8Base 是一個(gè)勒索軟件團伙�,自從 2022 年 3 月以來(lái)一直保持活躍���,且在 2023 年 6 月攻擊大幅增強�����。攻擊者在泄漏數據的網(wǎng)站上�,提供了各種常見(jiàn)問(wèn)題的解決方案與多種聯(lián)系方式��。另一個(gè)有趣的地方是 8Base 團伙的溝通方式與另一個(gè)已知的勒索軟件組織 RansomHouse 十分類(lèi)似��。其目標行業(yè)有商業(yè)服務(wù)���、金融��、制造與信息技術(shù)��。該團伙也是雙重勒索的使用者����,多種手段并用逼迫受害者支付贖金���。8Base 最近跨行業(yè)攻擊了很多目標����,但攻擊者的身份與潛在動(dòng)機仍然不明�。盡管 8Base 勒索軟件團伙并不一定是一個(gè)新出現的攻擊團伙���,但其最近激增的活動(dòng)并未引起人們的廣泛關(guān)注�。在過(guò)去的一個(gè)月內���,8Base 也可以排得上最活躍的前兩位�。除了勒索信息與擴展名為 .8Base 的加密文件外�����,其實(shí)大家對 8Base 勒索軟件知之甚少�。8Base 正在進(jìn)行瘋狂攻擊�����,目前只能推測其使用幾種不同的勒索軟件進(jìn)行攻擊�����。該團伙針對小型企業(yè)的攻擊十分頻繁����,一直處于活躍期����。
在發(fā)現 8Base 之初����,研究人員就注意到其與 RansomHouse 之間存在明顯的相似之處����。其勒索信息與 RansomHouse 的勒索信息相似度達到 99%�����。數據泄露網(wǎng)站的歡迎頁(yè)面就是從 RandomHouse 的頁(yè)面復制過(guò)來(lái)的�����,服務(wù)條款頁(yè)與常見(jiàn)問(wèn)題解答頁(yè)也是如此�����。由于二者高度相似�,研究人員懷疑 8Base 是否為 RansomHouse 的分支或者模仿者�����,但是RansomHouse 使用黑市上出售的各種勒索軟件進(jìn)行攻擊����,并不自行開(kāi)發(fā)��,對于 8Base 也未能找到任何勒索軟件變種���。8Base 是否為 Phobos 或者 RandomHouse 的分支還有待觀(guān)察��,但一目了然的是 8Base 與 RansomHouse 幾乎相同���。
隱藏在SOHO路由器中的遠程訪(fǎng)問(wèn)木馬AVrecon����,兩年感染20個(gè)國家的7萬(wàn)臺設備
最近�,通信公司Lumen的Black Lotus實(shí)驗室在一篇博客中稱(chēng)����,其發(fā)現了一項持續多年的波及全球路由器的惡意活動(dòng)——新型僵尸網(wǎng)絡(luò )“AVrecon”在未被察覺(jué)的情況下運行了至少兩年��,感染了全球7萬(wàn)臺路由器�����。美國網(wǎng)絡(luò )安全與基礎設施安全局(CISA)最近就警告稱(chēng)��,攻擊者可利用SOHO路由器等網(wǎng)絡(luò )設備作為全球攻擊基礎設施并對組織網(wǎng)絡(luò )進(jìn)行無(wú)限制訪(fǎng)問(wèn)�����。而SOHO路由器更新的頻率通常較低�����,這更加劇了問(wèn)題的嚴重性�。例如Black Lotus研究人員分析的這個(gè)僵尸網(wǎng)絡(luò )����,其AVrecon惡意軟件已經(jīng)感染了超過(guò)7萬(wàn)臺基于Linux的路由器�����,并在20多個(gè)國家的4萬(wàn)多個(gè)IP地址上保持著(zhù)持久性控制��。根據Black Lotus實(shí)驗室的說(shuō)法�����,AVrecon是繼ZuroRAT和HiatusRAT之后����,第三個(gè)專(zhuān)注于攻擊SOHO路由器的惡意軟件���,主要攻擊目標為英國和美國��。據了解�����,AVrecon使用C語(yǔ)言編寫(xiě)����,針對ARM嵌入式設備����,特別是SOHO(小型辦公室/家庭辦公室)路由器�。Black Lotus表示��,這些目標設備通常缺乏標準端點(diǎn)安全解決方案�����,因此惡意軟件可以利用已知漏洞進(jìn)行更長(cháng)時(shí)間的攻擊��。
