在最后一章中,我们分析了一些桌面恶意软件和移动恶意软件。本章将分析恶意攻击中的加密货币挖掘恶意软件和新的攻击趋势。
恶意加密货币挖掘软件开发了危险功能
加密货币挖掘恶意软件窃取系统上的资源将挖掘加密货币以获取收入。攻击者使用此恶意软件攻击个人系统和主要公司网络。到目前为止,加密货币挖掘恶意软件仍主要用于此目的。然而,在2020年第三季度,攻击者增加了加密货币挖掘恶意软件的功能,如窃取证书或访问能力。
这一变化使得加密货币挖掘恶意软件对组织更加危险,而不仅仅是对企业数字资源的威胁。由于加密货币挖掘恶意软件的操作人员出于经济动机,他们可以通过出售被盗受害者的数据来利用这些新功能进一步获利。2020年第三季度,研究人员发现,许多加密货币挖掘恶意软件运营商在其恶意软件中增加了加密以外的功能。
据报道,2020年7月28日,一种叫做Doki使用新的恶意软件变种Dogecoin动态生成命令和控制加密货币区块链(C2)域来感染Docker服务器。僵尸网络开始传播,而不是提供加密货币挖掘的恶意软件Doki。Doki使用多线程恶意软件Dogecoin区块链以动态的方式生成C2域名地址实现了与运营商通信的无文件方式。今年8月,Intezer研究人员发现了一种利用无文件技术绕过检测的方法Linux恶意软件——Doki。2020年1月14日上传VirusTotal之后,60个恶意软件检测引擎对其进行了检测分析。Doki 成功绕过了这些发动机的检测,其攻击目标主要是在公共云平台上Docker包括服务器AWS、Azure和阿里云。
Doki恶意软件的功能包括:
执行从运营者处接收的命令;
使用Dogecoin 区块链浏览器实时动态生成C2域名;
使用embedTLS用于加密和网络通信;
短期有效的结构URL,并使用这些URL来下载payload;
20208月17日,研究人员发现了一个名字TeamTNT网络犯罪组织的活动似乎是第一个从感染服务器中窃取的Amazon Web Services(AWS)加密采矿恶意软件操作凭证。
2020详细描述发生在8月21日Monero挖掘脚本的报告称脚本已嵌入AWS Community Amazon Machine Instances(AMI)的Elastic Cloud Compute(EC2)在服务器中。尽管恶意软件的主要目标是加密货币挖掘,但它也允许攻击者连接到Windows计算机并使用它来访问环境的其他敏感区域,如受影响的访问AWS账户的整个EC2基础架构。
2020年8月25日,观察到Lemon_Duck通过SSH基于暴力破解攻击Linux的系统,从而感染运行Redis和Hadoop实例服务器。Lemon_Duck添加一个用途CVE-2020-0796该模块也被称为模块SMBGhost,它是Windows SMBv3远程执行代码的客户端(CE)允许攻击者在感染计算机上收集信息的漏洞。
与“传统”与加密货币挖掘恶意软件相比,上述新的恶意功能可能会对组织系统造成更大的损害。您可以了解新泽西网络安全和通信集成小组对流行的加密货币挖掘恶意软件变体的研究。
移动恶意软件
在2020年第三季度,基于Android恶意软件主导了整个季度的攻击趋势。这是2020年第二季度观察到的结果的延续。当时,一些移动恶意软件,如SpyNote再次浮出水面。本季度末,Recorded Future观察到,由于恶意软件源代码的泄露,关于Cerberus银行木马的使用量激增。尽管这些恶意软件的功能不同,但它们在不知情的情况下被盗Android用户数据的核心功能证明,移动恶意软件经历了从间谍软件到木马的持续发展,正如前两个季度所反映的那样。
第三季度以Android移动恶意软件的趋势主要是恶意软件
SpyNote
以移动恶意软件为例,Recorded Future观察到2020年第三季度在多个地下论坛上SpyNote的讨论。SpyNote,也称为SpyMax Android RAT,它是一种恶意软件,具有许多监控功能,包括按钮记录、位置详细信息和远程命令执行。该工具的开发人员被称为“Scream”,很活在中东的母语很可能是阿拉伯语,他活跃在阿拉伯语黑客论坛上Sa3ka上。
2020年第二季度,研究人员报道了新冠肺炎疫情钓鱼攻击的全球分布,其中一些被使用SpyNote恶意软件。虽然研究人员看到与新冠肺炎疫情相关的移动恶意软件诱饵数量下降,但SpyNote仍然是2020年第三季度地下论坛(如破解论坛)上的热门话题。论坛上的帖子显示了SpyNote可持续发展,并发布本6.4声称新版本增加了应用程序的稳定性、加密功能和改进的图形用户界面,SpyMax另一个是由同一开发者开发的Android RAT。
基于观察到的地下活动,Insikt Group认为SpyNote将继续被攻击者使用,特别是在中东和东南亚Android用户众多的地区。
Cerberus银行木马
