8Base 是一個(gè)勒索軟件團(tuán)伙����,自從 2022 年 3 月以來一直保持活躍,且在 2023 年 6 月攻擊大幅增強(qiáng)��。攻擊者在泄漏數(shù)據(jù)的網(wǎng)站上���,提供了各種常見問題的解決方案與多種聯(lián)系方式���。另一個(gè)有趣的地方是 8Base 團(tuán)伙的溝通方式與另一個(gè)已知的勒索軟件組織 RansomHouse 十分類似���。其目標(biāo)行業(yè)有商業(yè)服務(wù)、金融�、制造與信息技術(shù)。該團(tuán)伙也是雙重勒索的使用者�,多種手段并用逼迫受害者支付贖金。8Base 最近跨行業(yè)攻擊了很多目標(biāo)��,但攻擊者的身份與潛在動(dòng)機(jī)仍然不明����。盡管 8Base 勒索軟件團(tuán)伙并不一定是一個(gè)新出現(xiàn)的攻擊團(tuán)伙,但其最近激增的活動(dòng)并未引起人們的廣泛關(guān)注��。在過去的一個(gè)月內(nèi)�,8Base 也可以排得上最活躍的前兩位。除了勒索信息與擴(kuò)展名為 .8Base 的加密文件外��,其實(shí)大家對(duì) 8Base 勒索軟件知之甚少����。8Base 正在進(jìn)行瘋狂攻擊,目前只能推測(cè)其使用幾種不同的勒索軟件進(jìn)行攻擊�����。該團(tuán)伙針對(duì)小型企業(yè)的攻擊十分頻繁�����,一直處于活躍期。
在發(fā)現(xiàn) 8Base 之初���,研究人員就注意到其與 RansomHouse 之間存在明顯的相似之處�����。其勒索信息與 RansomHouse 的勒索信息相似度達(dá)到 99%。數(shù)據(jù)泄露網(wǎng)站的歡迎頁(yè)面就是從 RandomHouse 的頁(yè)面復(fù)制過來的��,服務(wù)條款頁(yè)與常見問題解答頁(yè)也是如此�。由于二者高度相似,研究人員懷疑 8Base 是否為 RansomHouse 的分支或者模仿者�����,但是RansomHouse 使用黑市上出售的各種勒索軟件進(jìn)行攻擊�,并不自行開發(fā),對(duì)于 8Base 也未能找到任何勒索軟件變種��。8Base 是否為 Phobos 或者 RandomHouse 的分支還有待觀察���,但一目了然的是 8Base 與 RansomHouse 幾乎相同�����。
隱藏在SOHO路由器中的遠(yuǎn)程訪問木馬AVrecon�����,兩年感染20個(gè)國(guó)家的7萬臺(tái)設(shè)備
最近��,通信公司Lumen的Black Lotus實(shí)驗(yàn)室在一篇博客中稱���,其發(fā)現(xiàn)了一項(xiàng)持續(xù)多年的波及全球路由器的惡意活動(dòng)——新型僵尸網(wǎng)絡(luò)“AVrecon”在未被察覺的情況下運(yùn)行了至少兩年�,感染了全球7萬臺(tái)路由器����。美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)最近就警告稱,攻擊者可利用SOHO路由器等網(wǎng)絡(luò)設(shè)備作為全球攻擊基礎(chǔ)設(shè)施并對(duì)組織網(wǎng)絡(luò)進(jìn)行無限制訪問�。而SOHO路由器更新的頻率通常較低,這更加劇了問題的嚴(yán)重性�����。例如Black Lotus研究人員分析的這個(gè)僵尸網(wǎng)絡(luò)�����,其AVrecon惡意軟件已經(jīng)感染了超過7萬臺(tái)基于Linux的路由器,并在20多個(gè)國(guó)家的4萬多個(gè)IP地址上保持著持久性控制�����。