Black Lotus的研究人員發(fā)現�����,自2021年10月以來(lái)�,至少有15個(gè)這樣的服務(wù)器一直在運行�����。受感染的路由器用于與C2服務(wù)器之間的通信使用x.509證書(shū)進(jìn)行加密�,因此研究人員無(wú)法看到網(wǎng)絡(luò )犯罪分子在“密碼噴灑”攻擊中的成功率�����。除此之外�,受感染的設備還被用來(lái)點(diǎn)擊各種Facebook和谷歌的廣告�。Black Lotus實(shí)驗室建議�,針對此類(lèi)惡意活動(dòng)����,保持良好的習慣至關(guān)重要�����,例如定期重啟路由器以及應用安全更新�����。
黑客專(zhuān)為網(wǎng)絡(luò )犯罪設計的生成式人工智能WormGPT��,用于定制真偽莫辨的釣魚(yú)郵件
網(wǎng)絡(luò )安全公司SlashNext的一篇博客指出���,隨著(zhù)生成式人工智能近來(lái)變得非常流行�,越來(lái)越多黑客將這項技術(shù)改頭換面����,用于促進(jìn)犯罪活動(dòng)��。最近��,SlashNext在地下論壇發(fā)現了一種名為WormGPT的新型生成式AI網(wǎng)絡(luò )犯罪工具�����。該工具自比為GPT模型的黑帽代替品��,專(zhuān)門(mén)設計用于惡意活動(dòng)��。攻擊者不需要熟練掌握特定語(yǔ)言�,也能利用該工具針對攻擊目標定制高度逼真的釣魚(yú)郵件�����,以增加釣魚(yú)成功的概率����。使用生成式人工智能進(jìn)行BEC(商業(yè)電子郵件詐騙)攻擊���,在效率之外�,還具有另外幾個(gè)優(yōu)勢���。首先�,它能夠創(chuàng )建在語(yǔ)法上無(wú)可挑剔的電子郵件�,降低被標記為可疑郵件的可能性�����。其次��,它降低了釣魚(yú)攻擊的門(mén)檻�,使得即使是技能有限的攻擊者也能夠發(fā)動(dòng)精密的攻擊����。
SlashNext安全研究團隊對WormGPT工具進(jìn)行測試后發(fā)現�,其基于GPTJ語(yǔ)言模型����,具有無(wú)限字符支持���、聊天記憶保留和代碼格式化等功能特點(diǎn)��。據稱(chēng)����,該工具在各種數據源上進(jìn)行過(guò)訓練����,特別是與惡意軟件相關(guān)的數據�����。個(gè)人和組織需要意識到這些風(fēng)險����,為防范此類(lèi)AI驅動(dòng)的BEC攻擊��,有必要了解最新的人工智能技術(shù)及其對網(wǎng)絡(luò )安全的潛在影響����,并采取適當措施來(lái)保護自己免受侵害��,例如多因素身份驗證和電子郵件過(guò)濾��。
2023年第二季度郵件安全觀(guān)察:詐騙郵件內容更加流利
