2023 年第四季度网络威胁形势报告 ：威胁行为者违反外部限制

2023 年第四季度网络威胁形势报告 ： 威胁行为者违反外部限制 2023 年第四季度网络威胁格局报告 ：威胁行为者突破外部限制 Authors Laurie Iacono 科龙公司第四季度分析显示，勒索软件团伙越来越多地通过外部远程服务获得初始访问权限。本季度呈现了复杂的安全态势，既有积极的趋势也有消极的趋势：积极方面，与大型勒索软件即服务（RaaS）运营相关的活动，如LOCKBIT和BLACKCAT，有所下降。然而，消极趋势持续存在，例如威胁行为者继续将专业服务行业作为重点目标（延续了第三季度及2023年初以来的关键趋势）。 有趣的是，第四季度的钓鱼攻击尝试与第三季度相比出现了显著下降。然而，这一趋势被这些钓鱼手段的持续演变所抵消，例如QR码的使用增加。与此相关，我们还观察到从第三季度延续而来的一个趋势，即商务电子邮件诈骗（BEC）攻击的持续主导地位。 克罗尔观察到在第四季度其他熟悉的安全威胁重新出现，例如勒索软件有所上升。即使是之前解散的恶意软件团伙，如QAKBOT的背后组织，也重新集结并重新定义了他们的策略（例如，通过回复链钓鱼活动分发PIKABOT）。这些和其他在2023年第四季度观察到的趋势表明，2024年对组织来说将是充满挑战的一年。 Q4 2023 威胁时间表 十月 多个漏洞被披露，从基于Linux的邮件传输代理EXIM中发现的问题到应用安全软件F5-BIG-IP中存在的问题。 到月底 ， Cisco IOS XE 和Citrix Netscaler产品受到众多威胁行为者团体的广泛利用。 11 月 背后的演员GOOTLOADERcampaigns在渗透攻击后观察到使用了一种新的工具GOOTBOT，以获得命令与控制（C2）和横向移动的能力。 DARKGATE和 PIKABOT 被观察到通过网络钓鱼传递与以前的 QAKBOT 活动有很强的相似性。 窃取信息的恶意软件LUMMA LUMMAC2被观察到推广了一项新型功能，据称允许威胁行为者复活过期的Google会话cookie，从而-enable-未经授权访问Google账户。 12 月 威胁行为者团体KTA248被观察到传播ICEDID（BOKBOT）变种，采用多种技术手段入侵系统并窃取敏感信息。 CACTUS勒索软件在DANABOT恶意广告活动之后被观察到被部署，威胁行为者扩大了CACTUS的使用范围。 基于 Windows 的恶意软件DARKGATE使用以前记录的 TXT DNS 记录技术观察到在妥协期间下载其他文件。 行业分析 - 专业服务仍然是攻击者的重点 在第四季度，Kroll观察到攻击者重点针对专业服务行业，医疗保健 sector 也出现了轻微的增长，特别是在勒索软件活动方面。对专业服务行业的重点关注是这一趋势的延续。注意到整个 2023 年从 2022 年到 2023 年 ， 影响该行业的案件急剧增加。 Ransomware 2023 十大勒索软件变体 - 2023 年第四季度十大勒索软件变体 - 2023 年第四季度 第四季度看到了来自多种勒索软件团伙的活动，其中一些关键参与者继续开展2023年初观察到的活动。科龙公司观察到与大型勒索软件即服务（RaaS）运营相关活动（如LOCKBIT和BLACKCAT）有所下降。 跟随一个非常活跃的Q3， BLACKCAT 在第四季度多次成为头条新闻。首先 ， 随着他们转向向美国证券交易委员会 (SEC) 报告一家受害公司作为新的压力手段。截至本季度末，BLACKCAT发现自己成为国际执法机构的打击目标，其受害出版网站遭到攻击。12 月 19 日被司法部扣押 ， 然后 “未扣押 ”由BLACKCAT运营商迅速将受害通知移至不同网站。截至目前，“新”的BLACKCAT网站继续发布受害者信息。 