2023 年第二季度威胁格局报告 ： 所有道路都导致供应链渗透

2023 年第二季度威胁形势报告 ： 所有道路都会导致供应链渗透 2023 年第二季度威胁格局报告 ： 所有道路都导致供应链渗透 Authors Laurie Iacono Keith Wojcieszek 克罗尔公司对2023年第二季度的发现显示，供应链风险显著增加，这一趋势不仅是由CLOP勒索软件团伙利用MOVEit传输漏洞造成的，还受到电子邮件欺诈攻击频发的影响。这些和其他关键的安全趋势正在塑造一个多样化的网络安全威胁环境。 WhileCLOP 勒索软件活动第二季度主导新闻的是对Kroll业务参与数据的分析，揭示了威胁环境更为复杂的一面。从数字上看，CLOP活动在第一季度的基础上增加了33%，同时与该事件相关的重大利用事件也导致初始访问途径中CVE/漏洞的数量增加。尽管这一事件相关案例数量庞大，Kroll仍观察到其他令人担忧的变化，电子邮件欺骗事件增加了8%，钓鱼攻击继续占据初始访问类别中的主导地位。从行业角度来看，金融服务业的攻击增加了2%，而医疗保健行业的攻击则上升了2%——这是一个小幅度但适度的增长，使该行业首次在两个季度内成为最受攻击的前五大行业之一。 我们的分析显示，在第二季度发生的事件中，行为者已发展出多种策略以绕过常见的安全控制措施（如多因素认证），并继续利用组织漏洞。第三方和可信赖的关系。 2023 年第二季度威胁时间表 ： April VoIP 通信公司 3CX 确认朝鲜黑客组织是它在 2023 年 3 月经历的一次重大供应链攻击的背后。这归因于一个名为 UNC4736 的集群。 联邦调查局抓住了被盗凭证市场的领域和基础设施 ， 创世纪 ， 在操作 Cookie 怪物- 对网络犯罪世界的重大打击。 Microsoft 将最近的攻击归因于PaperCut 服务器CLOP 和 LockBit 勒索软件操作 ， 这些操作利用漏洞窃取企业数据。 研究人员指出 ， 勒索软件源代码泄漏导致了至少BABUK 的十个模仿者， 这是一种勒索软件 ， 其源代码于 2021 年在网上泄露。 Kroll 网络威胁情报分析师识别CACTUS自2023年3月以来，一种新的勒索软件变种开始利用VPN应用程序中的漏洞进入大型商业实体。这一变种的特点在于需要一个密钥来解密二进制文件以执行，这可能旨在防止通过反病毒软件检测。 June CLOP 勒索软件组利用了一个严重的零日漏洞 ，CVE-2023-34362， 影响MOVEit文件传输工具。 研究人员发现 ， 威胁参与者可以利用 “AI 包幻觉创建 ChatGPT 推荐的恶意代码包 ，开发人员在使用聊天机器人， 将它们构建到随后被广泛使用的软件中 ， 给软件供应链带来了巨大的风险。 在第二季度，Kroll观察到针对金融服务、医疗保健和技术及电信行业的攻击有所增加。对金融服务案例的审查发现，最常见的威胁事件类型是电子邮件篡改。 此外，尽管金融服务行业通常不是勒索软件的主要目标，但CLOP团伙的勒索软件活动仍影响了中小型区域银行。Kroll还观察到，在第三方合作伙伴被发布到CLOP受害者公告网站后，金融机构受到了CLOP利用的影响，暴露了其客户的相关数据。这种活动及其影响凸显了组织间依赖关系的脆弱性及其在供应链攻击中的潜在作用。 对医疗保健攻击的增加与我们在数据泄露报告中概述的调查结果一致 ， 即2022 年被破坏最严重的行业. 威胁事件类型 聚光灯 ： 电子邮件妥协不断演变和逃避 电子邮件被篡改事件在2023年第二季度增加了8%。Kroll将电子邮件篡改事件定义为第三方恶意访问电子邮件账户、识别出钓鱼邮件或垃圾邮件活动，或者组织的电子邮件被用于欺诈方案（如商务电子邮件篡改）等情况。 尽管电子邮件妥协是一个广为人知的安全问题，但在大众媒体上，它有时会被更具轰动效应的威胁（如勒索软件）所掩盖。尽管如此，电子邮件妥协仍然是对企业构成切实威胁的一种手段，并且根据相关数据，在2021年与之相关的总损失超过了24亿美元。