8Base 是一個勒索軟件團伙��,自從 2022 年 3 月以來一直保持活躍��,且在 2023 年 6 月攻擊大幅增強�����。攻擊者在泄漏數(shù)據(jù)的網(wǎng)站上����,提供了各種常見問題的解決方案與多種聯(lián)系方式�����。另一個有趣的地方是 8Base 團伙的溝通方式與另一個已知的勒索軟件組織 RansomHouse 十分類似���。其目標行業(yè)有商業(yè)服務��、金融、制造與信息技術�����。該團伙也是雙重勒索的使用者����,多種手段并用逼迫受害者支付贖金�。8Base 最近跨行業(yè)攻擊了很多目標,但攻擊者的身份與潛在動機仍然不明��。盡管 8Base 勒索軟件團伙并不一定是一個新出現(xiàn)的攻擊團伙���,但其最近激增的活動并未引起人們的廣泛關注�����。在過去的一個月內(nèi)��,8Base 也可以排得上最活躍的前兩位���。除了勒索信息與擴展名為 .8Base 的加密文件外����,其實大家對 8Base 勒索軟件知之甚少。8Base 正在進行瘋狂攻擊�����,目前只能推測其使用幾種不同的勒索軟件進行攻擊�����。該團伙針對小型企業(yè)的攻擊十分頻繁�����,一直處于活躍期��。
在發(fā)現(xiàn) 8Base 之初���,研究人員就注意到其與 RansomHouse 之間存在明顯的相似之處。其勒索信息與 RansomHouse 的勒索信息相似度達到 99%��。數(shù)據(jù)泄露網(wǎng)站的歡迎頁面就是從 RandomHouse 的頁面復制過來的�����,服務條款頁與常見問題解答頁也是如此。由于二者高度相似��,研究人員懷疑 8Base 是否為 RansomHouse 的分支或者模仿者���,但是RansomHouse 使用黑市上出售的各種勒索軟件進行攻擊����,并不自行開發(fā)��,對于 8Base 也未能找到任何勒索軟件變種��。8Base 是否為 Phobos 或者 RandomHouse 的分支還有待觀察�,但一目了然的是 8Base 與 RansomHouse 幾乎相同。
隱藏在SOHO路由器中的遠程訪問木馬AVrecon���,兩年感染20個國家的7萬臺設備
最近���,通信公司Lumen的Black Lotus實驗室在一篇博客中稱,其發(fā)現(xiàn)了一項持續(xù)多年的波及全球路由器的惡意活動——新型僵尸網(wǎng)絡“AVrecon”在未被察覺的情況下運行了至少兩年��,感染了全球7萬臺路由器�。美國網(wǎng)絡安全與基礎設施安全局(CISA)最近就警告稱,攻擊者可利用SOHO路由器等網(wǎng)絡設備作為全球攻擊基礎設施并對組織網(wǎng)絡進行無限制訪問�。而SOHO路由器更新的頻率通常較低����,這更加劇了問題的嚴重性���。例如Black Lotus研究人員分析的這個僵尸網(wǎng)絡����,其AVrecon惡意軟件已經(jīng)感染了超過7萬臺基于Linux的路由器��,并在20多個國家的4萬多個IP地址上保持著持久性控制��。根據(jù)Black Lotus實驗室的說法���,AVrecon是繼ZuroRAT和HiatusRAT之后,第三個專注于攻擊SOHO路由器的惡意軟件��,主要攻擊目標為英國和美國�����。據(jù)了解��,AVrecon使用C語言編寫���,針對ARM嵌入式設備��,特別是SOHO(小型辦公室/家庭辦公室)路由器���。Black Lotus表示���,這些目標設備通常缺乏標準端點安全解決方案,因此惡意軟件可以利用已知漏洞進行更長時間的攻擊��。
Black Lotus的研究人員發(fā)現(xiàn)��,自2021年10月以來����,至少有15個這樣的服務器一直在運行。受感染的路由器用于與C2服務器之間的通信使用x.509證書進行加密�,因此研究人員無法看到網(wǎng)絡犯罪分子在“密碼噴灑”攻擊中的成功率。除此之外�,受感染的設備還被用來點擊各種Facebook和谷歌的廣告。Black Lotus實驗室建議���,針對此類惡意活動����,保持良好的習慣至關重要,例如定期重啟路由器以及應用安全更新�。