根據(jù)Black Lotus實(shí)驗(yàn)室的說法�����,AVrecon是繼ZuroRAT和HiatusRAT之后�,第三個(gè)專注于攻擊SOHO路由器的惡意軟件,主要攻擊目標(biāo)為英國(guó)和美國(guó)�。據(jù)了解��,AVrecon使用C語言編寫�����,針對(duì)ARM嵌入式設(shè)備���,特別是SOHO(小型辦公室/家庭辦公室)路由器����。Black Lotus表示,這些目標(biāo)設(shè)備通常缺乏標(biāo)準(zhǔn)端點(diǎn)安全解決方案���,因此惡意軟件可以利用已知漏洞進(jìn)行更長(zhǎng)時(shí)間的攻擊��。
Black Lotus的研究人員發(fā)現(xiàn)�,自2021年10月以來���,至少有15個(gè)這樣的服務(wù)器一直在運(yùn)行�。受感染的路由器用于與C2服務(wù)器之間的通信使用x.509證書進(jìn)行加密����,因此研究人員無法看到網(wǎng)絡(luò)犯罪分子在“密碼噴灑”攻擊中的成功率。除此之外���,受感染的設(shè)備還被用來點(diǎn)擊各種Facebook和谷歌的廣告����。Black Lotus實(shí)驗(yàn)室建議���,針對(duì)此類惡意活動(dòng)���,保持良好的習(xí)慣至關(guān)重要�����,例如定期重啟路由器以及應(yīng)用安全更新����。
黑客專為網(wǎng)絡(luò)犯罪設(shè)計(jì)的生成式人工智能WormGPT�����,用于定制真?zhèn)文娴尼烎~郵件
網(wǎng)絡(luò)安全公司SlashNext的一篇博客指出���,隨著生成式人工智能近來變得非常流行�����,越來越多黑客將這項(xiàng)技術(shù)改頭換面,用于促進(jìn)犯罪活動(dòng)���。最近�,SlashNext在地下論壇發(fā)現(xiàn)了一種名為WormGPT的新型生成式AI網(wǎng)絡(luò)犯罪工具�����。該工具自比為GPT模型的黑帽代替品,專門設(shè)計(jì)用于惡意活動(dòng)�����。攻擊者不需要熟練掌握特定語言���,也能利用該工具針對(duì)攻擊目標(biāo)定制高度逼真的釣魚郵件�,以增加釣魚成功的概率��。使用生成式人工智能進(jìn)行BEC(商業(yè)電子郵件詐騙)攻擊�,在效率之外,還具有另外幾個(gè)優(yōu)勢(shì)����。首先,它能夠創(chuàng)建在語法上無可挑剔的電子郵件��,降低被標(biāo)記為可疑郵件的可能性�����。其次��,它降低了釣魚攻擊的門檻,使得即使是技能有限的攻擊者也能夠發(fā)動(dòng)精密的攻擊���。
SlashNext安全研究團(tuán)隊(duì)對(duì)WormGPT工具進(jìn)行測(cè)試后發(fā)現(xiàn)��,其基于GPTJ語言模型����,具有無限字符支持���、聊天記憶保留和代碼格式化等功能特點(diǎn)�����。據(jù)稱����,該工具在各種數(shù)據(jù)源上進(jìn)行過訓(xùn)練���,特別是與惡意軟件相關(guān)的數(shù)據(jù)�。個(gè)人和組織需要意識(shí)到這些風(fēng)險(xiǎn)����,為防范此類AI驅(qū)動(dòng)的BEC攻擊,有必要了解最新的人工智能技術(shù)及其對(duì)網(wǎng)絡(luò)安全的潛在影響�����,并采取適當(dāng)措施來保護(hù)自己免受侵害��,例如多因素身份驗(yàn)證和電子郵件過濾��。
2023年第二季度郵件安全觀察:詐騙郵件內(nèi)容更加流利