互联网犯罪投诉中心 (IC3) 年度报告自该机构自2015年开始报告此类损失以来，由于商业电子邮件妥协导致的财务损失增长了十倍。 对与商业电子邮件妥协相关的 Kroll 案例的回顾表明了一种熟悉的模式活动 ， 如下所示。 • 用户邮箱的有效凭证通过钓鱼邮件收集。• 威胁行为者通过该访问进入账户，并利用此访问权限接管其他电子邮件账户。• 在网络中停留期间，威胁行为者经常被观察到创建收件箱规则以隐藏其活动。• 一旦将行为者嵌入到账户中，他们将开始执行某种类型的欺诈行为。这可能表现为：– 利用访问权限联系受害者已知的第三方（如受害者的金融机构），授权虚假电汇欺诈转账– 从未经授权的账户发送电子邮件给组织内部或外部的其他用户，引导他们更改或更新银行账户信息或发出电汇欺诈转账 如前所述，企业电子邮件诈骗最常见的手段是通过钓鱼邮件获取有效的凭据。Kroll有以前报道过关于攻击者绕过多重身份认证方法的方式。我们继续看到有行为体采用此类手段以获取系统访问权限。 在一个Kroll案件的第二季度案例中，用户在初始威胁行为者登录其收件箱的网络邮件版本时，不慎通过MFA推送通知授予了访问权限。一旦进入网络，威胁行为者利用该访问权限为电子邮件账户添加了一个secondary MFA设备。 攻击者能够从一个账户转移到系统中的多个账户以获取访问权限。一旦进入这些账户，分析显示攻击者通常会搜索与电汇欺诈或支付活动相关的术语，以识别其他内部和外部感兴趣的账户。 威胁行为者在收件箱内登录后创建规则以隐藏其活动。这包括将来自某些发送者的消息归档的规则，或将特定文档类型的消息移动到RSS文件夹并标记为已读的规则。 在这种情况下，日志分析表明，当这些行为者在系统内时，能够获取并查看包含敏感数据的多份文档。 最终，各方联系了受害者的金融机构以发起欺诈性的电汇转账。在这种情况下，金融机构将这些请求视为可疑行为并上报给了受害者组织，帮助他们识别出该活动并避免经济损失。 在第二季度，科龙一直在跟踪全球垃圾邮件活动的相关活动，这些活动利用了开放重定向漏洞以窃取用户凭证。 打开重定向当网站在重定向链接的URL参数中接受用户提供的输入而未进行适当的验证或清理时，会出现安全漏洞。攻击者可以利用这一漏洞构造一个看似合法但实际上会将用户重定向到一个旨在捕获凭据并访问受害者网络的不同且潜在有害的网站的恶意URL。 与此同时，威胁行为者正在利用钓鱼工具包，这些工具包可以根据从重定向链接传递过来的参数实时改变钓鱼着陆页面的内容，从而使网站看起来更具可信度。 聚光灯 ： MOVEIT 转移缺陷被利用 5 月 31 日 ， Kroll 开始收到报告称 ， 零日漏洞MOVEit 传输正在被积极利用以访问MOVEit服务器。该漏洞（已分配CVE-2023-34362）允许未认证的攻击者访问MOVEit数据库并操纵其内容。在初步通知后，Kroll观察到威胁行为者利用该漏洞上传了Web壳并进行了数据泄露。 在漏洞发布后的几天内，CLOP 勒索软件团伙公开声称自己是此次攻击的实施者，并表示将从6月14日起向受影响公司发出赎金要求。 初步的Kroll分析在其客户基础中的MOVEit案件中发现，类似的活动针对MOVEit服务器的情况已被观察到。早在 2021 年表明CLOP勒索软件小组可能早在几年前就发现了零日漏洞，并花费了一段时间来开发自动化工具以协助其进行大规模利用事件。 初始访问 关于初始访问，Kroll观察到与CVE/漏洞相关的季度增幅最多，大多数增幅是由CLOP勒索软件对MOVEit传输软件的利用驱动的。钓鱼仍然是最常与电子邮件妥协相关联的初始访问向量。 Kroll 还继续跟踪 LockBit 3.0 攻击集群 ， 利用受害者的 VPN初始访问(外部远程服务) 。 克罗尔观察到在某些日志可用的情况下，存在明显的密码喷洒攻击的证据。