根據ASRC (Asia Spam-message Research Center) 研究中心與守內安公司的監測觀(guān)察�����,2023年第二季度����,全球整體垃圾郵件�����、釣魚(yú)郵件數量小幅上升���,常見(jiàn)病毒附文件郵件有些許減少�,來(lái)自新申請域名的垃圾郵件約較上季增加60%�����??赡芤驗榻衲瓿跻詠?lái)�,生成式AI工具的應用爆發(fā)���,讓語(yǔ)言在郵件的隔閡明顯被打破:這些過(guò)去常用英語(yǔ)書(shū)寫(xiě)的詐騙郵件��,轉成中文內容時(shí)���,變得比過(guò)去更加流利了����;同樣的情況也發(fā)生在過(guò)去出現在非英語(yǔ)語(yǔ)系流行的詐騙郵件���,英文的詐騙內容文法變得流利��,更不容易看出破綻��。另一個(gè)較特別的威脅郵件是簡(jiǎn)體中文的釣魚(yú)郵件�����,數量較上一季飆升許多����,濫發(fā)時(shí)間落在三月底四月初����。
研究人員觀(guān)察了許多樣本����,發(fā)現利用IPFS建設的釣魚(yú)網(wǎng)站��,由于其分散系統的特性�,沒(méi)有中央機構可以對它稽查或管理�����,再加上IPFS還可搭配縮址���、轉址等功能進(jìn)行更復雜的蒙騙或躲避稽查�����,未來(lái)可能會(huì )變成釣魚(yú)網(wǎng)站存在的主流趨勢�����。企業(yè)防御最直接的方式是避免接觸這類(lèi)的釣魚(yú)郵件���,采用有效的郵件掃描機制是一個(gè)好方法��;此外���,在無(wú)必要使用IPFS的前提下�,直接隔離IPFS網(wǎng)址��,也可讓此類(lèi)風(fēng)險大幅度降低�����。
美國學(xué)生遭遇求職詐騙郵件“轟炸”�����!
近日���,有威脅行為者冒充生物科學(xué)����、醫療保健和生物技術(shù)公司來(lái)欺騙北美求職者�。網(wǎng)絡(luò )安全公司Proofpoint表示:裁員潮影響到了各行各業(yè)的人����,因此威脅行為者開(kāi)始在勞動(dòng)市場(chǎng)里制造出一些就業(yè)騙局���,并試圖從求職者那里騙取一些資金����。此外�����,有專(zhuān)家還發(fā)現了一種專(zhuān)門(mén)針對該國北部學(xué)生的新垃圾郵件活動(dòng)���。這種騙局一開(kāi)始只會(huì )給學(xué)生發(fā)送一則無(wú)關(guān)痛癢的信息����,這些信息的來(lái)源通常來(lái)自生物科學(xué)��、醫療保健或生物技術(shù)公司��。該消息也可能是一則虛假的面試邀請�,里面包含一個(gè)PDF文件���,其中包含有關(guān)該職位的更多信息�。發(fā)送該消息的人會(huì )邀請人們在第三方平臺上進(jìn)行視頻或聊天面試�,以獲取到他們的更多信息����,并為他們的角色做好準備���。雖然Proofpoint無(wú)法確認視頻聊天中對這些求職者提出的的具體問(wèn)題都是什么�,但研究人員根據之前類(lèi)似的活動(dòng)推測�,這些惡意攻擊者可能會(huì )告訴這些求職者他們需要預付設備費用���,然后將騙取到的錢(qián)財收入囊中�����。
專(zhuān)家們將這類(lèi)騙局歸類(lèi)為預付款欺詐(AFF)活動(dòng)����。雖然這類(lèi)活動(dòng)是在今年3月份首次發(fā)現的�,但與之相似的欺詐行為已經(jīng)存在多年����。大學(xué)生經(jīng)常是網(wǎng)絡(luò )罪犯的常見(jiàn)目標�����,因為考慮到學(xué)生的靈活性���,并可以接受遠程工作的形式�,同時(shí)也比較缺乏識別欺詐行為的經(jīng)驗��,正因如此他們才會(huì )更大概率的遭遇就業(yè)騙局����。該公司表示:不斷上升的通貨膨脹和教育成本正在給學(xué)生的財務(wù)狀況帶來(lái)壓力���,這也使得詐騙郵件中提記得能實(shí)現快速賺錢(qián)的承諾更具吸引力���。
