2024 年 IBM X-Force 威脅情報指數顯示,攻擊者繼續轉向逃避檢測,在 2023 年傳播惡意軟體。 好訊息是什麼? 安全改進,例如 Microsoft 從 2022 年開始預設阻止巨集執行,並在 2023 年年中之前禁止 OneNote 嵌入具有潛在危險副檔名的檔案,已經使威脅形勢變得更好。 改進的端點檢測還可能迫使攻擊者放棄 2022 年流行的其他技術,例如使用磁碟映像檔案(例如 ISO)和 HTML 走私。
當然,隨著這些安全改進,攻擊者被迫找到入口點才能成功進入組織,在 2023 年,X-Force 觀察到攻擊者,尤其是初始訪問者,越來越多地轉向在電子郵件中放置惡意鏈結以**後續有效負載或附加包含惡意鏈結的 PDF 檔案。 2023年的其他重要觀察結果包括:
用於傳播商品惡意軟體的可執行檔案包括 Nullsoft 指令碼安裝系統 (NSIS) 可執行檔案以及。NET對攪拌機和包裝機的使用有所增加。Zip 檔案作為最受關注的檔案繼續受到關注。 更高階的威脅參與者在存檔中引入了新的檔案型別,例如 Internet 快捷方式 (.)。url) 檔案,其整體使用量在 2023 年顯著增加。對舊漏洞的利用有所增加,例如 CVE-2017-11882,這是電子郵件活動中最多產的漏洞。 採用日益複雜的執行鏈可能旨在降低檢測率並過濾掉安全研究人員和自動沙箱。 本文描述了 X-Force 在 2023 年威脅行為者電子郵件活動中觀察到的高階變化,並利用美國高中的“高階”傳統來突出 X-Force 在過去一年中觀察到的顯著活動和趨勢,以及示例。 文章最後介紹了 2024 年的預期,以及組織可以採取哪些措施來檢測和改進他們的防禦。
2023 年 X-Force 威脅情報指數強調了威脅行為者如何在 2022 年被迫改變策略,當時 Microsoft 開始預設阻止通過電子郵件或網際網絡接收的文件中的巨集執行。 隨著 2023 年初在一些活動中觀察到 Office 文件中存在惡意 Visual Basic 應用程式 (VBA) 巨集和 Excel 巨集 (XLM) 檔案,遠離惡意巨集的趨勢變得更加明顯。 與去年同期相比,X-Force的垃圾郵件減少了93%,其中包含利用VBA巨集的惡意文件,自3月底X-Force觀察到它們在Emotet和Hive0133活動中的使用以來,幾乎沒有任何活動。
圖 1:2023 年包含 VBA 和 XLM 文件的電子郵件量。 **x-force
攻擊者使用惡意巨集的顯著減少積極反映了這樣乙個事實,即對環境實施某些更改實際上可以防止惡意行為者獲得生產機會。 但是,正如本文後面所討論的,當攻擊者關閉一扇門時,他們會嘗試從另一扇門進入。
與 2022 年一樣,X-Force 去年發現了 Qakbot 和其他使用 HTML 走私來傷害受害者的活動。 這種規避技術允許攻擊者使用瀏覽器中執行的 HTML 5 和 J**Ascript 動態解碼或解密嵌入在 HTML 中的有效負載,並將其放入受害者的系統中。 雖然大多數 html 走私活動發生在 3 月,但在 1 月、4 月和 5 月也觀察到活動。 HTML 走私活動同比下降了 96%。 X-Force 評估也是如此,因為端點檢測不斷改進。 在沒有網路流量的情況下,觸發瀏覽器“**某些內容的本地 HTML 檔案是可疑的”。 此外,如果 HTML 檔案帶有編碼的有效負載,它們可能會非常大——這是檢測此活動的另乙個機會。
2023 年初,X-Force 還觀察到多個組織在其活動中利用 OneNote 附件,包括首次訪問** TA570 和 TA577,以提供 QakBot 而聞名,以及 TA551,其活動重點是提供 Icedid。 其他使用 OneNote 附件的團體包括 Emotet 和 Hive0126(與 TA581 重疊),後者試圖傳播 IceDid 和 Bumblebee 惡意軟體。