黑客專為網(wǎng)絡犯罪設計的生成式人工智能WormGPT,用于定制真?zhèn)文娴尼烎~郵件
網(wǎng)絡安全公司SlashNext的一篇博客指出��,隨著生成式人工智能近來變得非常流行�����,越來越多黑客將這項技術改頭換面�����,用于促進犯罪活動����。最近��,SlashNext在地下論壇發(fā)現(xiàn)了一種名為WormGPT的新型生成式AI網(wǎng)絡犯罪工具����。該工具自比為GPT模型的黑帽代替品,專門設計用于惡意活動�����。攻擊者不需要熟練掌握特定語言,也能利用該工具針對攻擊目標定制高度逼真的釣魚郵件��,以增加釣魚成功的概率�����。使用生成式人工智能進行BEC(商業(yè)電子郵件詐騙)攻擊�,在效率之外,還具有另外幾個優(yōu)勢���。首先�����,它能夠創(chuàng)建在語法上無可挑剔的電子郵件�����,降低被標記為可疑郵件的可能性���。其次,它降低了釣魚攻擊的門檻��,使得即使是技能有限的攻擊者也能夠發(fā)動精密的攻擊。
SlashNext安全研究團隊對WormGPT工具進行測試后發(fā)現(xiàn)�,其基于GPTJ語言模型,具有無限字符支持���、聊天記憶保留和代碼格式化等功能特點�����。據(jù)稱���,該工具在各種數(shù)據(jù)源上進行過訓練,特別是與惡意軟件相關的數(shù)據(jù)�����。個人和組織需要意識到這些風險����,為防范此類AI驅(qū)動的BEC攻擊��,有必要了解最新的人工智能技術及其對網(wǎng)絡安全的潛在影響���,并采取適當措施來保護自己免受侵害�,例如多因素身份驗證和電子郵件過濾。
2023年第二季度郵件安全觀察:詐騙郵件內(nèi)容更加流利
根據(jù)ASRC (Asia Spam-message Research Center) 研究中心與守內(nèi)安公司的監(jiān)測觀察�����,2023年第二季度����,全球整體垃圾郵件、釣魚郵件數(shù)量小幅上升���,常見病毒附文件郵件有些許減少�,來自新申請域名的垃圾郵件約較上季增加60%��?����?赡芤驗榻衲瓿跻詠?��,生成式AI工具的應用爆發(fā)����,讓語言在郵件的隔閡明顯被打破:這些過去常用英語書寫的詐騙郵件�����,轉成中文內(nèi)容時,變得比過去更加流利了�;同樣的情況也發(fā)生在過去出現(xiàn)在非英語語系流行的詐騙郵件,英文的詐騙內(nèi)容文法變得流利��,更不容易看出破綻����。另一個較特別的威脅郵件是簡體中文的釣魚郵件,數(shù)量較上一季飆升許多����,濫發(fā)時間落在三月底四月初。
研究人員觀察了許多樣本�,發(fā)現(xiàn)利用IPFS建設的釣魚網(wǎng)站,由于其分散系統(tǒng)的特性�����,沒有中央機構可以對它稽查或管理����,再加上IPFS還可搭配縮址����、轉址等功能進行更復雜的蒙騙或躲避稽查��,未來可能會變成釣魚網(wǎng)站存在的主流趨勢����。企業(yè)防御最直接的方式是避免接觸這類的釣魚郵件����,采用有效的郵件掃描機制是一個好方法;此外����,在無必要使用IPFS的前提下,直接隔離IPFS網(wǎng)址���,也可讓此類風險大幅度降低���。
近日�,有威脅行為者冒充生物科學、醫(yī)療保健和生物技術公司來欺騙北美求職者�����。網(wǎng)絡安全公司Proofpoint表示:裁員潮影響到了各行各業(yè)的人,因此威脅行為者開始在勞動市場里制造出一些就業(yè)騙局��,并試圖從求職者那里騙取一些資金��。此外�����,有專家還發(fā)現(xiàn)了一種專門針對該國北部學生的新垃圾郵件活動�����。這種騙局一開始只會給學生發(fā)送一則無關痛癢的信息����,這些信息的來源通常來自生物科學、醫(yī)療保健或生物技術公司���。該消息也可能是一則虛假的面試邀請�,里面包含一個PDF文件����,其中包含有關該職位的更多信息。發(fā)送該消息的人會邀請人們在第三方平臺上進行視頻或聊天面試�����,以獲取到他們的更多信息�����,并為他們的角色做好準備�����。雖然Proofpoint無法確認視頻聊天中對這些求職者提出的的具體問題都是什么�����,但研究人員根據(jù)之前類似的活動推測�,這些惡意攻擊者可能會告訴這些求職者他們需要預付設備費用,然后將騙取到的錢財收入囊中����。
