菲律宾2024-5年威胁形势报告
AI智能总结
方法4供应链26目录2024年新兴网络威胁概述 5概述3联系我们29 29关于赛门铁克5社会工程学 5恶意软件5社交媒体冒充 6分布式拒绝服务(DDoS)6供应链攻击 6漏洞和利用菲律宾网络安全威胁的深入探讨7威胁格局 20247恶意软件10漏洞12社交工程品牌17 18数据泄露20攻击软件引领时代前沿:2025年不断演变的网络威胁与战略优先事项27 菲律宾威胁态势报告 2024-2025 2 概述2024年,恶意软件感染持续上升,尤其是信息窃取软件,导致机密文件和凭证等敏感信息泄露。以菲律宾为基地的网络威胁行为者和诈骗运营者使用先进技术开展钓鱼活动,冒充当地组织——从政府到电信部门——以针对金融行业的客户。来自赛博因特的数据表明,恶意软件、社会工程和系统利用等网络威胁激增。这种增长是由政治和社会学意识形态、全球冲突、技术变革以及本地诈骗活动(尤其是菲律宾黑客活动)推动的。赛博视界(现隶属于奇虎360公司)的《菲律宾2024-2025年网络威胁态势》报告揭示了针对菲律宾组织(主要涉及政府、教育、金融和电信行业)的持续演变中的网络威胁和诈骗活动。与此同时,菲律宾已成为DDoS攻击的趋势。这始于“四月恶作剧”事件,这是一个由当地威胁行为者每年庆祝的活动,他们在一整个四月份积极进行针对当地实体的网络攻击。在众多网络攻击中,令人鼓舞的是,我们报告了针对菲律宾的勒索软件攻击显著下降。 菲律宾威胁态势报告 2024-2025 3 菲律宾各行业重大警报(2021年12月-2024年)方法论Banking and金融服务消费品我们也利用开源情报(OSINT),通过整合网络安全专业人士和监管机构提供的威胁信息、新闻报道和研究出版物。赛博智能(现已成为Check Point公司的一部分)提供关键警报和指标,塑造了我们的分析,使我们能够呈现菲律宾网络安全威胁态势的智能化概览。本报告中的信息基于从2021年12月1日到2024年12月1日期间,从菲律宾不同行业的约15家公司收集的约127,000条情报警报样本。赛富时2024-2025菲律宾威胁态势报告采用了一种综合情报策略,结合了专有数据源和公开数据源。我们的情报来自赛富时和Check Point的来源,这些来源使用攻击面管理、暗网威胁情报、供应链情报、恶意软件情报、钓鱼检测、社交媒体监控等模块追踪各种威胁向量。 5%2%1%0.6%0.4%11%66%6%8%菲律宾威胁态势报告 2024-2025 4媒体和娱乐技术和 IT真实房产医疗保健零售和能量和工业酒店共享服务 菲律宾威胁态势报告 2024-2025 5社交媒体化身恶意软件社会工程学冒充无处不在!如今,威胁行为者可以通过社交媒体平台轻松冒充组织,包括高层官员。通过有效地冒充一个知名实体,威胁行为者可以发起针对公司员工和客户的诈骗操作。社会工程学仍然是菲律宾威胁环境中一种非常有效的攻击向量。本地威胁行为者继续进行钓鱼活动,其中一些行为者利用新技术诱骗更多用户陷入其欺诈计划。2024年新兴网络威胁概述恶意软件仍然是菲律宾威胁态势中的头号网络威胁,考虑到其广泛的类别,包括木马、蠕虫、间谍软件和病毒。根据 Cybergint 的来源,我们观察到恶意软件即服务(MaaS)在暗网中持续提供的一种趋势,这使得一些能力不足的威胁行为者也能够部署复杂的恶意软件。 供应链攻击分布式拒绝服务 (DDoS)漏洞与利用漏洞与威胁行为者之间的竞赛在2024年一直持续,并将持续到2025年。随着每年的创新增多,我们可以预期漏洞将持续增长,从而为威胁行为者提供更多利用向量,使其在目标组织中站稳脚跟。新发现的本地威胁行为者现在正在进行分布式拒绝服务(DDoS)攻击,主要针对金融、政府、媒体和教育机构。一些行为者已经开始在地下销售DDoS工具,这使得即使是缺乏技能的威胁行为者也能更容易地自行开展DDoS活动。供应链攻击在2024年持续增加。