圖 2:2023 年的 OneNote 電子郵件量。 **x-force
這些威脅行為者發起的短暫但大規模的 OneNote 活動發生在今年的前三個月。 值得注意的是,自 2023 年 3 月以來,X-Force 觀察到使用 OneNote 附件的活動很少。 這可能是因為Microsoft 在 4 月份採取措施阻止帶有“危險副檔名”的嵌入式檔案。
2022 年,X-Force 觀察到使用惡意磁碟映像(ISO、IMG)和 Windows 快捷方式檔案 (LNK) 傳播惡意軟體的情況有所增加。 這種情況在 2023 年發生了變化,ISO 檔案的使用量下降到僅佔容器存檔交付的 3%,而 IMG 檔案也下降到 139%。這可能是因為電子郵件檢測已針對上一年的威脅進行了調整。 在電子郵件中很少合法使用磁碟映像,因此很容易將其識別為可疑。
2023 年,zip 檔案再次成為檔案中最常見的傳輸機制(5407%),其次是 rar 檔案(20%)。13%)。
圖 3:2023 年熱門存檔擴充套件。 **x-force
容器或存檔附件中包含的大多數檔案型別(超過 80%)都是 Windows 可執行檔案,主要用於傳遞商品竊取程式和 RAT,例如 Agent Tesla,這是 X-Force 在 2023 年觀察到的“最常見的惡意軟體”。 不過,盡可能逃避檢測:X-Force 發現 Nullsoft 指令碼安裝系統 (NSIS) 可執行檔案顯著增加,這可能是因為 NSIS 更難掃瞄,因為它用作自解壓存檔。 這些安裝程式主要存在於 7z、RAR 和 zip 檔案中,佔 2023 年垃圾郵件中觀察到的可執行檔案的 25% 以上。 另一種常見的技術是使用基於網路的混淆器和打包器,例如 eazfuscator、net-reactor、crypto-obfuscator 和 roboski packer,用於 X-Force 觀察到的 60% 以上的可執行檔案。
更高階的威脅參與者還會轉向存檔中不太常見的檔案型別,例如 Internet 快捷方式 (.)。URL) 檔案,如下面的圖 4 所示,包括來自 HIVE0126 的 URL) 檔案。整體。。2023 年,無論是在存檔中、直接附加到電子郵件中,還是作為複雜執行鏈的一部分,URL 檔案的使用量都急劇增加。
用於惡意垃圾郵件的檔案型別的其他示例包括各種指令碼檔案,例如 Batch、J**ascript、Windows 指令碼檔案或 Visual Basic。 X-Force 還觀察到 . 在 Windows 可執行檔案上的使用pif 和 .com 擴充套件,這不太常見,但如果由 Windows 使用者開啟,也可能導致自動性。
圖 4:2023 年利用檔案中不常見檔案型別的電子郵件數量。 **x-force
隨著巨集、磁碟映像和 HTML 走私檔案的減少,X-Force 觀察到威脅行為者(包括 TA570、TA577 和 HIVE0133** 等初始訪問許可權)越來越多地轉向使用直接放置在電子郵件中的 URL 或附加的 PDF 檔案進行攻擊。 惡意負載。 X-Force還觀察到,拉丁美洲的分銷商經常使用這些技術來傳播銀行木馬,如Ousaban和Grandoreiro。 威脅行為者很可能已經採用了這些技術,因為鑑於合法通訊中 URL 或 PDF 附件的普遍存在,網路防禦者或安全解決方案不太可能大規模阻止帶有 URL 或 PDF 附件的電子郵件。 其他安全研究人員也在去年年初發現了PDF使用量增加的趨勢。
