统、浏览器以及从哪个页面下载像素。这就是信标的操作人员如何得知用户打开了电子邮件或网页。通常在网页中使用一小段JavaScript，它可以收集更详细的信息。这些信标放置在每个页面或应用程序屏幕上，使公司能够跟踪用户，无论其身处在网络的何种位置。

在关于网络追踪器的报告中，卡巴斯基列出了“在网站和电子邮件中发现的20种最常见的信标”。结果显示，大多数公司至少与数字广告和营销有一定的联系，包括谷歌、微软、亚马逊和甲骨文等科技巨头。

电子邮件信标的数据来自卡巴斯基邮件产品的匿名反垃圾邮件检测数据。名单上的公司要么是电子邮件服务提供商（ESP），要么是客户关系管理（CRM）公司。

使用追踪器收集的信息不仅对合法公司有价值，对网络犯罪分子也有价值。如果他们能够获得这些信息——例如，由于数据泄露——他们就可以利用这些信息入侵在线账户或发送虚假电子邮件。此外，攻击者也滥用网络信标实施非法活动。

通过搜索引擎传播恶意广告

最近几个月，研究人员观察到使用谷歌广告作为分发和传递恶意软件手段的恶意活动数量有所增加。至少有两个不同的窃取者——Rhadamanthys和RedLine——滥用了搜索引擎推广计划，以便向受害者的电脑发送恶意有效载荷。

他们似乎在使用同样的技术来模仿一个与知名软件相关的网站，比如Notepad++和Blender 3D。威胁行为者创建合法软件网站的副本，并使用“误值域名”或“组合抢注”来使网站看起来合法。然后，他们付费在搜索引擎中推广该网站，以便将其推到搜索结果的顶部——这种技术被称为“恶意广告（malvertising）”。

研究所看到的恶意软件分布表明，威胁行为者的目标是全球范围内的受害者，包括个人和企业。

https://securelist.com/it-threat-evolution-q1-2023/109838/

原文始发于微信公众号（FreeBuf）：卡巴斯基：2023年Q1 IT威胁演变报告