根據(jù)ASRC (Asia Spam-message Research Center) 研究中心與守內(nèi)安公司的監(jiān)測(cè)觀察�,2023年第二季度,全球整體垃圾郵件����、釣魚郵件數(shù)量小幅上升,常見病毒附文件郵件有些許減少��,來自新申請(qǐng)域名的垃圾郵件約較上季增加60%����。可能因?yàn)榻衲瓿跻詠?����,生成式AI工具的應(yīng)用爆發(fā)����,讓語言在郵件的隔閡明顯被打破:這些過去常用英語書寫的詐騙郵件�,轉(zhuǎn)成中文內(nèi)容時(shí)�����,變得比過去更加流利了�;同樣的情況也發(fā)生在過去出現(xiàn)在非英語語系流行的詐騙郵件,英文的詐騙內(nèi)容文法變得流利����,更不容易看出破綻。另一個(gè)較特別的威脅郵件是簡(jiǎn)體中文的釣魚郵件�����,數(shù)量較上一季飆升許多��,濫發(fā)時(shí)間落在三月底四月初�����。
研究人員觀察了許多樣本����,發(fā)現(xiàn)利用IPFS建設(shè)的釣魚網(wǎng)站�,由于其分散系統(tǒng)的特性���,沒有中央機(jī)構(gòu)可以對(duì)它稽查或管理,再加上IPFS還可搭配縮址�、轉(zhuǎn)址等功能進(jìn)行更復(fù)雜的蒙騙或躲避稽查,未來可能會(huì)變成釣魚網(wǎng)站存在的主流趨勢(shì)���。企業(yè)防御最直接的方式是避免接觸這類的釣魚郵件,采用有效的郵件掃描機(jī)制是一個(gè)好方法�����;此外����,在無必要使用IPFS的前提下,直接隔離IPFS網(wǎng)址�����,也可讓此類風(fēng)險(xiǎn)大幅度降低����。
美國(guó)學(xué)生遭遇求職詐騙郵件“轟炸”��!
近日��,有威脅行為者冒充生物科學(xué)�、醫(yī)療保健和生物技術(shù)公司來欺騙北美求職者����。網(wǎng)絡(luò)安全公司Proofpoint表示:裁員潮影響到了各行各業(yè)的人,因此威脅行為者開始在勞動(dòng)市場(chǎng)里制造出一些就業(yè)騙局��,并試圖從求職者那里騙取一些資金�。此外,有專家還發(fā)現(xiàn)了一種專門針對(duì)該國(guó)北部學(xué)生的新垃圾郵件活動(dòng)����。這種騙局一開始只會(huì)給學(xué)生發(fā)送一則無關(guān)痛癢的信息,這些信息的來源通常來自生物科學(xué)�、醫(yī)療保健或生物技術(shù)公司。該消息也可能是一則虛假的面試邀請(qǐng)���,里面包含一個(gè)PDF文件��,其中包含有關(guān)該職位的更多信息��。發(fā)送該消息的人會(huì)邀請(qǐng)人們?cè)诘谌狡脚_(tái)上進(jìn)行視頻或聊天面試�����,以獲取到他們的更多信息����,并為他們的角色做好準(zhǔn)備����。雖然Proofpoint無法確認(rèn)視頻聊天中對(duì)這些求職者提出的的具體問題都是什么,但研究人員根據(jù)之前類似的活動(dòng)推測(cè)���,這些惡意攻擊者可能會(huì)告訴這些求職者他們需要預(yù)付設(shè)備費(fèi)用���,然后將騙取到的錢財(cái)收入囊中。
專家們將這類騙局歸類為預(yù)付款欺詐(AFF)活動(dòng)。雖然這類活動(dòng)是在今年3月份首次發(fā)現(xiàn)的���,但與之相似的欺詐行為已經(jīng)存在多年�����。大學(xué)生經(jīng)常是網(wǎng)絡(luò)罪犯的常見目標(biāo)��,因?yàn)榭紤]到學(xué)生的靈活性��,并可以接受遠(yuǎn)程工作的形式��,同時(shí)也比較缺乏識(shí)別欺詐行為的經(jīng)驗(yàn)���,正因如此他們才會(huì)更大概率的遭遇就業(yè)騙局��。該公司表示:不斷上升的通貨膨脹和教育成本正在給學(xué)生的財(cái)務(wù)狀況帶來壓力����,這也使得詐騙郵件中提記得能實(shí)現(xiàn)快速賺錢的承諾更具吸引力。
成千上萬的 OpenAI 憑證在暗網(wǎng)上待售
