8Base 是一個勒索軟件團伙����,自從 2022 年 3 月以來一直保持活躍����,且在 2023 年 6 月攻擊大幅增強�����。攻擊者在泄漏數據的網站上���,提供了各種常見問題的解決方案與多種聯系方式��。另一個有趣的地方是 8Base 團伙的溝通方式與另一個已知的勒索軟件組織 RansomHouse 十分類似�。其目標行業有商業服務��、金融��、制造與信息技術�。該團伙也是雙重勒索的使用者�,多種手段并用逼迫受害者支付贖金�。8Base 最近跨行業攻擊了很多目標�����,但攻擊者的身份與潛在動機仍然不明�。盡管 8Base 勒索軟件團伙并不一定是一個新出現的攻擊團伙�,但其最近激增的活動并未引起人們的廣泛關注����。在過去的一個月內����,8Base 也可以排得上最活躍的前兩位��。除了勒索信息與擴展名為 .8Base 的加密文件外����,其實大家對 8Base 勒索軟件知之甚少��。8Base 正在進行瘋狂攻擊�����,目前只能推測其使用幾種不同的勒索軟件進行攻擊��。該團伙針對小型企業的攻擊十分頻繁���,一直處于活躍期����。
在發現 8Base 之初����,研究人員就注意到其與 RansomHouse 之間存在明顯的相似之處���。其勒索信息與 RansomHouse 的勒索信息相似度達到 99%��。數據泄露網站的歡迎頁面就是從 RandomHouse 的頁面復制過來的��,服務條款頁與常見問題解答頁也是如此���。由于二者高度相似��,研究人員懷疑 8Base 是否為 RansomHouse 的分支或者模仿者�,但是RansomHouse 使用黑市上出售的各種勒索軟件進行攻擊�,并不自行開發�����,對于 8Base 也未能找到任何勒索軟件變種���。8Base 是否為 Phobos 或者 RandomHouse 的分支還有待觀察���,但一目了然的是 8Base 與 RansomHouse 幾乎相同��。
隱藏在SOHO路由器中的遠程訪問木馬AVrecon���,兩年感染20個國家的7萬臺設備
最近��,通信公司Lumen的Black Lotus實驗室在一篇博客中稱����,其發現了一項持續多年的波及全球路由器的惡意活動——新型僵尸網絡“AVrecon”在未被察覺的情況下運行了至少兩年�,感染了全球7萬臺路由器�。美國網絡安全與基礎設施安全局(CISA)最近就警告稱��,攻擊者可利用SOHO路由器等網絡設備作為全球攻擊基礎設施并對組織網絡進行無限制訪問�。而SOHO路由器更新的頻率通常較低��,這更加劇了問題的嚴重性�����。例如Black Lotus研究人員分析的這個僵尸網絡�����,其AVrecon惡意軟件已經感染了超過7萬臺基于Linux的路由器���,并在20多個國家的4萬多個IP地址上保持著持久性控制���。根據Black Lotus實驗室的說法��,AVrecon是繼ZuroRAT和HiatusRAT之后����,第三個專注于攻擊SOHO路由器的惡意軟件�,主要攻擊目標為英國和美國���。據了解���,AVrecon使用C語言編寫����,針對ARM嵌入式設備�,特別是SOHO(小型辦公室/家庭辦公室)路由器�。Black Lotus表示�����,這些目標設備通常缺乏標準端點安全解決方案��,因此惡意軟件可以利用已知漏洞進行更長時間的攻擊���。
Black Lotus的研究人員發現��,自2021年10月以來���,至少有15個這樣的服務器一直在運行��。受感染的路由器用于與C2服務器之間的通信使用x.509證書進行加密���,因此研究人員無法看到網絡犯罪分子在“密碼噴灑”攻擊中的成功率���。除此之外����,受感染的設備還被用來點擊各種Facebook和谷歌的廣告����。Black Lotus實驗室建議��,針對此類惡意活動���,保持良好的習慣至關重要����,例如定期重啟路由器以及應用安全更新�����。
