8Base 是一個勒索軟件團伙,自從 2022 年 3 月以來一直保持活躍,且在 2023 年 6 月攻擊大幅增強。攻擊者在泄漏數(shù)據(jù)的網(wǎng)站上,提供了各種常見問題的解決方案與多種聯(lián)系方式。另一個有趣的地方是 8Base 團伙的溝通方式與另一個已知的勒索軟件組織 RansomHouse 十分類似。其目標行業(yè)有商業(yè)服務、金融、制造與信息技術。該團伙也是雙重勒索的使用者,多種手段并用逼迫受害者支付贖金。8Base 最近跨行業(yè)攻擊了很多目標,但攻擊者的身份與潛在動機仍然不明。盡管 8Base 勒索軟件團伙并不一定是一個新出現(xiàn)的攻擊團伙,但其最近激增的活動并未引起人們的廣泛關注。在過去的一個月內(nèi),8Base 也可以排得上最活躍的前兩位。除了勒索信息與擴展名為 .8Base 的加密文件外,其實大家對 8Base 勒索軟件知之甚少。8Base 正在進行瘋狂攻擊,目前只能推測其使用幾種不同的勒索軟件進行攻擊。該團伙針對小型企業(yè)的攻擊十分頻繁,一直處于活躍期。
在發(fā)現(xiàn) 8Base 之初,研究人員就注意到其與 RansomHouse 之間存在明顯的相似之處。其勒索信息與 RansomHouse 的勒索信息相似度達到 99%。數(shù)據(jù)泄露網(wǎng)站的歡迎頁面就是從 RandomHouse 的頁面復制過來的,服務條款頁與常見問題解答頁也是如此。由于二者高度相似,研究人員懷疑 8Base 是否為 RansomHouse 的分支或者模仿者,但是RansomHouse 使用黑市上出售的各種勒索軟件進行攻擊,并不自行開發(fā),對于 8Base 也未能找到任何勒索軟件變種。8Base 是否為 Phobos 或者 RandomHouse 的分支還有待觀察,但一目了然的是 8Base 與 RansomHouse 幾乎相同。
隱藏在SOHO路由器中的遠程訪問木馬AVrecon,兩年感染20個國家的7萬臺設備
最近,通信公司Lumen的Black Lotus實驗室在一篇博客中稱,其發(fā)現(xiàn)了一項持續(xù)多年的波及全球路由器的惡意活動——新型僵尸網(wǎng)絡“AVrecon”在未被察覺的情況下運行了至少兩年,感染了全球7萬臺路由器。美國網(wǎng)絡安全與基礎設施安全局(CISA)最近就警告稱,攻擊者可利用SOHO路由器等網(wǎng)絡設備作為全球攻擊基礎設施并對組織網(wǎng)絡進行無限制訪問。而SOHO路由器更新的頻率通常較低,這更加劇了問題的嚴重性。例如Black Lotus研究人員分析的這個僵尸網(wǎng)絡,其AVrecon惡意軟件已經(jīng)感染了超過7萬臺基于Linux的路由器,并在20多個國家的4萬多個IP地址上保持著持久性控制。根據(jù)Black Lotus實驗室的說法,AVrecon是繼ZuroRAT和HiatusRAT之后,第三個專注于攻擊SOHO路由器的惡意軟件,主要攻擊目標為英國和美國。據(jù)了解,AVrecon使用C語言編寫,針對ARM嵌入式設備,特別是SOHO(小型辦公室/家庭辦公室)路由器。Black Lotus表示,這些目標設備通常缺乏標準端點安全解決方案,因此惡意軟件可以利用已知漏洞進行更長時間的攻擊。
Black Lotus的研究人員發(fā)現(xiàn),自2021年10月以來,至少有15個這樣的服務器一直在運行。受感染的路由器用于與C2服務器之間的通信使用x.509證書進行加密,因此研究人員無法看到網(wǎng)絡犯罪分子在“密碼噴灑”攻擊中的成功率。除此之外,受感染的設備還被用來點擊各種Facebook和谷歌的廣告。Black Lotus實驗室建議,針對此類惡意活動,保持良好的習慣至關重要,例如定期重啟路由器以及應用安全更新。