AKIRA 和 PLAY 成为顶级 RAAS 团体 Year - on - year comparision: Mo2023 年第 1 种常见初始访问方法与 2022 年 外部远程服务产生初始访问 尽管第四季度的 volumes 比第三季度低，但钓鱼攻击仍然是 Kroll 业务中最有可能的初始访问向量。与2022年类似，钓鱼攻击继续演变，因为威胁行为者尝试新的、更为复杂的手段来诱使用户点击其恶意链接。在第四季度，Kroll 分析师报告了钓鱼使用频率的上升，网络钓鱼活动中的 QR 码. 这些策略使得防御更加困难，因为用户可能不太容易将这些代码视为可疑，从而增加了他们通过个人设备访问链接的可能性，而这些设备处于公司安全监控之外。 初始访问方法中的勒索软件案例 整个 2023 年初始访问方法中勒索软件案例的百分比整个 2023 年初始访问方法中勒索软件案例的百分比 克罗尔还观察到，初始访问时外部远程服务的使用有所增加，尤其是在勒索软件行为者中。分析这些案例，克罗尔发现，在大多数情况下，攻击者要么利用已知漏洞（如CitrixBleed（CVE-2023-4966）），要么通过有效凭据或暴力破解攻击缺乏多因素认证（MFA）的VPN。如报告中后续所述，有效凭据可能通过多种方式获得，例如在暗网市场上出售从信息窃取恶意软件中收集的数据。 PLAY Ransomware 利用 Citrix 出血漏洞案例研究 一个威胁行为者利用CitrixBleed漏洞获得了对一家专业服务公司的访问权限。进入网络后，他们进行了内部侦察以发现并列出域账户、受信任的域、权限组和远程系统。随后，使用PowerShell部署了包括Mimikatz在内的工具，以获取横向移动和提权所需的凭据。为了保持在网络中的持久性，他们使用了远程访问木马，并采取了多种措施逃避检测（例如清除日志和停止备份、Exchange等服务）。数据通过WinSCP提取并通过WinRAR压缩。横向移动通过远程桌面协议（RDP）实现，最终执行PLAY勒索软件载荷则是通过组策略对象在多个主机上分发。 案例研究 AKIRA 勒索软件在 VPN 上利用漏洞和缺乏 MFA 在2023年10月，Kroll发现涉及AKIRA勒索软件的业务活动有所增加，这一趋势一直延续到2024年初。Kroll观察到，在大多数情况下，最初的活动可以追溯到Cisco ASA VPN服务。这很可能反映了此前的报告，即分发AKIRA的附属组织正在针对未强制执行多因素认证（MFA）的VPN，并利用CiscoASA和Firepower威胁防御（FTD）服务中的零日漏洞。CVE-2023-20269允许未认证用户进行暴力攻击以识别有效的凭据并建立无客户端SSL VPN会话。Cisco在10月更新了其公告，包括了一个可通过软件升级获得的补丁。 入侵活动在访问后包括通过远程管理监控工具（如AnyDesk）持久化，并通过工具（如Advanced IP Scanner和NetScan）进行内部网络发现。在此期间，行为人使用WinSCP进行数据外泄，并使用WinRAR进行压缩。随后，他们利用RDP或创建远程服务来横向移动至系统，并在获取网络访问权限后的两天内将权限提升到域管理员级别。在权限提升不久之后，AKIRA 勒索软件被部署以加密系统。 将这些案例并列比较突显了不同勒索软件变种之间活动的相似性。虽然这为归因聚类活动带来了挑战，但也为防御者提供了机会，使其能够通过制定能够检测和应对此类活动的总体规则来保护自己免受多种攻击者的侵害。 恶意软件趋势和分析 克罗尔积极跟踪恶意软件C2基础设施、提交给公共沙箱的数据以及活跃的IR和MDR案例数据，以生成最具活性的恶意软件变种列表进行比较。 像第三季度一样，第四季度也见证了恶意软件和勒索软件landscape的一些重大变化，其中许多变化直接源于执法活动，旨在破坏并削弱一些最活跃类型的基础架构。八月份，QAKBOT 僵尸网络遭到严重破坏， 导致基础设施的变化和显著下降QAKBOT 感染在第三季度，然而，威胁行为者试图重建僵尸网络的努力使其在第四季度重新稳固地跻身前10名。