在这些案例中，克罗尔几乎每次都观察到威胁行为者IP范围和威胁行为者主机名相关的指标重叠。值得注意的是，在这一趋势中观察到的多个案例与VPN访问关联了多因素认证（MFA）。然而，由于对默认设置不了解和配置错误的存在，导致了MFA被绕过。 在Kroll调查的多个案例中，通过使用通用且容易猜测的用户名和密码（如“intern”和“payroll”），或与受害网络用户名更为独特且特定的相关术语（这些术语可能来自粘贴站点或攻击者的情报收集），成功获得了访问权限。 密码喷射攻击针对常用密码进行攻击，尤其是经常出现的默认密码，如“Summer2023”等。在一次事件中，Kroll 观察到通过受害者的VPN成功访问，并利用了与从未被移除为授权用户的前员工相关的用户名。这一事件突显了定期进行用户审核的重要性，以防止通过不再需要或未使用的账户进行未经授权的访问。 在Kroll对该事件集群进行调查期间，注意到在某些情况下，受害者已经为最终被威胁行为者攻破的VPN设置了多因素认证（MFA）保护。在两种情况下，受害者依赖了其DUO MFA应用程序的默认设置，该设置允许未注册用户访问，这意味着休眠账户可以通过DUO MFA进行身份验证——通过VPN访问网络。在另一例中，受害者错误配置了设置，实际上不需要对某些用户进行MFA以访问VPN。避免此类安全漏洞的建议包括对所有用户实施 MFA并在实施之前了解设置 ， 以避免重新注册方案。 克罗尔积极跟踪恶意软件命令与控制基础设施、提交给公共沙箱的数据以及活跃的事件响应（IR）和管理检测与响应（MDR）案例数据，以生成最活跃的恶意软件变种列表进行比较。 本季度，Kroll观察到QAKBOT活动在具体案例和公开沙箱上传中显著增加，这与我们了解的情况相符，即第二季度发生了大规模的恶意垃圾邮件活动，传播了QAKBOT。重要的是要记住，QAKBOT通常通过回复链电子邮件攻击进行传播，因此它很容易在不同组织之间传播，因为受害者更有可能打开来自已知第三方的恶意附件，而不是冷邮件。Kroll还观察到AMADEY和AGENTTESLA的活动增加。 值得注意的是，REDLINESTEALER 在开源上传和 Kroll 自身的案件工作中检测到的恶意软件类型中继续保持前三的位置。 第三方风险在持续波动中成为一个显著的威胁 我们的研究发现2023年第二季度反映出了威胁landscape持续的不稳定性。CLOP勒索软件小组的活动以及电子邮件欺骗攻击的增加共同导致了 供应链风险成为显著的威胁。尽管第三方风险往往未被组织视为首要的安全问题，但由于威胁行为者行为和优先级的变化，如今它已成为一个关键的关注领域。 InQ1 2023我们强调了威胁行为者重塑的趋势，第二季度亦是如此。攻击者继续成功地进行转型和适应，我们的发现强调了利用不断更新和审查的信息的重要性。安全方法。在第二季度 ， 这种类型的演变只是一个例子 ， 就是使用打开重定向 滥用在钓鱼攻击中的情况。值得注意的是，这些类型的转变不仅限于战术和技术层面，它们还在行业层面上进行，例如CLOP勒索软件活动对区域性银行的影响，尽管金融服务行业通常不是勒索软件的目标。这并不意味着已建立的攻击技术已经停滞；威胁行为者仍然通过使用经过验证的方法（如钓鱼）来实现其目标。因此，组织应当确保他们具备全面的网络安全战略, 是不是为了云或内部。 而在第二季度，尽管一些行业比其他行业受到的关注更多，尤其是医疗保健行业，使其成为首个季度中前五大受关注的行业之一，所有行业都需要准备应对根深蒂固和新兴的安全威胁。 该季度关键的安全趋势要求组织更加关注国内以应对网络安全风险。供应链风险的增加促使企业确认与商业伙伴和供应商之间关系的稳固性和安全性。同时，他们应确保自身拥有强大和主动的支持 从可信赖的安全合作伙伴处获得支持。这样他们将更好地应对未来几个月内威胁和经济landscape中不断变化的条件。 浏览克罗尔季刊的最新版本威胁景观报告和免费订阅kroll. com / cyberblog 。