專家們將這類騙局歸類為預付款欺詐(AFF)活動。雖然這類活動是在今年3月份首次發(fā)現(xiàn)的��,但與之相似的欺詐行為已經(jīng)存在多年�。大學生經(jīng)常是網(wǎng)絡罪犯的常見目標,因為考慮到學生的靈活性�����,并可以接受遠程工作的形式,同時也比較缺乏識別欺詐行為的經(jīng)驗���,正因如此他們才會更大概率的遭遇就業(yè)騙局���。該公司表示:不斷上升的通貨膨脹和教育成本正在給學生的財務狀況帶來壓力,這也使得詐騙郵件中提記得能實現(xiàn)快速賺錢的承諾更具吸引力���。
成千上萬的 OpenAI 憑證在暗網(wǎng)上待售
Flare 的安全研究人員在分析暗網(wǎng)論壇和市場時注意到�,OpenAI 證書是最新待售的商品之一���, 目前可以確定了約有 20 多萬個 OpenAI 證書以竊取日志的形式在暗網(wǎng)上出售��。雖然這一數(shù)字與 OpenAI 1 月份 1 億活躍用戶相比�����,似乎微不足道��,但也能說明網(wǎng)絡攻擊者“看到”了生成式人工智能工具蘊藏的破壞力����。2023 年 6 月,網(wǎng)絡安全公司 Group IB 在一份報告中指出超過101100個被泄露的 OpenAI ChatGPT 賬戶憑證在非法的暗網(wǎng)市場上待售�����?��?梢娫S多網(wǎng)絡犯罪分子都盯上了人工智能,甚至有一網(wǎng)絡攻擊者還開發(fā)了一個名為 WormGPT 的盜版 ChatGPT�,并對其進行了針對惡意軟件的數(shù)據(jù)訓練, 該工具也被被宣傳為“黑帽的最佳 GPT 替代品”�。
研究人員指出在一項實驗中,指示 WormGPT 生成一封電子郵件�,旨在向毫無戒心的客戶經(jīng)理施壓,迫使其支付欺詐發(fā)票��。結果�����,WormGPT 生成的電子郵件不僅極具說服力���,而且在戰(zhàn)略上非常狡猾�����,完美展示了其在復雜的網(wǎng)絡釣魚和 BEC 攻擊中的潛力����。研究人員指出盡管抵御這種威脅可能比較困難,但是并非不能防御��。
據(jù)BleepingComputer 7月19日消息��,化妝品巨頭雅詩蘭黛最近遭到了來自兩個不同勒索軟件的攻擊���。在7月18日提交給美國證券交易委員會 (SEC) 的文件中�����,雅詩蘭黛公司證實了其中一次攻擊����,稱攻擊者獲得了其部分系統(tǒng)的訪問權限�����,并可能竊取了數(shù)據(jù)。該公司沒有提供有關該事件的太多細節(jié)���,稱其積極采取行動并關閉了一些系統(tǒng)���,但已這次攻擊似乎是受MOVEit Transfer漏洞的影響,讓Clop 勒索軟件獲得了對該公司的訪問權限�����。在其數(shù)據(jù)泄露網(wǎng)站上�,Clop 列出了雅詩蘭黛���,并注明已經(jīng)獲取了131GB的數(shù)據(jù)��。與此同時�,BlackCat 勒索軟件組織也將雅詩蘭黛添加到了受害者名單中��,并表示雅詩蘭黛對勒索郵件保持沉默讓他們感到不滿����。
雅詩蘭黛的安全專家表示,盡管該公司使用了微軟的檢測和響應團隊 (DART) 和 Mandiant�����,但網(wǎng)絡仍然受到威脅,他們?nèi)匀豢梢栽L問��。BlackCat表示��,他們沒有對公司的任何系統(tǒng)進行加密�,并補充說,除非雅詩蘭黛參與談判����,否則他們將透露有關被盜數(shù)據(jù)的更多細節(jié),并暗示泄露的信息可能會影響客戶����、公司員工和供應商。在向 SEC 提交的文件中����,雅詩蘭黛重點強調(diào)了補救措施,包括恢復受影響的系統(tǒng)和服務���,并對可能造成的持續(xù)性影響做了評估����。