黑客專為網(wǎng)絡犯罪設計的生成式人工智能WormGPT,用于定制真?zhèn)文娴尼烎~郵件
網(wǎng)絡安全公司SlashNext的一篇博客指出,隨著生成式人工智能近來變得非常流行,越來越多黑客將這項技術改頭換面,用于促進犯罪活動。最近,SlashNext在地下論壇發(fā)現(xiàn)了一種名為WormGPT的新型生成式AI網(wǎng)絡犯罪工具。該工具自比為GPT模型的黑帽代替品,專門設計用于惡意活動。攻擊者不需要熟練掌握特定語言,也能利用該工具針對攻擊目標定制高度逼真的釣魚郵件,以增加釣魚成功的概率。使用生成式人工智能進行BEC(商業(yè)電子郵件詐騙)攻擊,在效率之外,還具有另外幾個優(yōu)勢。首先,它能夠創(chuàng)建在語法上無可挑剔的電子郵件,降低被標記為可疑郵件的可能性。其次,它降低了釣魚攻擊的門檻,使得即使是技能有限的攻擊者也能夠發(fā)動精密的攻擊。
SlashNext安全研究團隊對WormGPT工具進行測試后發(fā)現(xiàn),其基于GPTJ語言模型,具有無限字符支持、聊天記憶保留和代碼格式化等功能特點。據(jù)稱,該工具在各種數(shù)據(jù)源上進行過訓練,特別是與惡意軟件相關的數(shù)據(jù)。個人和組織需要意識到這些風險,為防范此類AI驅(qū)動的BEC攻擊,有必要了解最新的人工智能技術及其對網(wǎng)絡安全的潛在影響,并采取適當措施來保護自己免受侵害,例如多因素身份驗證和電子郵件過濾。
2023年第二季度郵件安全觀察:詐騙郵件內(nèi)容更加流利
根據(jù)ASRC (Asia Spam-message Research Center) 研究中心與守內(nèi)安公司的監(jiān)測觀察,2023年第二季度,全球整體垃圾郵件、釣魚郵件數(shù)量小幅上升,常見病毒附文件郵件有些許減少,來自新申請域名的垃圾郵件約較上季增加60%??赡芤驗榻衲瓿跻詠?,生成式AI工具的應用爆發(fā),讓語言在郵件的隔閡明顯被打破:這些過去常用英語書寫的詐騙郵件,轉成中文內(nèi)容時,變得比過去更加流利了;同樣的情況也發(fā)生在過去出現(xiàn)在非英語語系流行的詐騙郵件,英文的詐騙內(nèi)容文法變得流利,更不容易看出破綻。另一個較特別的威脅郵件是簡體中文的釣魚郵件,數(shù)量較上一季飆升許多,濫發(fā)時間落在三月底四月初。
研究人員觀察了許多樣本,發(fā)現(xiàn)利用IPFS建設的釣魚網(wǎng)站,由于其分散系統(tǒng)的特性,沒有中央機構可以對它稽查或管理,再加上IPFS還可搭配縮址、轉址等功能進行更復雜的蒙騙或躲避稽查,未來可能會變成釣魚網(wǎng)站存在的主流趨勢。企業(yè)防御最直接的方式是避免接觸這類的釣魚郵件,采用有效的郵件掃描機制是一個好方法;此外,在無必要使用IPFS的前提下,直接隔離IPFS網(wǎng)址,也可讓此類風險大幅度降低。
近日,有威脅行為者冒充生物科學、醫(yī)療保健和生物技術公司來欺騙北美求職者。網(wǎng)絡安全公司Proofpoint表示:裁員潮影響到了各行各業(yè)的人,因此威脅行為者開始在勞動市場里制造出一些就業(yè)騙局,并試圖從求職者那里騙取一些資金。此外,有專家還發(fā)現(xiàn)了一種專門針對該國北部學生的新垃圾郵件活動。這種騙局一開始只會給學生發(fā)送一則無關痛癢的信息,這些信息的來源通常來自生物科學、醫(yī)療保健或生物技術公司。該消息也可能是一則虛假的面試邀請,里面包含一個PDF文件,其中包含有關該職位的更多信息。發(fā)送該消息的人會邀請人們在第三方平臺上進行視頻或聊天面試,以獲取到他們的更多信息,并為他們的角色做好準備。雖然Proofpoint無法確認視頻聊天中對這些求職者提出的的具體問題都是什么,但研究人員根據(jù)之前類似的活動推測,這些惡意攻擊者可能會告訴這些求職者他們需要預付設備費用,然后將騙取到的錢財收入囊中。