成千上萬(wàn)的 OpenAI 憑證在暗網(wǎng)上待售
Flare 的安全研究人員在分析暗網(wǎng)論壇和市場(chǎng)時(shí)注意到����,OpenAI 證書(shū)是最新待售的商品之一�, 目前可以確定了約有 20 多萬(wàn)個(gè) OpenAI 證書(shū)以竊取日志的形式在暗網(wǎng)上出售�。雖然這一數字與 OpenAI 1 月份 1 億活躍用戶(hù)相比�����,似乎微不足道�,但也能說(shuō)明網(wǎng)絡(luò )攻擊者“看到”了生成式人工智能工具蘊藏的破壞力�����。2023 年 6 月�,網(wǎng)絡(luò )安全公司 Group IB 在一份報告中指出超過(guò)101100個(gè)被泄露的 OpenAI ChatGPT 賬戶(hù)憑證在非法的暗網(wǎng)市場(chǎng)上待售����?��?梢?jiàn)許多網(wǎng)絡(luò )犯罪分子都盯上了人工智能�,甚至有一網(wǎng)絡(luò )攻擊者還開(kāi)發(fā)了一個(gè)名為 WormGPT 的盜版 ChatGPT����,并對其進(jìn)行了針對惡意軟件的數據訓練�, 該工具也被被宣傳為“黑帽的最佳 GPT 替代品”��。
研究人員指出在一項實(shí)驗中�,指示 WormGPT 生成一封電子郵件���,旨在向毫無(wú)戒心的客戶(hù)經(jīng)理施壓��,迫使其支付欺詐發(fā)票����。結果���,WormGPT 生成的電子郵件不僅極具說(shuō)服力�,而且在戰略上非常狡猾����,完美展示了其在復雜的網(wǎng)絡(luò )釣魚(yú)和 BEC 攻擊中的潛力��。研究人員指出盡管抵御這種威脅可能比較困難����,但是并非不能防御�����。
雙重傷害����!雅詩(shī)蘭黛同時(shí)遭遇兩個(gè)勒索軟件的攻擊
據BleepingComputer 7月19日消息�����,化妝品巨頭雅詩(shī)蘭黛最近遭到了來(lái)自?xún)蓚€(gè)不同勒索軟件的攻擊��。在7月18日提交給美國證券交易委員會(huì ) (SEC) 的文件中��,雅詩(shī)蘭黛公司證實(shí)了其中一次攻擊���,稱(chēng)攻擊者獲得了其部分系統的訪(fǎng)問(wèn)權限����,并可能竊取了數據���。該公司沒(méi)有提供有關(guān)該事件的太多細節��,稱(chēng)其積極采取行動(dòng)并關(guān)閉了一些系統�����,但已這次攻擊似乎是受MOVEit Transfer漏洞的影響����,讓Clop 勒索軟件獲得了對該公司的訪(fǎng)問(wèn)權限����。在其數據泄露網(wǎng)站上���,Clop 列出了雅詩(shī)蘭黛�,并注明已經(jīng)獲取了131GB的數據���。與此同時(shí)����,BlackCat 勒索軟件組織也將雅詩(shī)蘭黛添加到了受害者名單中�����,并表示雅詩(shī)蘭黛對勒索郵件保持沉默讓他們感到不滿(mǎn)�����。
雅詩(shī)蘭黛的安全專(zhuān)家表示���,盡管該公司使用了微軟的檢測和響應團隊 (DART) 和 Mandiant�����,但網(wǎng)絡(luò )仍然受到威脅�,他們仍然可以訪(fǎng)問(wèn)��。BlackCat表示�����,他們沒(méi)有對公司的任何系統進(jìn)行加密�,并補充說(shuō)���,除非雅詩(shī)蘭黛參與談判��,否則他們將透露有關(guān)被盜數據的更多細節���,并暗示泄露的信息可能會(huì )影響客戶(hù)�、公司員工和供應商��。在向 SEC 提交的文件中���,雅詩(shī)蘭黛重點(diǎn)強調了補救措施��,包括恢復受影響的系統和服務(wù)�,并對可能造成的持續性影響做了評估���。