2024年 IBM X-Force 威胁情报指数显示，攻击者继续转向逃避检测，在 2023 年传播恶意软件。好消息是什么？安全改进（例如 Microsoft从 2022 年开始默认阻止宏执行，以及到 2023 年中期禁止 OneNote 嵌入具有潜在危险扩展名的文件）已经使威胁形势变得更好。改进的端点检测还可能迫使攻击者放弃 2022 年流行的其他技术，例如使用磁盘映像文件（例如 ISO）和 HTML 走私。

当然，随着这些安全性的改进，攻击者被迫找到成功进入组织的入口点，并且在 2023 年，X-Force 观察到攻击者（尤其是初始访问代理）越来越多地转向在电子邮件中放置恶意链接以下载后续有效负载或附加内容包含恶意链接的 PDF 文件。2023 年的其他重要观察结果包括：

• 在用于传播商品恶意软件的可执行文件中，Nullsoft 脚本安装系统 (NSIS) 可执行文件以及基于 .NET 的混淆器和加壳器的使用有所增加。

• ZIP 文件作为最受关注的存档继续保持突出地位。更高级的威胁参与者在档案中引入了新的文件类型，例如互联网快捷方式 (.URL) 文件，其总体使用量在 2023 年显着增加。

• 对旧漏洞（例如 CVE-2017-11882）的利用有所增加，这是电子邮件活动中最多产的漏洞。

• 采用日益复杂的执行链可能旨在降低检测率并过滤掉安全研究人员和自动化沙箱。

本文描述了 X-Force 在 2023 年威胁行为者电子邮件活动中观察到的高层变化，并利用美国高中“高级最高级”的传统来重点介绍 X-Force 去年观察到的值得注意的活动和趋势以及示例。本文最后展望了 2024 年的预期以及组织可以采取哪些措施来检测和改进其防御能力。

2023 年主要垃圾邮件趋势

再见恶意宏？

2023 年X -Force 威胁情报指数强调了 2022 年，当微软开始默认阻止通过电子邮件或互联网收到的文档中的宏执行时，威胁参与者如何被迫改变策略。在 2023 年初的一些活动中观察到，Office 文档中包含恶意 Visual Basic 应用程序 (VBA) 宏和 Excel 宏 (XLM) 文件，远离恶意宏的趋势变得更加明显。与去年同期相比， X-Force 减少了93%包含利用 VBA 宏的恶意文档的电子邮件垃圾邮件自 3 月底以来几乎没有任何活动，当时 X-Force 观察到它们在 Emotet 和Hive0133活动中的使用。

图 1：2023 年包含 VBA 和 XLM 文档的电子邮件量。来源：X-Force

攻击者对恶意宏的使用大幅减少，积极反映了对环境实施某些更改实际上可以阻止恶意行为者获得富有成效的机会。然而，正如本文后面所讨论的，当攻击者关闭一扇门时，他们会尝试通过另一扇门进入。

短暂的活动：HTML 走私和 OneNote

与 2022 年一样，X-Force去年发现了Qakbot和其他使用 HTML 走私来危害受害者的活动。这种规避技术允许攻击者使用浏览器中运行的 HTML 5 和 JavaScript 来动态解码或解密 HTML 中嵌入的有效负载，并将其放入受害者的系统中。虽然大多数 HTML 走私活动发生在 3 月份，但在一月、四月和五月也观察到了活动。HTML 走私活动同比下降 96%。X-Force 评估情况确实如此，因为端点检测不断改进。触发浏览器在没有网络流量的情况下“下载”某些内容的本地 HTML 文件是可疑的。此外，如果 HTML 文件带有编码的有效负载，则它们会非常大——这是检测此活动的另一个机会。

