在明面上隱藏的威脅:攻擊者在網站圖片中偷偷植入惡意軟件
HP Inc. 最近發佈的最新《威脅洞察報告》指出,威脅行為者正利用惡意軟件工具包和生成式人工智能(GenAI)來提升其攻擊的效率。這些工具減少了創建攻擊組件所需的時間和技能,使攻擊者能夠專注於實驗技術,以繞過檢測並誘騙受害者感染其終端設備,例如在圖片中嵌入惡意代碼。
該報告分析了現實世界中的網絡攻擊,幫助組織跟上網絡罪犯使用的最新技術,以逃避檢測並入侵個人電腦。在基於數百萬個運行 HP Wolf Security 的終端數據的基礎上,HP 威脅研究人員識別出一些顯著的攻擊活動,包括:
— **惡意軟件工具包的使用**:HP 威脅研究人員觀察到大型攻擊活動正在傳播 VIP Keylogger 和 0bj3ctivityStealer 惡意軟件,這些活動利用相同的技術和加載器,表明使用惡意軟件工具包來傳遞不同的有效載荷。在這兩個活動中,攻擊者將相同的惡意代碼隱藏在 archive.org 等文件托管網站的圖片中,同時使用相同的加載器來安裝最終的有效載荷。這種技術幫助攻擊者繞過檢測,因為從知名網站下載的圖片文件看似無害,從而避開依賴聲譽的網絡安全措施,如網頁代理。
— **GenAI 協助創建惡意 HTML 文檔**:研究人員還識別出一個由 HTML 走私引發的 XWorm 遠程訪問木馬(RAT)活動,該活動包含下載並運行惡意軟件的代碼。值得注意的是,與前一季度分析的 AsyncRAT 活動類似,這個加載器的特徵表明可能是借助 GenAI 編寫的,例如包含逐行描述和 HTML 頁面的設計。
— **遊戲作弊者的潛在風險**:攻擊者正在入侵 GitHub 上的視頻遊戲作弊工具和修改庫,添加包含 Lumma Stealer 惡意軟件的可執行文件。這種信息竊取工具會刮取受害者的密碼、加密貨幣錢包和瀏覽器信息。用戶經常停用安全工具以下載和使用作弊工具,這使他們在沒有隔離技術的情況下更容易受到感染。
HP 安全實驗室的首席威脅研究員 Alex Holland 評論道:
“這些分析的活動進一步證明了網絡犯罪的商品化。隨著惡意軟件工具包的更廣泛可用性、實惠性和易用性,即使是技能和知識有限的初學者也能組建有效的感染鏈。將 GenAI 混合進來以編寫腳本,進入的門檻變得更加低。這使得團體能集中精力欺騙目標並選擇最佳的有效載荷,例如針對使用惡意作弊庫的玩家。”
HP Wolf Security 通過隔離那些已經逃避檢測工具的威脅,同時安全地引爆惡意軟件,對網絡罪犯使用的最新技術有了具體的洞察。截至目前,HP Wolf Security 的客戶已經點擊超過 650 億個電子郵件附件、網頁和下載文件,並未報告任何安全漏洞。
該報告檢查了 2024 年第三季度的數據,詳細說明了網絡罪犯如何不斷多樣化攻擊方法,以繞過依賴檢測的安全工具,例如:
— HP Sure Click 識別的電子郵件威脅中至少有 11% 繞過了一個或多個電子郵件網關掃描器。
— 可執行文件是最受歡迎的惡意軟件傳遞類型(佔 40%),其次是壓縮文件(佔 34%)。
— .lzh 文件的顯著增加,佔分析的壓縮文件的 11%——大多數惡意的 .lzh 壓縮文件針對講日語的用戶。
HP Inc. 在愛爾蘭的國家經理 Neil Dover 評論道:
“網絡罪犯正在迅速增加其攻擊的方法、數量和速度。如果一個惡意的 Excel 文檔被封鎖,那麼下一次攻擊中的壓縮文件可能會溜過網絡。組織應該專注於減少攻擊面,而不是試圖檢測快速變化的感染方法。這意味著需要隔離和限制風險活動,例如打開電子郵件附件、點擊鏈接和瀏覽器下載,以減少漏洞的可能性。”
HP Wolf Security 在終端上運行隔離的、硬件強制的虛擬機來執行風險任務,以保護用戶而不影響其生產力。它還捕獲試圖感染的詳細痕跡。HP 的應用隔離技術能夠減輕那些能夠繞過其他安全工具的威脅,並提供對入侵技術和威脅行為者行為的獨特洞察。
在這個數字時代,企業需要加強對網絡安全的重視。隨著攻擊者的手段越來越隱蔽,傳統的防禦措施將無法完全應對。因此,企業應該考慮採用更全面的安全策略,像 HP Wolf Security 這樣的技術不僅能提升防護能力,也能幫助識別和應對潛在的安全威脅。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