專家們將這類騙局歸類為預付款欺詐(AFF)活動。雖然這類活動是在今年3月份首次發(fā)現(xiàn)的,但與之相似的欺詐行為已經(jīng)存在多年。大學生經(jīng)常是網(wǎng)絡罪犯的常見目標,因為考慮到學生的靈活性,并可以接受遠程工作的形式,同時也比較缺乏識別欺詐行為的經(jīng)驗,正因如此他們才會更大概率的遭遇就業(yè)騙局。該公司表示:不斷上升的通貨膨脹和教育成本正在給學生的財務狀況帶來壓力,這也使得詐騙郵件中提記得能實現(xiàn)快速賺錢的承諾更具吸引力。
成千上萬的 OpenAI 憑證在暗網(wǎng)上待售
Flare 的安全研究人員在分析暗網(wǎng)論壇和市場時注意到,OpenAI 證書是最新待售的商品之一, 目前可以確定了約有 20 多萬個 OpenAI 證書以竊取日志的形式在暗網(wǎng)上出售。雖然這一數(shù)字與 OpenAI 1 月份 1 億活躍用戶相比,似乎微不足道,但也能說明網(wǎng)絡攻擊者“看到”了生成式人工智能工具蘊藏的破壞力。2023 年 6 月,網(wǎng)絡安全公司 Group IB 在一份報告中指出超過101100個被泄露的 OpenAI ChatGPT 賬戶憑證在非法的暗網(wǎng)市場上待售??梢娫S多網(wǎng)絡犯罪分子都盯上了人工智能,甚至有一網(wǎng)絡攻擊者還開發(fā)了一個名為 WormGPT 的盜版 ChatGPT,并對其進行了針對惡意軟件的數(shù)據(jù)訓練, 該工具也被被宣傳為“黑帽的最佳 GPT 替代品”。
研究人員指出在一項實驗中,指示 WormGPT 生成一封電子郵件,旨在向毫無戒心的客戶經(jīng)理施壓,迫使其支付欺詐發(fā)票。結果,WormGPT 生成的電子郵件不僅極具說服力,而且在戰(zhàn)略上非常狡猾,完美展示了其在復雜的網(wǎng)絡釣魚和 BEC 攻擊中的潛力。研究人員指出盡管抵御這種威脅可能比較困難,但是并非不能防御。
據(jù)BleepingComputer 7月19日消息,化妝品巨頭雅詩蘭黛最近遭到了來自兩個不同勒索軟件的攻擊。在7月18日提交給美國證券交易委員會 (SEC) 的文件中,雅詩蘭黛公司證實了其中一次攻擊,稱攻擊者獲得了其部分系統(tǒng)的訪問權限,并可能竊取了數(shù)據(jù)。該公司沒有提供有關該事件的太多細節(jié),稱其積極采取行動并關閉了一些系統(tǒng),但已這次攻擊似乎是受MOVEit Transfer漏洞的影響,讓Clop 勒索軟件獲得了對該公司的訪問權限。在其數(shù)據(jù)泄露網(wǎng)站上,Clop 列出了雅詩蘭黛,并注明已經(jīng)獲取了131GB的數(shù)據(jù)。與此同時,BlackCat 勒索軟件組織也將雅詩蘭黛添加到了受害者名單中,并表示雅詩蘭黛對勒索郵件保持沉默讓他們感到不滿。
雅詩蘭黛的安全專家表示,盡管該公司使用了微軟的檢測和響應團隊 (DART) 和 Mandiant,但網(wǎng)絡仍然受到威脅,他們?nèi)匀豢梢栽L問。BlackCat表示,他們沒有對公司的任何系統(tǒng)進行加密,并補充說,除非雅詩蘭黛參與談判,否則他們將透露有關被盜數(shù)據(jù)的更多細節(jié),并暗示泄露的信息可能會影響客戶、公司員工和供應商。在向 SEC 提交的文件中,雅詩蘭黛重點強調(diào)了補救措施,包括恢復受影響的系統(tǒng)和服務,并對可能造成的持續(xù)性影響做了評估。