2023 年初，X-Force 还观察到多个组织在其活动中利用 OneNote 附件，其中包括最初的访问代理 TA570 和TA577（以交付 Qakbot 而闻名），以及TA551（其活动主要交付IcedID）。其他使用 OneNote 附件的组织包括Emotet和 Hive0126（与TA581重叠），后者试图传播 IcedID 和Bumblebee恶意软件。

图 2：2023 年 OneNote电子邮件 数量。来源：X-Force

这些威胁行为者发起的短暂但大规模的 OneNote 活动发生在今年的前三个月。值得注意的是，自2023 年 3 月以来，X-Force 观察到使用 OneNote 附件的活动非常少。这可能是因为微软在四月份采取了措施来阻止带有“危险扩展名”的嵌入文件。

容器/档案：磁盘映像向下；NSIS 和 .URL 向上

2022 年，X-Force 观察到使用带有 Windows 快捷方式文件 (LNK) 的恶意磁盘映像（ISO、IMG）来传播恶意软件的情况有所增加。这种情况在 2023 年发生了变化，ISO 文件的使用量下降到仅占容器/归档交付的 3%，IMG 文件也同样下降到 1.39%。这可能是由于电子邮件检测针对前一年的威胁进行了调整。电子邮件中磁盘映像的合法使用极少，因此很容易识别为可疑的。

2023 年，ZIP 文件再次成为档案中最常见的传送机制(54.07%)，其次是 RAR 文件 (20.13%)。

图 3：2023 年排名靠前的存档扩展。来源：X-Force

容器或存档附件中包含的大多数文件类型（超过 80%）是 Windows 可执行文件，主要用于传送商品窃取程序和 RAT，例如Agent Tesla，这是 2023 年 X-Force 观察到的“最常见恶意软件”。不过，尽可能地逃避检测：X-Force 发现 Nullsoft 脚本安装系统 (NSIS) 可执行文件显着增加，可能是因为 NSIS 更难以扫描，因为它作为自解压存档工作。这些安装程序主要存在于 7z、RAR 和 ZIP 文件中，占 2023 年垃圾邮件中观察到的可执行文件的 25% 以上。另一种常见的技术是使用 . 基于 NET 的混淆器和加壳器，例如 Eazfuscator、.NET-Reactor、Crypto-Obfuscator 和 Roboski 加壳器，X-Force 观察到的可执行文件中超过 60% 使用了这些混淆器和加壳器。

更高级的威胁参与者还转向了档案中不太常见的文件类型，例如互联网快捷方式(.URL) 文件，这些文件在多个大型活动中使用，如下图 4所示 ，包括来自 Hive0126 的活动。总体而言，.URL 文件的使用量（无论是在存档中、直接附加到电子邮件中，还是作为复杂执行链的一部分）在 2023 年急剧增加。

用于恶意垃圾邮件的文件类型的其他示例包括各种脚本文件，例如 Batch、JavaScript、Windows 脚本文件或 Visual Basic。X-Force 还观察到在 Windows 可执行文件上使用 .PIF 和 .COM 扩展名，这些扩展名不太常见，但如果由 Windows 用户打开，也会导致自动执行。

图 4： 2023 年利用档案中不常见文件类型的电子邮件量。来源：X-Force

URL 和 PDF 文件占据主导地位

随着宏、磁盘映像和 HTML 走私文件的减少，X-Force 观察到威胁参与者（包括 TA570、TA577 和 Hive0133 等初始访问代理）越来越多地转向使用直接放置在电子邮件或附加 PDF 文件中的 URL 来进行攻击。下载恶意负载。X-Force 还观察到拉丁美洲分销商经常使用这些技术来传播 Ousaban 和 Grandoreiro 等银行木马。威胁行为者很可能采用了这些技术，因为鉴于 URL 或 PDF 附件在合法通信中的普遍使用，网络防御者或安全解决方案不可能大规模阻止带有 URL 或 PDF 附件的电子邮件。其他安全研究人员去年年初也发现了 PDF 使用量增加的趋势。

