2023年亚洲/亚太地区的顶级网络安全威胁

赛博智能版权所有©2023保留所有权利引言3网络钓鱼5电子邮件钓鱼6网络钓鱼6电话欺诈7社交媒体冒充7信息窃取器8MFA绕过11方法论112方法212勒索软件13软件供应链攻击16黑客行动主义18黑客行动主义相关的网络攻击的兴起20生成式人工智能22如何防范亚太网络安全威胁23联系我们24目录 赛博智能版权所有©2023保留所有权利引言印度老挝韩国当谈及当今亚洲的网络安全时，组织所面临的一些关键威胁——例如勒索软件和钓鱼攻击——是所有网络安全团队都必然熟悉的一致风险。但其他威胁则更具流动性，并可能迅速演变。例如，与黑客行动主义相关的网络攻击在亚太地区正成为一个日益增长的威胁，而生成式人工智能技术也在以新颖的方式影响着亚洲的网络安全挑战。对于负责在亚太地区防范网络威胁的团队来说，识别并阻止所有这些风险——旧的和新的——至关重要。为提供指导，Cyberint收集了截至2023年在以下国家激增的威胁技术和目标的数据： // 3中国（中华人民共和国）越南泰国柬埔寨马来西亚新加坡印度尼西亚菲律宾日本澳大利亚新西兰 过A页面劫持 赛博智能版权所有©2023保留所有权利本文概述了这些风险，并解释了它们如何对亚洲-based的组织产生特别影响。 网络钓鱼图2 //赛博智能版权所有©2023保留所有权利亚洲网络钓鱼攻击增长让我们从网络钓鱼开始，它仍然是亚太地区乃至全球最普遍的网络威胁之一。网络钓鱼正在上升，任何使用电子邮件、短信和其他通信方式的人都可能是受害者，“cnbc注意到。如下图所示，亚洲的网络钓鱼攻击频率持续增长。自2022年以来，已观察到约500万次攻击，全球网络钓鱼的同比增长率为150%。 // 5来源：反钓鱼工作小组 - https://apwg.org/trendsreports/ •因此，用户教育对于防范网络钓鱼至关重要。赛博智能版权所有©2023保留所有权利SMISHING恶意附件：攻击者还可以将包含指向恶意网站的链接的文件附加到电子邮件中。电子邮件钓鱼让我们看看每种类型的网络钓鱼包含的内容以及组织如何阻止它。图4 //亚洲网络钓鱼攻击增长为了防范这些风险，企业应扫描电子邮件系统中的异常消息和活动。用户教育也起着作用。通过电子邮件发生的钓鱼攻击通常使用以下一种方法，试图诱骗受害者交出敏感信息：恶意链接：这仍然是电子邮件钓鱼攻击的最常见向量。受害者点击一个链接 –•这通常被图像或误导性文本所掩盖，因此实际链接与屏幕上显示的文本不同——它们会被重定向到一个钓鱼网站。回复请求：这是一种不太常见的电子邮件钓鱼方法，但它也更难阻止，因为•你不能通过简单地扫描邮件内容来检测它。攻击者发送不包含任何链接或附件的邮件，但仅仅是要求受害者回复。攻击者的目的是开启一段对话。如果受害者回复，攻击者会随后发送包含恶意链接或附件的消息。通过短信进行的网络钓鱼，或钓鱼短信,也仍然是一种普遍的网络安全风险发送批量短信的工具相对便宜；50美元可以买给攻击者多达10000条消息。而且，因为短信技术相当古老，企业很难利用现代安全工具来检测和阻止网络钓鱼短信攻击。 // 6 阻止社交媒体仿冒的最有效方法是监控社交平台以寻找仿冒迹象。赛博智能版权所有©2023保留所有权利VISHING社交媒体身份冒用我们没有看到任何迹象表明，像这样的复杂网络钓鱼攻击会放缓。网络钓鱼仍然非常有利可图，高级攻击技术通过提高成功攻击的速率，使其更加牟利。图 5 //VISHING教育亚洲网络钓鱼攻击的一个更新颖的趋势，尤其是在菲律宾，是利用社交媒体冒充企业及其组织的员工。网络钓鱼是利用语音通话让受害者交出敏感信息。基于语音的网络钓鱼允许攻击者让他们的互动更加互动，并针对特定受害者定制内容——也称作社会工程——这增加了他们的目标检测恶意活动的可能性。在这里，用户教育是阻止vishing的关键。企业还可以监控其网络上的语音聊天，并考虑阻止对不受信任的呼叫应用程序或服务的访问。