Cerberus银行木马最早出现在2019年6月,当时研究人员将木马视为Anubis的变体进行分析命名。然而其开发者在Twitter并建议安全制造商将其命名为:Trojan-Android:Banker-Cerberus,至此Cerberus(地狱犬)正式出现在公众视野中。
Cerberus开发人员声称,过去两年一直处于试运行阶段,目前正在寻找合作伙伴,并正式开始在地下论坛上租赁。Cerberus拥有专门的销售渠道,目前客户广泛,其木马经过不断更新,已能够适应大多数国家。Cerberus开发人员还声称,代码不是继承的Anubis或者其他银行木马,而是重写的。进入2020年后,Cerberus它变得更加活跃,木马可以在功能更新后被盗Google Authenticator应用创建的2-FactorAuthentication(2FA)代码可以绕过身份验证服务并启动TeamViewer实行远控。
而且借着“新型冠状病毒”在全球爆发全球爆发“新型冠状病毒”作为诱饵传播,成为第一个借款“新型冠状病毒”移动木马的传播。
2020年7月,Recorded Future观察到Cerberus Android木马项目的开发商或卖方“ ANDROID-Cerberus”,在Exploit和XSS该软件在论坛上拍卖,包括源代码、管理面板源代码、有效负载服务器和拥有所有有效许可证和联系信息的客户数据库。拍卖的起价是2.5万美元,恶意软件也可以直接以1万美元购买。2020年8月11日,开发1日停止了,因为他们没有时间维护他们开发的恶意软件Cerberus维护,并共享Cerberus基础设施的源代码包括Cerberus v1,Cerberus v2 ,安装脚本管理面板和 SQL DB,攻击者还共享了所有可用的网络注入。
源代码包括多个精心设计的网页,可以模拟银行、金融机构和社交网络。Cerberus滥用Android执行可访问性功能Web用户手机上的各种数据(包括短信,Google Authenticator解锁代码和设备的模式),因此双因素身份验证(2FA)这种攻击不能完全缓解,数百名攻击者可能会在日常欺诈活动中使用泄漏的代码和方法。由于源代码的发布,银行和金融机构可能会看到欺诈尝试的激增。
预测攻击趋势
20202010年10月1日,财政部发布了两份咨询报告,以提高人们对勒索软件攻击的理解,并总结了与恶意软件在线活动相关的勒索软件支付相关的攻击风险。这些通知显示了美国在勒索软件攻击和支付赎金方面的强硬立场。美国政府建议组织不支付赎金,因为赎金不仅意味着受害者的妥协,而且还会给攻击者带来可观的好处,这可能会损害美国的国家安全和外交政策目标。然而,美国内部并没有形成统一的响应机制,也没有统一的联邦法规来解决组织应该如何处理快速增长的勒索软件攻击问题。
勒索软件运营商可能会继续存在,并继续使用勒索手段进行各种攻击。然而,财政部的建议和相关报告可能会影响勒索软件的传播趋势和赎金态度的变化,并可能改变在线保险公司的计算方法。根据总成本,在线保险公司通常愿意支付赎金,即使有替代方案。尽管有上述建议,但受害者可能别无选择,只能支付赎金,因为他们担心客户的敏感数据会导致公共关系和法律后果。
Emotet2020年第四季度,运营商可能会继续不受约束地向大量受害者传播恶意软件。然而,攻击运营商可能会有类似于2019年底观察到的减少趋势。当时,研究人员观察到2019年12月至2020年1月中旬的活动减少。尽管如此,Emotet它仍然是各组织面临的主要攻击威胁,因为它主要是其他恶意软件的传播程序,包括不同类型的勒索软件。CISA和MS-ISAC这一点在2020年10月6日发布的一份警告中得到了强调,该警告称利用Emotet针对州和地方政府的恶意网络攻击者,网络钓鱼电子邮件将大幅增加。企业应熟悉Emotet的TTP,并遵循CISA和MS-ISAC缓解概述。
虽然加密货币挖掘恶意软件在安全团队的优先攻击列表中排名较低,但上述研究趋势表明,恶意软件类别具有可能对组织产生重大影响的危险功能的潜力。如果攻击者开始使用预先存在的加密货币挖掘恶意软件感染,或使用加密货币挖掘恶意软件作为初始感染载体,恶意软件操作人员可以使用感染传播更危险的恶意软件,如勒索软件或其他变体来泄露盗窃数据。如果加密货币挖掘恶意软件增加功能的趋势继续下去,研究人员可能会看到更多的攻击者在2020年第四季度和2021年初使用这些感染作为攻击平台。
Android由于恶意软件仍然是影响网络安全的主导力量,因为Android广泛使用操作系统设备(占所有智能手机用户的75%)和恶意软件中传播的动态工具集,攻击者可能在2020年第四季度以前继续使用Android恶意软件攻击用户。除了一般Android研究人员认为,由于恶意软件,Cerberus Banking Trojan随着源代码的发布,银行和金融机构的欺诈尝试将激增。受木马影响的组织应熟悉相关组织TTP,加强对受攻击客户账户的防御能力。
本文翻译自:https://www.recordedfuture.com/q3-malware-trends/如果转载,请注明原始地址。