而在故事的另一个转折中，尽管QAKBOT在我们的季度趋势列表中排名较高，但我们并未观察到任何成功的感染事件。 值得注意的是，Kroll 跟踪的名为 KTA248（TA577, TR）的威胁行为者，以及运营大规模 QAKBOT 活动的一名行为者，开始部署新的恶意软件变种以获取 最初进入企业环境。这意味着 ， 虽然在第三季度 ， 我们看到了DARKGATEPIKABOT在第四季度位居榜首。两种恶意软件变种均由 KTA248 操控，作为 QAKBOT 的潜在继任者。克罗尔观察到从 2023 年初到中期之间，PIKABOT 和 QAKBOT 的基础设施存在显著重叠。11月，克罗尔注意到一个回复链鱼叉钓鱼活动，该活动传播了 PIKABOT。 信息窃取者在第四季度占据了季度前十的比例更大，其中LUMMASTEALER（LUMMAC2）和STEALC表现出显著的增长。在整个2023年，尤其是在第四季度，克罗尔见证了信息窃取活动的显著增加、能力的发展以及市场的新人进入。 Infostealer 恶意软件的地下使用正在兴起 2023年第四季度见证了信息窃取恶意软件已成为网络犯罪地下世界独立生态系统趋势的加强。信息窃取日志是初始访问中间商市场的重要因素：专门从事向勒索软件运营商出售其已获得的企业环境访问权限的威胁行为者，然后完成攻击链并勒索受害者。 信息窃取者最常通过钓鱼、恶意广告以及社交媒体上的假信息或误导性帖子进行部署。这意味着通常对个人或组织缺乏具体的针对性攻击，尽管这是可能的。威胁行为者希望感染尽可能多的个人以收集尽可能多的凭据。然而，这往往会给企业环境带来未预见的风险，因为员工的个人设备可能会被感染。这些设备中可能包含可以访问企业凭据的凭据，或者存在凭据重复使用带来的威胁，使威胁行为者能够利用这些凭据测试边缘服务，如VPN、电子邮件平台或应用网关。 我们目前遇到的最常见的 Infostealer 品种之一是 REDLINESTEALER 。 REDLINESTEALER REDLINESTEALER，或简称为REDLINE，在地下论坛上通过月度订阅服务提供，使攻击者能够访问REDLINE控制面板，并具备打包恶意软件和收集被盗信息日志的能力。其主要功能是窃取诸如密码、信用卡信息、用户名、地理位置、cookies以及硬件配置等数据，来自感染系统的数据会从多种来源收集，包括安装的浏览器（如SQLite数据库）、VPN凭据以及加密货币钱包（如包含*.wallet文件的文件）。 如果在设备上检测到REDLINE已被执行，可以认为该设备上任何本地存储的凭据已被泄露。REDLINE还可以下载文件，这意味着如果威胁行为者需要更多功能以满足其目标（例如，高带宽数据泄露或勒索软件），可以在受害设备上部署进一步的有效载荷。 在第四季度，Kroll调查了用户下载与REDLINE相关的文件案例激增的情况。在这种情况下，诱饵是一款PDF转换软件，用户很可能在寻找合法的工具副本，或者如某些案例中那样，用户在搜索无害的短语，例如“可打印的日历”或“商业模型”。然而，在搜索结果的早期位置呈现了一个恶意的“pdfconvertercompare[.]com”网站。截至2024年1月，该网站仍然活跃并继续分发恶意软件。 自由渗透机制扩大了 Infostealer 的威胁 由于信息窃取恶意软件通常作为服务的一部分出售，运行此类服务的威胁行为者往往会寻找免费服务作为可扩展的解决方案，以控制恶意软件并将其用作数据泄露的方法。信息窃取工具直接在Telegram上销售，并使用相同的平台来控制和托管从受害目标提取的数据。类似地，VIDAR曾使用Steam用户名来托管C2信息，许多信息窃取工具也会利用Discord等服务存储泄露的数据。鉴于这些原因，克罗尔建议如果这些服务未用于业务活动，则应阻止Steam、Telegram和Discord的域名。 防御周边威胁 ： 主要建议 为了抵御