此外，网络钓鱼攻击使攻击者在攻击时间上拥有更多控制权（因为攻击者无法监控某人何时打开电子邮件或短信，但他们可以判断某人是否接听了实时电话）。从威胁行为者的角度来看，这是有价值的，因为它帮助他们协调网络钓鱼互动与登录企业网站的活动，使他们能够触发对多因素身份验证或一次性密码（OTP）代码的请求。这种方法让他们能诱骗用户分享凭证或点击链接。攻击者也可能利用此方法协调多因素登录，因为他们能实时与客户互动。例如，一家银行可能会维护一个社交媒体页面，客户在那里发布要求支持的评论。由于页面是公开的，攻击者会监控评论区以识别急需帮助的用户。然后，他们联系这些用户，声称自己是银行的代表，并使用虚假的社交媒体资料让自己看起来合法。 // 7 赛博智能版权所有©2023保留所有权利信息窃取者图6 //信息窃取程序操作知名信息窃取者家族包括RedLine、Aurora、Raccoon和Vidar。开发这些恶意软件家族的犯罪分子通常会像一家正规公司一样运作，配备CEO、支持人员、技术人员、研发人员等等。信息窃取器通过从受感染的计算机或服务器收集敏感数据，然后将数据发送给攻击者。例如，信息窃取可能导致访问凭证、财务信息、个人信息、网站饼干、离线钱包、操作系统详细信息，甚至机器桌面和文件结构的屏幕截图泄露。收集这些数据后，信息窃取器团伙会在暗网上出售——这意味着暗网扫描是帮助检测此类攻击的一种方式。信息窃取者是一种自2020年初就已存在的特殊类型的恶意软件，但它们正变得越来越普遍。 // 8 626,965545,265523,561422,589352,965111,599148,432107,01849,09344,660// 9赛博智能版权所有©2023保留所有权利网信安全研究显示，在亚洲，信息安全窃取在以下国家特别普遍：图7 //图 8 //越南印度前十名国家被瞄准信息窃取者在亚太地区菲律宾泰国印度尼西亚马来西亚韩国中国澳大利亚日本因为恶意软件操作者不断地更新他们的软件，订阅者可以访问其特征尚未出现在标准威胁或防病毒数据库中的恶意软件。恶意软件运营商提供他们称之为恶意软件即服务的东西，这意味着他们将他们的软件及其配套支持服务出售给其他想要从组织或个人那里窃取私人数据的威胁行为者。威胁行为者通过驱动器或下载获得他们的软件。然后，他们通过各种技术手段诱骗受害者下载恶意软件，例如网络钓鱼、恶意电子邮件、社交媒体冒充等。红线盗版订阅这些服务的订阅价格从低至49.99美元，高至999美元的终身订阅不等。根据我们的研究，每月仅订阅150美元的威胁行为者能够在短短一个月内传播约10,000次恶意软件感染。10,000条恶意软件日志，每条10美元，可以从150美元的种子投资中赚取10万美元。 // 1051.4%1,823,3599.52%337,75639%1,384,613赛博智能版权所有©2023保留所有权利图9 //浣熊信息窃取程序活动拆分极光RedLine我们检测到的亚太地区一半以上的InfoStealer活动都与RedLine有关，该软件主导市场，因为它像一家组织良好的公司一样运营。奥瑞拉和浣熊在这个市场上也有显著存在。越南、印度和菲律宾可能位居榜首，因为他们的互联网用户往往不太了解网络安全最佳实践，这使得他们更容易点击链接或安装在他们的设备上植入InfoStealing恶意软件的软件，从而面临更高的风险。 3赛博智能版权所有©2023保留所有权利图10 //MFA绕过方法论rd派对数据泄露攻击者获得目标numbers/email addresses &开始发送短信和电子邮件。受害者打开短信/电子邮件访问钓鱼网站 & 输入凭证受害者受害者凭证是发送到C&C服务器多因素认证绕过是指在多因素认证控制措施上打擦边球的行为。在亚洲，我们看到威胁行为者主要通过两种方式绕过多因素认证。MFA绕过 // 11攻击者公共目录内部消息重定向到一个欺诈性双因素认证界面受害者接收并进入真品2FA代码假冒的\"错误代码\"错误回环。