2024 年 IBM X-Force 威胁情报指数显示,攻击者继续转向逃避检测,在 2023 年传播恶意软件。 好消息是什么? 安全改进,例如 Microsoft 从 2022 年开始默认阻止宏执行,并在 2023 年年中之前禁止 OneNote 嵌入具有潜在危险扩展名的文件,已经使威胁形势变得更好。 改进的端点检测还可能迫使攻击者放弃 2022 年流行的其他技术,例如使用磁盘映像文件(例如 ISO)和 HTML 走私。
当然,随着这些安全改进,攻击者被迫找到入口点才能成功进入组织,在 2023 年,X-Force 观察到攻击者,尤其是初始访问者,越来越多地转向在电子邮件中放置恶意链接以**后续有效负载或附加包含恶意链接的 PDF 文件。 2023年的其他重要观察结果包括:
用于传播商品恶意软件的可执行文件包括 Nullsoft 脚本安装系统 (NSIS) 可执行文件以及。NET对搅拌机和包装机的使用有所增加。Zip 文件作为最受关注的档案继续受到关注。 更高级的威胁参与者在存档中引入了新的文件类型,例如 Internet 快捷方式 (.)。url) 文件,其整体使用量在 2023 年显着增加。对旧漏洞的利用有所增加,例如 CVE-2017-11882,这是电子邮件活动中最多产的漏洞。 采用日益复杂的执行链可能旨在降低检测率并过滤掉安全研究人员和自动沙箱。 本文描述了 X-Force 在 2023 年威胁行为者电子邮件活动中观察到的高级变化,并利用美国高中的“高级”传统来突出 X-Force 在过去一年中观察到的显着活动和趋势,以及示例。 文章最后介绍了 2024 年的预期,以及组织可以采取哪些措施来检测和改进他们的防御。
2023 年 X-Force 威胁情报指数强调了威胁行为者如何在 2022 年被迫改变策略,当时 Microsoft 开始默认阻止通过电子邮件或互联网接收的文档中的宏执行。 随着 2023 年初在一些活动中观察到 Office 文档中存在恶意 Visual Basic 应用程序 (VBA) 宏和 Excel 宏 (XLM) 文件,远离恶意宏的趋势变得更加明显。 与去年同期相比,X-Force的垃圾邮件减少了93%,其中包含利用VBA宏的恶意文档,自3月底X-Force观察到它们在Emotet和Hive0133活动中的使用以来,几乎没有任何活动。
图 1:2023 年包含 VBA 和 XLM 文档的电子邮件量。 **x-force
攻击者使用恶意宏的显著减少积极反映了这样一个事实,即对环境实施某些更改实际上可以防止恶意行为者获得生产机会。 但是,正如本文后面所讨论的,当攻击者关闭一扇门时,他们会尝试从另一扇门进入。
与 2022 年一样,X-Force 去年发现了 Qakbot 和其他使用 HTML 走私来伤害受害者的活动。 这种规避技术允许攻击者使用浏览器中运行的 HTML 5 和 J**Ascript 动态解码或解密嵌入在 HTML 中的有效负载,并将其放入受害者的系统中。 虽然大多数 html 走私活动发生在 3 月,但在 1 月、4 月和 5 月也观察到活动。 HTML 走私活动同比下降了 96%。 X-Force 评估也是如此,因为端点检测不断改进。 在没有网络流量的情况下,触发浏览器“**某些内容的本地 HTML 文件是可疑的”。 此外,如果 HTML 文件带有编码的有效负载,它们可能会非常大——这是检测此活动的另一个机会。
2023 年初,X-Force 还观察到多个组织在其活动中利用 OneNote 附件,包括首次访问** TA570 和 TA577,以提供 QakBot 而闻名,以及 TA551,其活动重点是提供 Icedid。 其他使用 OneNote 附件的团体包括 Emotet 和 Hive0126(与 TA581 重叠),后者试图传播 IceDid 和 Bumblebee 恶意软件。
图 2:2023 年的 OneNote 电子邮件量。 **x-force
这些威胁行为者发起的短暂但大规模的 OneNote 活动发生在今年的前三个月。 值得注意的是,自 2023 年 3 月以来,X-Force 观察到使用 OneNote 附件的活动很少。 这可能是因为Microsoft 在 4 月份采取措施阻止带有“危险扩展名”的嵌入式文件。
2022 年,X-Force 观察到使用恶意磁盘映像(ISO、IMG)和 Windows 快捷方式文件 (LNK) 传播恶意软件的情况有所增加。 这种情况在 2023 年发生了变化,ISO 文件的使用量下降到仅占容器存档交付的 3%,而 IMG 文件也下降到 139%。这可能是因为电子邮件检测已针对上一年的威胁进行了调整。 在电子邮件中很少合法使用磁盘映像,因此很容易将其识别为可疑。
2023 年,zip 文件再次成为档案中最常见的传输机制(5407%),其次是 rar 文件(20%)。13%)。