黑客專為網絡犯罪設計的生成式人工智能WormGPT����,用于定制真偽莫辨的釣魚郵件
網絡安全公司SlashNext的一篇博客指出���,隨著生成式人工智能近來變得非常流行����,越來越多黑客將這項技術改頭換面���,用于促進犯罪活動�����。最近����,SlashNext在地下論壇發現了一種名為WormGPT的新型生成式AI網絡犯罪工具����。該工具自比為GPT模型的黑帽代替品����,專門設計用于惡意活動����。攻擊者不需要熟練掌握特定語言��,也能利用該工具針對攻擊目標定制高度逼真的釣魚郵件�,以增加釣魚成功的概率����。使用生成式人工智能進行BEC(商業電子郵件詐騙)攻擊����,在效率之外�����,還具有另外幾個優勢���。首先��,它能夠創建在語法上無可挑剔的電子郵件���,降低被標記為可疑郵件的可能性��。其次����,它降低了釣魚攻擊的門檻�,使得即使是技能有限的攻擊者也能夠發動精密的攻擊�����。
SlashNext安全研究團隊對WormGPT工具進行測試后發現���,其基于GPTJ語言模型����,具有無限字符支持����、聊天記憶保留和代碼格式化等功能特點���。據稱����,該工具在各種數據源上進行過訓練��,特別是與惡意軟件相關的數據��。個人和組織需要意識到這些風險��,為防范此類AI驅動的BEC攻擊����,有必要了解最新的人工智能技術及其對網絡安全的潛在影響��,并采取適當措施來保護自己免受侵害�����,例如多因素身份驗證和電子郵件過濾����。
2023年第二季度郵件安全觀察:詐騙郵件內容更加流利
根據ASRC (Asia Spam-message Research Center) 研究中心與守內安公司的監測觀察����,2023年第二季度����,全球整體垃圾郵件�、釣魚郵件數量小幅上升���,常見病毒附文件郵件有些許減少��,來自新申請域名的垃圾郵件約較上季增加60%��?����?赡芤驗榻衲瓿跻詠?,生成式AI工具的應用爆發�����,讓語言在郵件的隔閡明顯被打破:這些過去常用英語書寫的詐騙郵件�,轉成中文內容時���,變得比過去更加流利了���;同樣的情況也發生在過去出現在非英語語系流行的詐騙郵件���,英文的詐騙內容文法變得流利���,更不容易看出破綻����。另一個較特別的威脅郵件是簡體中文的釣魚郵件���,數量較上一季飆升許多���,濫發時間落在三月底四月初�����。
研究人員觀察了許多樣本�����,發現利用IPFS建設的釣魚網站�,由于其分散系統的特性�,沒有中央機構可以對它稽查或管理�,再加上IPFS還可搭配縮址�、轉址等功能進行更復雜的蒙騙或躲避稽查�,未來可能會變成釣魚網站存在的主流趨勢�����。企業防御最直接的方式是避免接觸這類的釣魚郵件����,采用有效的郵件掃描機制是一個好方法�����;此外���,在無必要使用IPFS的前提下����,直接隔離IPFS網址��,也可讓此類風險大幅度降低���。
近日���,有威脅行為者冒充生物科學����、醫療保健和生物技術公司來欺騙北美求職者����。網絡安全公司Proofpoint表示:裁員潮影響到了各行各業的人�����,因此威脅行為者開始在勞動市場里制造出一些就業騙局�����,并試圖從求職者那里騙取一些資金���。此外����,有專家還發現了一種專門針對該國北部學生的新垃圾郵件活動�����。這種騙局一開始只會給學生發送一則無關痛癢的信息���,這些信息的來源通常來自生物科學���、醫療保健或生物技術公司���。該消息也可能是一則虛假的面試邀請�����,里面包含一個PDF文件��,其中包含有關該職位的更多信息����。發送該消息的人會邀請人們在第三方平臺上進行視頻或聊天面試���,以獲取到他們的更多信息���,并為他們的角色做好準備���。雖然Proofpoint無法確認視頻聊天中對這些求職者提出的的具體問題都是什么�,但研究人員根據之前類似的活動推測����,這些惡意攻擊者可能會告訴這些求職者他們需要預付設備費用�����,然后將騙取到的錢財收入囊中����。
