?跟上電子郵件威脅形勢(shì)的變化

HP Wolf Security公司日前發(fā)布的2022年第二季度威脅洞察報(bào)告(提供了對(duì)現(xiàn)實(shí)世界網(wǎng)絡(luò)攻擊的分析)表明，包含惡意軟件(包括LNK文件)的存檔文件增加了11%。網(wǎng)絡(luò)攻擊者經(jīng)常將快捷方式文件放在ZIP電子郵件附件中，以幫助他們避開(kāi)電子郵件掃描程序的掃描。

該公司的調(diào)查還發(fā)現(xiàn)了可以在黑客論壇上購(gòu)買的LNK惡意軟件構(gòu)建器，通過(guò)創(chuàng)建武器化的快捷文件并將其傳播給受害者，網(wǎng)絡(luò)犯罪分子可以很容易地轉(zhuǎn)向這種“無(wú)宏”代碼執(zhí)行技術(shù)。

HP Wolf Security公司的威脅研究團(tuán)隊(duì)高級(jí)惡意軟件分析師Alex Holland說(shuō)，“企業(yè)現(xiàn)在必須采取措施，防范越來(lái)越受到網(wǎng)絡(luò)攻擊者青睞的技術(shù)，以免在它們變得普遍時(shí)讓自己的數(shù)據(jù)對(duì)外泄露。我們建議盡可能立即阻止以電子郵件附件形式接收或從Web下載的快捷方式文件?！?/p>

除了LNK文件的增加之外，該公司威脅研究團(tuán)隊(duì)還強(qiáng)調(diào)了網(wǎng)絡(luò)攻擊者采用的以下的惡意軟件傳遞/檢測(cè)規(guī)避技術(shù)：

• HTML走私達(dá)到臨界規(guī)?！萜展景l(fā)現(xiàn)了幾起網(wǎng)絡(luò)釣魚(yú)活動(dòng)，可以利用電子郵件冒充區(qū)域郵政服務(wù)，或者利用像2023年多哈世博會(huì)(將吸引全球300多萬(wàn)名參與者)這樣的重大活動(dòng)，通過(guò)HTML走私惡意軟件傳遞。使用這種技術(shù)，危險(xiǎn)文件可能侵入到企業(yè)中，并導(dǎo)致惡意軟件感染。
• 網(wǎng)絡(luò)攻擊者利用由Follina CVE-2022-30190零日漏洞創(chuàng)建的漏洞窗口——在該漏洞披露之后，一些威脅參與者利用了微軟公司支持診斷工具(MSDT)中最近的零日漏洞(名稱為“Follina”)，在補(bǔ)丁可用之前分發(fā)QakBot、Agent Tesla和Remcos RAT(遠(yuǎn)程訪問(wèn)木馬)。該漏洞特別危險(xiǎn)，因?yàn)樗试S網(wǎng)絡(luò)攻擊者運(yùn)行任意代碼來(lái)部署惡意軟件，并且?guī)缀醪恍枰脩艚换ゾ涂梢岳媚繕?biāo)機(jī)器。
• 新的執(zhí)行技術(shù)將隱藏在文檔中的外殼代碼傳播到SVCReady惡意軟件中——HP公司發(fā)現(xiàn)了一個(gè)新的名為SVCReady的惡意軟件系列，該系列以其通過(guò)隱藏在Office文檔屬性中的外殼碼這種不同尋常的方式傳遞到目標(biāo)計(jì)算機(jī)上。該惡意軟件主要用于在收集系統(tǒng)信息和截圖之后將二級(jí)惡意軟件有效載荷下載到受感染的計(jì)算機(jī)上，目前仍處于早期開(kāi)發(fā)階段，在最近幾個(gè)月已經(jīng)更新了幾次。

調(diào)查報(bào)告中的其他主要發(fā)現(xiàn)還包括：

• HP Wolf Security公司捕獲的14%的電子郵件惡意軟件繞過(guò)了至少一個(gè)電子郵件網(wǎng)關(guān)掃描程序。
• 威脅攻擊者使用593個(gè)不同的惡意軟件試圖攻擊企業(yè)，而上一季度為545個(gè)。
• 電子表格仍然是最主要的惡意文件類型，但威脅研究團(tuán)隊(duì)發(fā)現(xiàn)存檔威脅增加了11%，這表明網(wǎng)絡(luò)攻擊者越來(lái)越多地在發(fā)送文件之前將文件放在存檔文件中，以逃避檢測(cè)。
• 檢測(cè)到的惡意軟件中有69%是通過(guò)電子郵件傳遞的，而網(wǎng)絡(luò)下載占17%。
• 最常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)誘餌是商業(yè)交易，例如“訂單”、“付款”、“購(gòu)買”、“請(qǐng)求”和“發(fā)票”。

惠普公司個(gè)人系統(tǒng)全球安全主管Ian Pratt博士評(píng)論說(shuō)，“網(wǎng)絡(luò)攻擊者正在快速測(cè)試新的惡意文件格式或漏洞以繞過(guò)檢測(cè)，因此企業(yè)必須為出現(xiàn)的意外情況做好準(zhǔn)備。這意味著采取一種架構(gòu)方法來(lái)實(shí)現(xiàn)端點(diǎn)安全，例如通過(guò)包含電子郵件、瀏覽器和下載等最常見(jiàn)的攻擊向量，從而隔離威脅，無(wú)論它們是否能夠被檢測(cè)到。

這將消除各種類型威脅的攻擊面，同時(shí)也為企業(yè)提供了在不中斷服務(wù)的情況下安全地協(xié)調(diào)補(bǔ)丁周期所需的時(shí)間?！?/p>