随着菲律宾基于的组织利用新技术和服务,由于供应链事件导致的数据暴露风险将上升。 菲律宾威胁态势报告 2024-2025 6 700600500400300200100020221118920236762024窃取信息者菲律宾威胁态势报告 2024-2025 7恶意软件信息窃取软件在菲律宾政府进行调整期间及新冠疫情后,对菲律宾境内组织的员工变得更加有效。相反,大多数本地公司现在允许远程工作设置。在菲律宾,信息窃取器(又名Infostealers),一种可以窃取敏感信息(即浏览器凭据、cookies、缓存、加密钱包、桌面文件等)的恶意软件,成为了威胁行为者轻易获取对不安全门户的未授权访问的途径,导致敏感信息泄露。如今,Infostealer日志散布在暗网中,使得威胁行为者更容易获取其目标实体的已泄露凭据。员工机器感染恶意软件警报 - 针对Cyberint菲律宾客户随着我们不断改进我们的资源和服务,我们发现了更多针对我们客户的员工电脑的恶意软件感染。其中大部分恶意软件感染来自客户员工的个人设备,这些设备被用于与工作相关的活动。根据赛博智能(现已成为奇虎360公司)的资料,许多居家工作的菲律宾人更容易违反组织的信息安全政策。我们观察到大量菲律宾员工使用个人设备(即台式机、笔记本电脑等)访问工作相关门户,从而在个人设备被信息窃取者感染时,加剧了凭证暴露的风险。深入探究2024年菲律宾威胁环境中的网络威胁 菲律宾2024年勒索软件攻击时间线勒索软件广播网络(Ransomhouse)Jan二月份三勒索软件仍然是最关键威胁之一,不仅发生在菲律宾,也发生在全球范围内。然而,我们观察到,2024年针对菲律宾的勒索软件攻击数量与2023年相比有所下降。 )菲律宾威胁态势报告2024-2025 8菲尔米屈斯公司(圣三一)三井不动产(Sarcoma勒索软件)主修Topserve服务解(8Base)删除.AI(Ransomhub四五月君七八九八11月十贵族之家(Ransomhub)大型企业集团(Ransomhub)FILSCAP菲律宾社会作曲家、作家和出版商(ArcusMedia)氪星国际资源公司(Ransomhub) 菲律宾威胁态势报告 2024-2025 9勒索软件仍然不在本地威胁行为者的计划中。The菲律宾在2024年,它可能不会像发达国家那样受到太多关注。大多数本地威胁行为者的动机仍然会保持不变:黑客行动主义、意识形态和个人满足 45004000350030002500200015001000500漏洞网络空间安全攻防边界管理网络空间安全攻击面监控与管理提供对您的数字形象的自动全面可见性——揭露潜在对手可以利用的安全问题和漏洞。可利用端口:赛博安全监控开放的网络安全入口点,如果被利用,可能导致重大安全漏洞,允许威胁行为者安装恶意软件、窃取敏感数据或扰乱业务运营。网络情报部门观察到,与往年相比,2024年菲律宾客户的漏洞暴露项数量大多有所增加。导致这一增长的因素包括新增客户、每个客户增加或发现用于监控的攻击面管理资产(即域名、子域名和ip地址)、影响客户资产和技术的漏洞以及网络情报部门攻击面监控模块的改进,以提供更好的外部风险管理服务。 菲律宾威胁态势报告 2024-2025 10 菲律宾威胁态势报告 2024-2025 11邮箱安全:SPF和DMARC记录的缺失或配置错误等因素,使公司容易受到电子邮件欺骗和钓鱼攻脆弱技术:已知漏洞的过时软件(例如旧版本的 NGINX 或 JavaScript)很容易被利用,使敏感系统和数据面临风险。证书颁发机构问题:配置错误或被攻破的证书机构可能导致中间人攻击,显著削弱公司维持安全通信的能力。SSL/TLS问题:过时或薄弱的SSL/TLS配置会使加密通信变得脆弱,使攻击者能够拦截敏感数据或侵犯用户隐私。暴露的Web界面:面向公众的登录页面或界面如果本应为内部使用,可能会为攻击者提供直接访问敏感系统的途径,从而提高数据泄露的风险。黑名单中的邮件服务器:被列入黑名单的邮件服务器会导致邮件投递问题,中断与客户和合作伙伴的沟通,损害公司的声誉。