這種動態迫使網路防禦者玩“打地鼠”遊戲,以識別、標記或阻止潛在的惡意 URL 和 PDF 附件,以免它們導致危險的感染,包括勒索軟體攻擊。 X-Force 還觀察到,威脅行為者需要電子郵件中提供的密碼才能開啟加密的 PDF,從而阻礙了掃瞄這些 PDF 以查詢惡意 URL 或其他內容的能力。 在其他情況下,威脅行為者採用了 PDF 檔案特有的幾種規避技術來混淆或以其他方式隱藏 URL,從而使識別和提取嵌入鏈結以供審查並使其能夠通過安全解決方案變得更加困難。 下面“最危險的活動”部分的“高階”部分提供了使用惡意 PDF 附件的 TA577 活動的示例。
在美國的高中有一種傳統,即將畢業的高年級學生因成為特定類別的最佳典範而被授予“最高階”,例如“最有可能成功”、“最直言不諱”或“最受歡迎”。 利用這些最高階的內容提供了一種有效的方式來突出 X-Force 遙測中 2023 年的有趣活動、趨勢和統計資料,如下所述。
2023 年“最常見惡意軟體”的獲勝者屬於 Agent Tesla,他是自 2014 年以來活躍在地下市場的流行資訊竊取者**。 最常見的五大惡意軟體包括資訊竊取程式 Formbook 和 Lokibot、遠端訪問工具 Remacos 和 Snake Keylogger。 這些惡意軟體通常在存檔中或通過惡意辦公文件**傳播,包括利用 CVE-2017-11882 的惡意軟體(見下文)。
圖 5:2023 年在垃圾郵件中觀察到的最常見的惡意軟體。 **x-force
圖 6 提供了使用 zip 存檔中提供的 NSIS 安裝程式傳送 Agent Telsa 的電子郵件活動示例。 如上所述,X-Force還觀察到使用NSIS安裝程式傳播商品惡意軟體的情況有所增加。
圖 6:使用 NSIS 安裝程式傳送 Agent Tesla Infostealer 的電子郵件。 **x-force
“最受關注的漏洞利用”類別的獲勝者是 CVE-2017-11882。 現在,使用巨集的簡單方法已經得到緩解,許多威脅參與者正專注於為MS Office的舊版和潛在易受攻擊的版本建立漏洞,並將其最小化。 值得注意的是,X-Force觀察到利用CVE-2017-11882漏洞(Microsoft Office公式編輯器工具中的遠端執行漏洞)的檔案的使用顯著增加。 利用此漏洞傳播商品惡意軟體的活動,例如 Agent Tesla、Remcos、Formbook、Lokibot、XWORM 和 Asyncrat(僅舉幾例)在 2023 年掀起了一波大浪潮,活動在 3 月、5 月和 7 月激增,導致該漏洞在 2023 年的垃圾郵件文件中最常見。
圖 7:2023 年利用 CVE-2017-11882 的電子郵件數量。 **x-force
儘管自 2017 年 11 月以來已經發布了補丁,但攻擊者可能容易受到攻擊,因為他們指望尚未應用安全更新的組織。 事實上,攻擊者經常利用那些被識別漏洞、確定漏洞優先順序和修復任務壓得喘不過氣來的組織。 漏洞管理服務可以幫助組織有效地處理此任務,確保發現並修復CVE-2017-11882等高危漏洞。
圖 8:惡意電子郵件漏洞利用 CVE-2017-11882 **formbook。 **x-force