图 3:2023 年热门存档扩展。 **x-force
容器或存档附件中包含的大多数文件类型(超过 80%)都是 Windows 可执行文件,主要用于传递商品窃取程序和 RAT,例如 Agent Tesla,这是 X-Force 在 2023 年观察到的“最常见的恶意软件”。 不过,尽可能逃避检测:X-Force 发现 Nullsoft 脚本安装系统 (NSIS) 可执行文件显着增加,这可能是因为 NSIS 更难扫描,因为它用作自解压存档。 这些安装程序主要存在于 7z、RAR 和 zip 文件中,占 2023 年垃圾邮件中观察到的可执行文件的 25% 以上。 另一种常见的技术是使用基于网络的混淆器和打包器,例如 eazfuscator、net-reactor、crypto-obfuscator 和 roboski packer,用于 X-Force 观察到的 60% 以上的可执行文件。
更高级的威胁参与者还会转向存档中不太常见的文件类型,例如 Internet 快捷方式 (.)。URL) 文件,如下面的图 4 所示,包括来自 HIVE0126 的 URL) 文件。整体。。2023 年,无论是在存档中、直接附加到电子邮件中,还是作为复杂执行链的一部分,URL 文件的使用量都急剧增加。
用于恶意垃圾邮件的文件类型的其他示例包括各种脚本文件,例如 Batch、J**ascript、Windows 脚本文件或 Visual Basic。 X-Force 还观察到 . 在 Windows 可执行文件上的使用pif 和 .com 扩展,这不太常见,但如果由 Windows 用户打开,也可能导致自动性。
图 4:2023 年利用档案中不常见文件类型的电子邮件数量。 **x-force
随着宏、磁盘映像和 HTML 走私文件的减少,X-Force 观察到威胁行为者(包括 TA570、TA577 和 HIVE0133** 等初始访问权限)越来越多地转向使用直接放置在电子邮件中的 URL 或附加的 PDF 文件进行攻击。 恶意负载。 X-Force还观察到,拉丁美洲的分销商经常使用这些技术来传播银行木马,如Ousaban和Grandoreiro。 威胁行为者很可能已经采用了这些技术,因为鉴于合法通信中 URL 或 PDF 附件的普遍存在,网络防御者或安全解决方案不太可能大规模阻止带有 URL 或 PDF 附件的电子邮件。 其他安全研究人员也在去年年初发现了PDF使用量增加的趋势。
这种动态迫使网络防御者玩“打地鼠”游戏,以识别、标记或阻止潜在的恶意 URL 和 PDF 附件,以免它们导致危险的感染,包括勒索软件攻击。 X-Force 还观察到,威胁行为者需要电子邮件中提供的密码才能打开加密的 PDF,从而阻碍了扫描这些 PDF 以查找恶意 URL 或其他内容的能力。 在其他情况下,威胁行为者采用了 PDF 文件特有的几种规避技术来混淆或以其他方式隐藏 URL,从而使识别和提取嵌入链接以供审查并使其能够通过安全解决方案变得更加困难。 下面“最危险的活动”部分的“高级”部分提供了使用恶意 PDF 附件的 TA577 活动的示例。
在美国的高中有一种传统,即将毕业的高年级学生因成为特定类别的最佳典范而被授予“最高级”,例如“最有可能成功”、“最直言不讳”或“最受欢迎”。 利用这些最高级的内容提供了一种有效的方式来突出 X-Force 遥测中 2023 年的有趣活动、趋势和统计数据,如下所述。
2023 年“最常见恶意软件”的获胜者属于 Agent Tesla,他是自 2014 年以来活跃在地下市场的流行信息窃取者**。 最常见的五大恶意软件包括信息窃取程序 Formbook 和 Lokibot、远程访问工具 Remacos 和 Snake Keylogger。 这些恶意软件通常在存档中或通过恶意办公文档**传播,包括利用 CVE-2017-11882 的恶意软件(见下文)。
图 5:2023 年在垃圾邮件中观察到的最常见的恶意软件。 **x-force
图 6 提供了使用 zip 存档中提供的 NSIS 安装程序发送 Agent Telsa 的电子邮件活动示例。 如上所述,X-Force还观察到使用NSIS安装程序传播商品恶意软件的情况有所增加。
图 6:使用 NSIS 安装程序发送 Agent Tesla Infostealer 的电子邮件。 **x-force
“最受关注的漏洞利用”类别的获胜者是 CVE-2017-11882。 现在,使用宏的简单方法已经得到缓解,许多威胁参与者正专注于为MS Office的旧版和潜在易受攻击的版本创建漏洞,并将其最小化。 值得注意的是,X-Force观察到利用CVE-2017-11882漏洞(Microsoft Office公式编辑器工具中的远程执行漏洞)的文件的使用显着增加。 利用此漏洞传播商品恶意软件的活动,例如 Agent Tesla、Remcos、Formbook、Lokibot、XWORM 和 Asyncrat(仅举几例)在 2023 年掀起了一波大浪潮,活动在 3 月、5 月和 7 月激增,导致该漏洞在 2023 年的垃圾邮件文档中最常见。