这种动态迫使网络防御者玩“打地鼠”游戏，识别并标记或阻止潜在的恶意 URL 和 PDF 附件，以免它们导致危险的感染，包括勒索软件攻击。X-Force 还观察到，威胁行为者需要电子邮件中提供的密码才能打开加密的 PDF，从而阻碍了扫描这些 PDF 中是否存在恶意 URL 或其他内容的能力。在其他情况下，威胁行为者采用了 PDF 文件特有的几种规避技术来混淆或以其他方式隐藏 URL，从而使识别和提取嵌入链接进行审查以及使它们能够通过安全解决方案变得更加困难。 下面“最危险的活动”的“高级最高级”部分提供了使用恶意 PDF 附件的 TA577 活动的示例。

2023 年垃圾邮件最高级

美国的高中有一种传统，即将毕业的高年级学生因在特定类别中的最佳典范而被授予“最高级”，例如“最有可能成功”、“最直言不讳”或“最受欢迎”。利用这些最高级的内容提供了一种有效的方式来突出显示来自 X-Force 遥测的 2023 年有趣的活动、趋势和统计数据，如下所述。 

最常见的恶意软件

2023 年“最常见恶意软件”的获胜者属于Agent Tesla，这是一个自 2014 年以来活跃的流行信息窃取者，可在地下市场上出售。排名前五的最常见恶意软件包括信息窃取程序Formbook和Lokibot、远程访问工具Remcos和Snake Keylogger。这些恶意软件通常在档案中传播或通过恶意办公文档下载，包括那些利用 CVE-2017-11882 的恶意软件（见下文）。

图 5：2023 年垃圾邮件中观察到的最常见恶意软件。来源：X-Force

图 6 提供了使用ZIP 存档中提供的 NSIS 安装程序来发送Agent Telsa的电子邮件活动示例。如上所述，X-Force 还观察到使用 NSIS 安装程序来传播商品恶意软件的情况有所增加。

图 6：使用 NSIS 安装程序发送 Agent Tesla infostealer 的电子邮件。来源：X-Force

最常见的漏洞利用

“最受关注的漏洞利用”类别的获胜者为 CVE-2017-11882。现在，通过使用宏的简单方法已经得到缓解，许多威胁参与者正专注于为旧版和潜在易受攻击的 MS Office 版本创建漏洞并将其武器化。值得注意的是，X-Force 观察到利用漏洞 CVE-2017-11882（Microsoft Office 公式编辑器工具中的远程代码执行漏洞）的文件的使用显着增加。利用此漏洞传播商品恶意软件（例如 Agent Tesla、Remcos、Formbook、Lokibot、Xworm 和 AsyncRAT（仅举几例））的活动在 2023 年出现了一波大浪潮，其中 3 月、5 月和 7 月的活动出现高峰，导致此漏洞在 2023 年的垃圾邮件文档中最为常见。

图 7：2023 年利用 CVE-2017-11882 的电子邮件数量。来源：X-Force

尽管自 2017 年 11 月起就已经发布了补丁，但攻击者指望尚未应用安全更新的组织，因此可能容易受到攻击。事实上，攻击者经常利用那些因识别、确定优先级和修复漏洞的任务而不堪重负的组织。漏洞管理服务可以帮助组织有效地处理此任务，确保发现并修复 CVE-2017-11882 等高风险漏洞。

图 8：恶意电子邮件利用 CVE-2017-11882 下载 Formbook。来源：X-Force

最危险的活动

“最危险的活动”类别属于初始访问代理 TA577，也称为“TR”，由 X-Force 跟踪为 Hive0118。2023 年的 TA577 活动使用了Qakbot，直到 8 月份被中断，之后他们转向了DarkGate、IcedID 和Pikabot。X-Force 观察到去年的几起 TA577 电子邮件活动导致 Qakbot 感染成功，并观察到这些活动导致了BlackBasta勒索软件攻击。TA577 将大容量活动与电子邮件“线程劫持”相结合，攻击者在被盗电子邮件中添加恶意 URL 或附件，使其看起来更合法。自去年春季以来，大多数 TA577 活动都利用了恶意 URL 或包含恶意 URL 的 PDF。下面的示例发生在 12 月 22 日并交付了Pikabot。

