01. 狐潜鼠伏:黑产团伙风起云涌
2023年是黑产攻击尤其活跃的一年。微步情报局先后披露了银狐、花斑豹、黄雀、山猫等多个频繁活动的黑产团伙,尽管目标行业有所不同,但在攻击技术方面具有共通之处:熟练使用社工技术,并与电子邮件、社交软件以及供应链投毒相结合,威胁样本具备多种绕过手法。
微步情报局根据上述黑产团伙资产、攻击手法和威胁样本等特点建立了黑产团伙画像:
银狐
利用社工方式通过微信等即时通讯工具传播,威胁样本集成丰富的功能模块,针对杀软有多种绕过方式,且更新速度极快。银狐最初主要针对金融等行业,后迅速扩散至政府部门、企事业单位、能源行业、教育行业等。微步通过拓线分析,关联到至少9个使用银狐工具的黑产团伙。
花斑豹
主要针对物流快递行业,通过供应链投毒方式将伪装成打印软件安装到各打印主机上,盗用合法签名证书和正常的远程控制软件绕过杀软并长期静默搜集快递订单上的个人敏感数据。
黄雀
山猫
02. 巧取豪夺:勒索软件历久弥新
据微步情报局追踪数据,全球勒索软件达1940个,2023年新增勒索团伙43个,平均勒索赎金相比上一年近乎翻了一倍,主要攻击目标集中在政府部门,以及制造、医疗、教育等行业,同时,服务业、金融、零售、交通、能源等行业也面临不同程度的勒索攻击风险。
-
团伙数量不断增加:全球勒索软件数量已达1940个,2023年新增43个勒索团伙/家族,呈现出老牌勒索家族经久不衰,新兴勒索家族崭露头角的局面; -
攻击范围不断扩大:RaaS模式降低了发起勒索攻击的难度,让勒索攻击扩散到更多行业;另一方面,勒索攻击的目标开始涵盖MacOS、FreeBSD与MIPS、SPARC等平台; -
技术能力不断提升:技术能力成为勒索组织之间的竞争优势,比如勒索软件从发现漏洞到利用的时间越来越短,勒索平台/工具的自动化程度越来越高。 -
危害程度进一步加重:攻击大型企业可获取丰厚回报,这促使勒索组织更注重技术能力和TTPs的提升,勒索攻击正朝着“APT化”发展。并且,多个勒索组织针对同一企业进行重复勒索正成为一种新的趋势。
03. 群魔乱舞:APT团伙愈演愈烈
我国依然是APT组织的重点攻击目标。2023年,包括白象(Patchwork)、DarkHotel、海莲花( APT32 或OceanLotus)等数十个APT组织对我国政府部门以及高校、科技等行业进行了轮番攻击。最主流的攻击方式是钓鱼(网站钓鱼、钓鱼邮件),同时也发现有供应链攻击和漏洞利用(主要针对防火墙、VPN和OA服务器等)。
据微步情报局数据,2023年,对我国发起攻击最频繁是的海莲花、DarkHotel、白象等三大APT组织,其组织画像、针对目标、攻击手法特点如下:
白象(Patchwork)
疑似具有南亚背景的APT团伙,主要攻击目标为我国的政府部门,与高校、能源等行业,攻击大致可分为两类:一是为窃取邮箱账密信息发起钓鱼攻击;二是通过钓鱼邮件投递的木马攻击。
DarkHotel
主要针对我国政企,与高校、科技行业目标发起定向攻击。在2023年,微步情报局还捕获到该组织针对我国防部门发起的一系列鱼叉式钓鱼攻击。
海莲花(OceanLotus)
APT组织因为有着稳定的人员团队和经济基础,所以其攻击目标通常更有针对性,攻击行动也更具隐蔽性与复杂性,攻击周期普遍较长,企业应具备更高的警惕性,并采取积极有效的对策。
04. 愿者上钩:钓鱼仿冒攻击方兴未艾
钓鱼攻击是大部分攻击者的前置攻击手段。与APT组织通过“钓鱼附件投递恶意木马”不同,大多数攻击者通常使用钓鱼网站来窃取用户敏感信息,搜集包括企业邮箱、社保、ETC、Steam等账号密码,以进行下一阶段攻击。由于“模板化”钓鱼工具等因素,2023年是钓鱼攻击集中爆发的一年,微步情报局每月都捕获到大量新增钓鱼IOC。
钓鱼攻击多采用“广撒网”方式,通常需要大量的新域名,出于降低成本目的,.bond、.icu以及.cyou等顶级域名(即一级域名)成为2023年的热门钓鱼域名;另一方面,钓鱼工具“模板化”是近年来的新趋势,通过钓鱼工具能在短时间内生成特定主题的钓鱼页面,降低钓鱼攻击难度,但也使得钓鱼邮件主题与钓鱼页面“千篇一律”,常见形式涵盖“企业邮箱安全认证中心”“企业邮箱备案中心”以及各类政府门户和金融App页面等。
05.僵而不死:传统僵木蠕从未停歇
传统僵木蠕仍是企业网络安全的“隐患”。攻击者利用批量的木马生成工具生成新的免杀木马,通过DGA与C2结合控制木马爆发时间,这样不仅加大了企业的检出难度,也是造成不同月份告警数量波动的主要原因。比如2023年12月,僵木蠕类攻击迎来爆发,IOC告警至少是其他月份的两倍以上。
原文始发于微信公众号(微步在线研究响应中心):知名和奇葩攻击组织/攻击手法都在这篇里了!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论