Flare 的安全研究人員在分析暗網(wǎng)論壇和市場(chǎng)時(shí)注意到�����,OpenAI 證書是最新待售的商品之一���, 目前可以確定了約有 20 多萬個(gè) OpenAI 證書以竊取日志的形式在暗網(wǎng)上出售����。雖然這一數(shù)字與 OpenAI 1 月份 1 億活躍用戶相比����,似乎微不足道�,但也能說明網(wǎng)絡(luò)攻擊者“看到”了生成式人工智能工具蘊(yùn)藏的破壞力。2023 年 6 月�,網(wǎng)絡(luò)安全公司 Group IB 在一份報(bào)告中指出超過101100個(gè)被泄露的 OpenAI ChatGPT 賬戶憑證在非法的暗網(wǎng)市場(chǎng)上待售?���?梢娫S多網(wǎng)絡(luò)犯罪分子都盯上了人工智能��,甚至有一網(wǎng)絡(luò)攻擊者還開發(fā)了一個(gè)名為 WormGPT 的盜版 ChatGPT�,并對(duì)其進(jìn)行了針對(duì)惡意軟件的數(shù)據(jù)訓(xùn)練���, 該工具也被被宣傳為“黑帽的最佳 GPT 替代品”��。
研究人員指出在一項(xiàng)實(shí)驗(yàn)中����,指示 WormGPT 生成一封電子郵件�����,旨在向毫無戒心的客戶經(jīng)理施壓���,迫使其支付欺詐發(fā)票�。結(jié)果����,WormGPT 生成的電子郵件不僅極具說服力,而且在戰(zhàn)略上非常狡猾�����,完美展示了其在復(fù)雜的網(wǎng)絡(luò)釣魚和 BEC 攻擊中的潛力。研究人員指出盡管抵御這種威脅可能比較困難��,但是并非不能防御�����。
雙重傷害�!雅詩(shī)蘭黛同時(shí)遭遇兩個(gè)勒索軟件的攻擊
據(jù)BleepingComputer 7月19日消息,化妝品巨頭雅詩(shī)蘭黛最近遭到了來自兩個(gè)不同勒索軟件的攻擊����。在7月18日提交給美國(guó)證券交易委員會(huì) (SEC) 的文件中,雅詩(shī)蘭黛公司證實(shí)了其中一次攻擊��,稱攻擊者獲得了其部分系統(tǒng)的訪問權(quán)限��,并可能竊取了數(shù)據(jù)��。該公司沒有提供有關(guān)該事件的太多細(xì)節(jié)�,稱其積極采取行動(dòng)并關(guān)閉了一些系統(tǒng),但已這次攻擊似乎是受MOVEit Transfer漏洞的影響�,讓Clop 勒索軟件獲得了對(duì)該公司的訪問權(quán)限�����。在其數(shù)據(jù)泄露網(wǎng)站上,Clop 列出了雅詩(shī)蘭黛��,并注明已經(jīng)獲取了131GB的數(shù)據(jù)�����。與此同時(shí)���,BlackCat 勒索軟件組織也將雅詩(shī)蘭黛添加到了受害者名單中��,并表示雅詩(shī)蘭黛對(duì)勒索郵件保持沉默讓他們感到不滿�����。
雅詩(shī)蘭黛的安全專家表示���,盡管該公司使用了微軟的檢測(cè)和響應(yīng)團(tuán)隊(duì) (DART) 和 Mandiant,但網(wǎng)絡(luò)仍然受到威脅��,他們?nèi)匀豢梢栽L問���。BlackCat表示��,他們沒有對(duì)公司的任何系統(tǒng)進(jìn)行加密����,并補(bǔ)充說,除非雅詩(shī)蘭黛參與談判���,否則他們將透露有關(guān)被盜數(shù)據(jù)的更多細(xì)節(jié)�����,并暗示泄露的信息可能會(huì)影響客戶�、公司員工和供應(yīng)商�。在向 SEC 提交的文件中,雅詩(shī)蘭黛重點(diǎn)強(qiáng)調(diào)了補(bǔ)救措施�,包括恢復(fù)受影響的系統(tǒng)和服務(wù),并對(duì)可能造成的持續(xù)性影響做了評(píng)估�。