“最危險的活動”類別屬於初次訪問** TA577,也稱為“TR”,被 X-Force 跟蹤為HIVE0118。 2023 年的 TA577 活動一直使用 Qakbot,直到 8 月中斷,之後他們轉移到了 Darkgate、Icedid 和 Pikabot。 X-Force 在去年觀察到了幾次 TA577 電子郵件活動,這些活動導致了成功的 Qakbot 感染,並且已經觀察到這些活動導致了 Blackbasta 勒索軟體攻擊。 TA577 將大量活動與電子郵件“執行緒劫持”相結合,攻擊者在被盜電子郵件中新增惡意 URL 或附件,使其看起來更合法。 自去年春天以來,大多數 TA577 活動都利用了惡意 URL 或包含惡意 URL 的 PDF。 下面的例子發生在 12 月 22 日,並交付了 pikabot。
圖 9:TA577 執行緒劫持電子郵件以傳遞惡意 PDF 附件。 **x-force
圖 10:包含惡意 URL 的 PDF,由圖 9 中的 TA577 活動提供。 **x-force
“最複雜的感染鏈”起源於2023年12月中旬由一家追蹤為hive0137的分銷商發起的活動。 在過去的一年裡,威脅行為者越來越多地使用複雜的執行鏈。 使用多個連續階段使單個元件及其行為難以檢測到,並允許攻擊者在整個感染過程中的多個不同點執行檢查,以過濾掉安全研究人員和自動沙箱。
Hive0137 至少從 10 月開始就一直處於活躍狀態,傳送包含惡意 PDF 附件或 URL 的電子郵件,這些附件或 URL 指向 Darkgate、Netsupport 和乙個名為“T34 Loader”的新載入程式。 Hive0137 活動與 Proofpoint 的 BattleRoyal 集群重疊,後者也注意到了其電子郵件活動的複雜性。 在 2023 年 12 月 19 日發生的 Hive0137 活動中,X-Force 發現了一條極其複雜的感染鏈,該鏈提供了 T34 Loader。 X-Force之前曾觀察過T34裝載機**Rhadamanthys竊取者。
為了**並安裝 T34 載入器,該活動利用了乙個開放的重定向 URL、Keitaro 流量分配系統 (TDS)、遠端配置資料和四個不同的檔案,包括兩個 .URL 檔案、使用者 PE 檔案、Snow Crypter 和 T34 載入程式 DLL。 值得注意的是,SNOW 密碼是由 TrickBot Conti 小組(又名 ITG23)的一名前成員開發的,這表明開發或使用 T34 Loader 的威脅行為者與 ITG23 之間存在關係。
圖 11:帶有惡意 URL 的 Hive0137 電子郵件啟動了精心設計的執行鏈。 **x-force
圖 12:hive0137 活動使用複雜的執行鏈來交付最終有效負載。
展望 2024 年,X-Force 預計垃圾郵件傳送者將繼續採用新的策略、技術和程式 (TTP) 來繞過安全解決方案和網路防禦,並說服使用者執行電子郵件附件和鏈結。 特別是:
威脅參與者將繼續使用電子郵件和 PDF 附件中的 URL 來啟動執行鏈。 帶有 PDF 附件的電子郵件看起來比帶有磁碟映像的電子郵件更可疑。 威脅行為者明白這一點,並將使用這些方法來突破第一道防線。 電子郵件分發者將越來越多地採用人工智慧和大型語言模型 (LLM) 來建立更具說服力的電子郵件內容,提示使用者點選鏈結或執行附件。 通常可以快速發現使用語法錯誤、英語蹩腳或簡單訊息的垃圾郵件。 隨著參與者利用人工智慧來幫助他們建立專業和精美的電子郵件,這種情況將發生變化。 日益複雜的多階段感染鏈也可能增加。 已經有定期的電子郵件活動,在交付最終有效載荷之前利用多個階段,目的是轉移安全研究人員和沙箱的注意力,並最大限度地減少通過安全防禦的行為。 攻擊者可能會求助於不尋常的檔案型別來支援這些執行鏈,例如 .URL 附件或指令碼檔案(例如 j**ascript 或批處理檔案)。 良好的網路衛生將繼續在防止基於電子郵件的攻擊成功方面發揮關鍵作用,例如定期更新和修補應用程式,確保防病毒軟體和相關檔案正常工作和最新,以及對任何可疑活動保持警惕。