專家們將這類騙局歸類為預付款欺詐(AFF)活動����。雖然這類活動是在今年3月份首次發現的�,但與之相似的欺詐行為已經存在多年����。大學生經常是網絡罪犯的常見目標��,因為考慮到學生的靈活性��,并可以接受遠程工作的形式�����,同時也比較缺乏識別欺詐行為的經驗��,正因如此他們才會更大概率的遭遇就業騙局����。該公司表示:不斷上升的通貨膨脹和教育成本正在給學生的財務狀況帶來壓力���,這也使得詐騙郵件中提記得能實現快速賺錢的承諾更具吸引力����。
Flare 的安全研究人員在分析暗網論壇和市場時注意到�����,OpenAI 證書是最新待售的商品之一�, 目前可以確定了約有 20 多萬個 OpenAI 證書以竊取日志的形式在暗網上出售�。雖然這一數字與 OpenAI 1 月份 1 億活躍用戶相比���,似乎微不足道��,但也能說明網絡攻擊者“看到”了生成式人工智能工具蘊藏的破壞力��。2023 年 6 月�,網絡安全公司 Group IB 在一份報告中指出超過101100個被泄露的 OpenAI ChatGPT 賬戶憑證在非法的暗網市場上待售���??梢娫S多網絡犯罪分子都盯上了人工智能�����,甚至有一網絡攻擊者還開發了一個名為 WormGPT 的盜版 ChatGPT��,并對其進行了針對惡意軟件的數據訓練����, 該工具也被被宣傳為“黑帽的最佳 GPT 替代品”���。
研究人員指出在一項實驗中�����,指示 WormGPT 生成一封電子郵件�,旨在向毫無戒心的客戶經理施壓�,迫使其支付欺詐發票�����。結果��,WormGPT 生成的電子郵件不僅極具說服力�����,而且在戰略上非常狡猾����,完美展示了其在復雜的網絡釣魚和 BEC 攻擊中的潛力���。研究人員指出盡管抵御這種威脅可能比較困難����,但是并非不能防御�。
雙重傷害����!雅詩蘭黛同時遭遇兩個勒索軟件的攻擊
據BleepingComputer 7月19日消息����,化妝品巨頭雅詩蘭黛最近遭到了來自兩個不同勒索軟件的攻擊����。在7月18日提交給美國證券交易委員會 (SEC) 的文件中���,雅詩蘭黛公司證實了其中一次攻擊�����,稱攻擊者獲得了其部分系統的訪問權限�,并可能竊取了數據�����。該公司沒有提供有關該事件的太多細節�,稱其積極采取行動并關閉了一些系統��,但已這次攻擊似乎是受MOVEit Transfer漏洞的影響���,讓Clop 勒索軟件獲得了對該公司的訪問權限�。在其數據泄露網站上���,Clop 列出了雅詩蘭黛��,并注明已經獲取了131GB的數據�。與此同時�,BlackCat 勒索軟件組織也將雅詩蘭黛添加到了受害者名單中�����,并表示雅詩蘭黛對勒索郵件保持沉默讓他們感到不滿���。
雅詩蘭黛的安全專家表示��,盡管該公司使用了微軟的檢測和響應團隊 (DART) 和 Mandiant����,但網絡仍然受到威脅���,他們仍然可以訪問���。BlackCat表示����,他們沒有對公司的任何系統進行加密��,并補充說�����,除非雅詩蘭黛參與談判��,否則他們將透露有關被盜數據的更多細節�,并暗示泄露的信息可能會影響客戶���、公司員工和供應商��。在向 SEC 提交的文件中����,雅詩蘭黛重點強調了補救措施�,包括恢復受影響的系統和服務����,并對可能造成的持續性影響做了評估�。