可被劫持的子域名:可被劫持的子域名使攻击者能够伪装公司网站的可信部分,从而更容易进行网络钓鱼攻击或传播恶意软件。公开云存储:公开可访问的云存储桶可能导致未经授权的数据访问,从而危及公司或客户的机密信息服务器连接到僵尸网络:被僵尸网络恶意软件攻陷的服务器可以被用于恶意活动,导致声誉受损、数据丢失和可能的法律后果。网站漏洞:跨站脚本(XSS)等漏洞使攻击者能够插入有害脚本,从而导致数据盗窃或损害用户安 击。。全。 120010008006004002000网络犯罪的主动钓鱼警报,针对网络情报公司菲律宾客户社会工程学网络钓鱼从社会工程学技术角度来看,在菲律宾,网络钓鱼活动非常普遍,主要针对金融部门。2024年,与2023年相比,针对Cyberint客户网络钓鱼警报数量有所下降。Cyberint作为一家Check Point公司,认为这种典型本地网络钓鱼活动的减少是由于威胁行为者正在为2025年探索新技术。相比之下,我们观察到利用社交媒体广告(ads)和冒充页面进行的社会工程活动有所增加。菲律宾的钓鱼活动已发生显著演变,其复杂程度和频率都出现了急剧增长。在过去的几年里,本地威胁行为者一直在寻找新的方式进行钓鱼活动。尽管有诸如《电话卡实名制办法》等旨在更有效追踪诈骗者的措施,但这些威胁仍然存在,凸显了加强网络安全措施和公众意识的必要性。网络犯罪分子越来越擅长利用数字通信渠道,经常通过虚假网站、促销或应用下载诱骗个人提供敏感信息。他们最初使用传统的钓鱼技术,然后转向一种更复杂的名为“真实登录钓鱼”的技术,通过滥用不安全的API或在线服务的任何漏洞(例如在线或移动银行应用程序)来自动化凭证和OTP的窃取。 2022530107920237172024菲律宾威胁态势报告2024-2025 12 冒充政府和物流组织的Smishing短信样本本地诈骗运营商的逮捕SMISHING在过去的几个月里,多个本地诈骗中心相继被国家警察局(NBI)渗透,导致数名主要进行诈骗活动的中国和菲律宾公民被逮捕,包括针对当地银行客户的网络钓鱼活动。2024年,在菲律宾威胁态势中,Smishing(通过短信进行的网络钓鱼)成为焦点。在该年的第一季度,一场Smishing活动开始运作。这场活动最初冒充政府机构和物流公司,例如陆地交通办公室(LTO)、社会保障系统(SSS)、PHLPost等。 菲律宾威胁态势报告 2024-2025 13 假冒菲律宾在线银行门户网站的钓鱼页面样本菲律宾威胁形势报告 2024-2025 14冒充电信公司的Smishing短信样本这项网络钓鱼活动的主要目的是通过冒充在线银行页面作为最终着陆页来窃取受害者的在线银行凭证。根据Cyberint(现属于Check Point公司)的观察,这些连续的逮捕行动导致2024年9月左右,钓鱼短信活动突然中断。然而,在2024年10月,该活动以新主题卷土重来——这一次,冒充电信公司,诱骗用户相信虚假的SIM卡停用通知,并诱骗用户点击钓鱼链接来重新处理他们的SIM卡注册。 通过 Cloudflare 进行设备和地理位置过滤,用于最近 Smishing 域设备与地理过滤机制最新的本地网络钓鱼活动利用了威胁行为者针对发达国家(如美利坚合众国和欧洲地区)所采用的技巧。这种技术被称为设备和地理位置过滤,近期威胁行为者将其应用于托管型钓鱼域名,以确保只有在使用菲律宾基于的IP地址的移动设备访问时才能访问它们。从而增强其防御机制,以规避沙箱和其他安全控制的检测。 菲律宾威胁态势报告 2024-2025 15 用于截取移动网络流量的IMSI-Catchers可视化菲律宾威胁态势报告 2024-2025 16通过IMSI抓捕设备进行的SMISHING伪造发件人标识通过IMSI抓取器国际移动用户身份标识(IMSI)捕捉器是一种拦截手机流量并跟踪的设备手机用户的位置根据Smishing攻击的交付方式,安全专业人士,包括Cyberint,在