账号接管威胁行为者进入被盗的双因素认证码攻击者输入凭证真实网站攻击者绕过多因素认证 方法2第一种方法使用钓鱼策略，实时从受害者处获取MFA凭证。图 11 //方法学 1赛博智能版权所有©2023保留所有权利然后，当应用程序提示攻击者进行MFA登录步骤时，攻击者将用户重定向到一个虚假的MFA界面，要求输入一个6位代码以继续使用服务。受害者收到并在钓鱼的MFA网站上输入了真实的MFA代码，攻击者随后收到了这个代码。攻击者将这个代码输入到真实的网站上，从而接管了账户。第二种MFA绕过方式是使用信息窃取者来窃取网站cookie。Cookie可用于存储登录信息，以便用户每次连接时无需输入用户名和密码或完成MFA身份验证步骤。高级攻击者可以进一步利用这种多因素认证绕过方式。银行保持谨慎，通常在转账时会要求额外的多因素认证。当威胁行为者请求银行转账时，会再次要求一个多因素认证码。钓鱼网站会显示一个错误代码，并要求他们重试。这次他们输入了第二个多因素认证码，这使得威胁行为者可以输入该码并允许银行转账。这样一来，即使应用程序要求用户每次执行高风险操作（如转账）时都进行多因素认证提示，他们也可以绕过多因素认证。攻击者使用第三方服务来识别潜在受害者。攻击者随后用虚假的钓鱼链接针对这些受害者。如果受害者上当受骗，他们就会在虚假的登录门户中输入他们的真实凭证。攻击者随后实时将这些详细信息输入用户认为他们正在登录的合法网站或应用程序。例如，一个偷取了受害者银行应用程序的用户名和密码的攻击者，可以使用这些凭证（在受害者已在钓鱼网站进行登录之后）向该应用程序发起登录请求。如果攻击者能够复制这些cookie，他们就可以将它们植入手中的设备，并利用它们来绕过登录要求，包括在应用程序配置为跳过MFA提示的情况下，如果用户最近完成了一个，则绕过MFA。还有其他MFA绕过的方法，但上述两种是我们目前在亚洲网络安全攻击中看到的最常见的。使用 Cookies 绕过 MFA // 12 赛博智能版权所有©2023保留所有权利图 12 //我们收集关于亚洲勒索软件的数据时，2023年仅过去了九个月，但到那时，勒索软件攻击与去年同期相比，(X)已经增长了30%。这使我们在2023年底前在亚洲看到勒索软件总体增长70%的目标轨道上。每年全球勒索软件攻击次数勒索软件亚太地区网络威胁 // 13 13201891727109810// 142023赛博智能版权所有©2023保留所有权利图14 //专业服务工程与研发前十名行业目标 IN亚太区 Q1-Q3化学品及有关产品金融服务电子制造教育法律服务工业制造房地产运输设备网络空间情报研究也表明，亚洲不同行业的勒索软件攻击频率差异很大，专业服务行业和工程企业是攻击目标最多的行业：澳大利亚、印度和日本可能位居榜首，因为它们拥有更多的企业，使其成为希望受害者支付赎金的威胁行为者极具吸引力的目标。勒索软件团伙也倾向于研究哪些国家支付能力更强。 // 15赛博智能版权所有©2023保留所有权利好消息是，总体而言，组织正在加强他们的勒索软件防御。我们的数据显示，越来越多的公司正在进行每日备份，以便在不支付赎金的情况下从勒索软件中恢复。一些勒索软件攻击者现在只是旨在窃取敏感数据，以便在商家不支付赎金的情况下威胁将其公开。在这种情况下，备份数据没有帮助。一旦勒索软件攻击者窃取了文件并将敏感数据窃取出境，受害者在未实际支付的情况下很难确保其不会被倾倒在暗网上。企业能做的一切就是从一开始就防止数据出境。然而，这正促使勒索软件组织转向无加密攻击。加密工作量大且相对容易被检测，使其对懒惰的威胁行为者来说不太有吸引力。 图16 //供应链攻击有多种形式，但如果第三方供应商有权访问您的系统或数据，或者他们向您提供技术，那么您可能面临风险。软件供应链攻击软件供应链攻击，据研究表明占所有入侵的62%，发生在攻击者攻陷公司所使用的第三方软件后，再利用它来攻击公司。供应链攻击——例如MOVEit漏洞，一个著名的近期供应链攻