图 7:2023 年利用 CVE-2017-11882 的电子邮件数量。 **x-force
尽管自 2017 年 11 月以来已经发布了补丁,但攻击者可能容易受到攻击,因为他们指望尚未应用安全更新的组织。 事实上,攻击者经常利用那些被识别漏洞、确定漏洞优先级和修复任务压得喘不过气来的组织。 漏洞管理服务可以帮助组织有效地处理此任务,确保发现并修复CVE-2017-11882等高危漏洞。
图 8:恶意电子邮件漏洞利用 CVE-2017-11882 **formbook。 **x-force
“最危险的活动”类别属于初次访问** TA577,也称为“TR”,被 X-Force 跟踪为HIVE0118。 2023 年的 TA577 活动一直使用 Qakbot,直到 8 月中断,之后他们转移到了 Darkgate、Icedid 和 Pikabot。 X-Force 在去年观察到了几次 TA577 电子邮件活动,这些活动导致了成功的 Qakbot 感染,并且已经观察到这些活动导致了 Blackbasta 勒索软件攻击。 TA577 将大量活动与电子邮件“线程劫持”相结合,攻击者在被盗电子邮件中添加恶意 URL 或附件,使其看起来更合法。 自去年春天以来,大多数 TA577 活动都利用了恶意 URL 或包含恶意 URL 的 PDF。 下面的例子发生在 12 月 22 日,并交付了 pikabot。
图 9:TA577 线程劫持电子邮件以传递恶意 PDF 附件。 **x-force
图 10:包含恶意 URL 的 PDF,由图 9 中的 TA577 活动提供。 **x-force
“最复杂的感染链”起源于2023年12月中旬由一家追踪为hive0137的分销商发起的活动。 在过去的一年里,威胁行为者越来越多地使用复杂的执行链。 使用多个连续阶段使单个组件及其行为难以检测到,并允许攻击者在整个感染过程中的多个不同点执行检查,以过滤掉安全研究人员和自动沙箱。
Hive0137 至少从 10 月开始就一直处于活跃状态,发送包含恶意 PDF 附件或 URL 的电子邮件,这些附件或 URL 指向 Darkgate、Netsupport 和一个名为“T34 Loader”的新加载程序。 Hive0137 活动与 Proofpoint 的 BattleRoyal 集群重叠,后者也注意到了其电子邮件活动的复杂性。 在 2023 年 12 月 19 日发生的 Hive0137 活动中,X-Force 发现了一条极其复杂的感染链,该链提供了 T34 Loader。 X-Force之前曾观察过T34装载机**Rhadamanthys窃取者。
为了**并安装 T34 加载器,该活动利用了一个开放的重定向 URL、Keitaro 流量分配系统 (TDS)、远程配置数据和四个不同的文件,包括两个 .URL 文件、用户 PE 文件、Snow Crypter 和 T34 加载程序 DLL。 值得注意的是,SNOW 密码是由 TrickBot Conti 小组(又名 ITG23)的一名前成员开发的,这表明开发或使用 T34 Loader 的威胁行为者与 ITG23 之间存在关系。
图 11:带有恶意 URL 的 Hive0137 电子邮件启动了精心设计的执行链。 **x-force
图 12:hive0137 活动使用复杂的执行链来交付最终有效负载。
展望 2024 年,X-Force 预计垃圾邮件发送者将继续采用新的策略、技术和程序 (TTP) 来绕过安全解决方案和网络防御,并说服用户执行电子邮件附件和链接。 特别是:
威胁参与者将继续使用电子邮件和 PDF 附件中的 URL 来启动执行链。 带有 PDF 附件的电子邮件看起来比带有磁盘映像的电子邮件更可疑。 威胁行为者明白这一点,并将使用这些方法来突破第一道防线。 电子邮件分发者将越来越多地采用人工智能和大型语言模型 (LLM) 来创建更具说服力的电子邮件内容,提示用户点击链接或执行附件。 通常可以快速发现使用语法错误、英语蹩脚或简单消息的垃圾邮件。 随着参与者利用人工智能来帮助他们创建专业和精美的电子邮件,这种情况将发生变化。 日益复杂的多阶段感染链也可能增加。 已经有定期的电子邮件活动,在交付最终有效载荷之前利用多个阶段,目的是转移安全研究人员和沙箱的注意力,并最大限度地减少通过安全防御的行为。 攻击者可能会求助于不寻常的文件类型来支持这些执行链,例如 .URL 附件或脚本文件(例如 j**ascript 或批处理文件)。 良好的网络卫生将继续在防止基于电子邮件的攻击成功方面发挥关键作用,例如定期更新和修补应用程序,确保防病毒软件和相关文件正常工作和最新,以及对任何可疑活动保持警惕。