图 9：TA577 线程劫持电子邮件传递恶意 PDF 附件。来源：X-Force

图 10：包含恶意 URL 的 PDF，由图 9 中的 TA577 活动提供。来源：X-Force

最复杂的感染链

“最复杂的感染链”源自 2023 年 12 月中旬由追踪为 Hive0137 的分销商发起的一场活动。在过去的一年里，威胁行为者越来越多地采用复杂的执行链。多个连续阶段的使用使得各个组件及其行为更不易被检测到，并允许攻击者在整个感染过程中的多个不同点实施检查，以过滤掉安全研究人员和自动化沙箱。

Hive0137 至少从 10 月份起就一直活跃，发送包含恶意 PDF 附件或 URL 的电子邮件，这些电子邮件导致了 DarkGate、NetSupport和一个名为“T34 Loader”的新加载程序。Hive0137 活动与 Proofpoint 的BattleRoyal集群重叠，该集群也注意到了其电子邮件活动的复杂性。在 2023 年 12 月 19 日发生的 Hive0137 活动中，X-Force 发现了一个传送 T34 Loader 的极其复杂的感染链。X-Force 此前曾观察到 T34 Loader 下载 Rhadamanthys 窃取程序。

为了下载和安装 T34 加载程序，该活动利用了开放重定向URL、Keitaro 流量分配系统 (TDS)、远程配置数据和四个不同的文件，包括两个 .URL 文件、一个下载器 PE 文件、Snow crypter 和T34 加载程序 DLL。值得注意的是，Snow 密码器是由 Trickbot/Conti 集团（又名 ITG23）的前成员开发的，这表明开发或使用 T34 Loader 和 ITG23 的威胁行为者之间存在关系。

图 11：带有恶意 URL 的 Hive0137 电子邮件开始精心设计的执行链。来源：X-Force

图 12：Hive0137 活动使用复杂的执行链来传递最终有效负载。

2024 年展望：预期的活动

展望 2024 年，X-Force 预计垃圾邮件分发者将继续采用新的策略、技术和程序 (TTP) 来绕过安全解决方案和网络防御，并说服用户执行电子邮件附件和链接。尤其：

• 威胁参与者将继续使用电子邮件和 PDF 附件中的 URL 来启动执行链。带有 PDF 附件的电子邮件看起来远比带有磁盘映像的电子邮件可疑得多。威胁行为者了解这一点，并将使用这些方法来突破第一道防线。

• 电子邮件分发者将越来越多地采用人工智能和大型语言模型 (LLM)，以创建更有说服力的电子邮件内容，促使用户点击链接或执行附件。如果垃圾邮件使用糟糕的语法、蹩脚的英语或简单的消息，通常可以很快被发现。随着参与者利用人工智能帮助他们创建专业且精美的电子邮件，这种情况将会改变。

• 越来越复杂的多阶段感染链也可能会增加。已经有常规的电子邮件活动在交付最终有效负载之前利用多个阶段，目的是转移安全研究人员和沙箱的注意力，并最大限度地减少通过安全防御的行为。攻击者可能会转向不寻常的文件类型来支持这些执行链，例如 .URL 附件或脚本文件（例如 Javascript 或批处理文件）。

良好的网络卫生将继续在防止基于电子邮件的攻击成功方面发挥关键作用，例如定期更新和修补应用程序、确保防病毒软件和相关文件正常工作且是最新的，并对任何可疑活动保持警惕。

原文始发于微信公众号（河南等级保护测评）：2023 年主要垃圾邮件趋势、活动和高级最高级内容