2023年上半年，技術(shù)持續(xù)性的快速變革改變著我們生活的方方面面。5G網(wǎng)絡(luò)的普及為前所未有的連接和通信速度奠定了基礎(chǔ)，使智慧城市和物聯(lián)網(wǎng)（IoT）的蓬勃發(fā)展成為可能；人工智能（AI）已經(jīng)深入到日常生活中，增強(qiáng)了從虛擬助理、自動(dòng)駕駛汽車(chē)到個(gè)性化醫(yī)療和預(yù)測(cè)分析的一切；量子計(jì)算也已取得重大進(jìn)展，有望在解決以前無(wú)法攻克的復(fù)雜問(wèn)題方面取得突破；增強(qiáng)現(xiàn)實(shí)和虛擬現(xiàn)實(shí)已經(jīng)變得更加沉浸式和主流，增強(qiáng)了娛樂(lè)、教育和工業(yè)應(yīng)用。

然而，在這些技術(shù)奇跡背后，還充斥著對(duì)數(shù)據(jù)隱私、網(wǎng)絡(luò)安全和倫理影響的擔(dān)憂(yōu)，這凸顯了負(fù)責(zé)任創(chuàng)新的必要性。今年上半年，犯罪活動(dòng)繼續(xù)升級(jí)，第二季度全球每周的網(wǎng)絡(luò)攻擊數(shù)量激增8%，達(dá)到兩年來(lái)的最高水平。隨著犯罪團(tuán)伙不斷改進(jìn)其方法和工具來(lái)感染和影響世界各地的組織，我們熟悉的威脅（如勒索軟件和黑客主義活動(dòng)）已經(jīng)進(jìn)一步惡化。就連一些傳統(tǒng)技術(shù)（U盤(pán)）也作為惡意軟件的傳播渠道再次流行。

讓安全領(lǐng)導(dǎo)者夜不能寐的不僅僅是這些已知的網(wǎng)絡(luò)攻擊數(shù)量。像生成式人工智能這樣的新工具，也被惡意行為者操縱來(lái)編寫(xiě)代碼和釣魚(yú)郵件，甚至可以欺騙訓(xùn)練有素的眼睛。

盡管面臨諸多挑戰(zhàn)，網(wǎng)絡(luò)防御者也取得了光輝戰(zhàn)績(jī)。著名的Hive勒索軟件組織被摧毀，阻止了1.3億美元的潛在贖金支付，這只是今年上半年打擊網(wǎng)絡(luò)犯罪的顯著成功案例之一。另一方面，全球各國(guó)政府正在討論和實(shí)施更嚴(yán)格的法規(guī)和處罰，以支持對(duì)組織的更強(qiáng)有力的保護(hù)。

CheckPoint《2023年H1網(wǎng)絡(luò)安全報(bào)告》分析了2023年上半年的威脅形勢(shì)，使用真實(shí)案例和攻擊統(tǒng)計(jì)數(shù)據(jù)等，幫助組織了解當(dāng)今的主要威脅，以及阻止它們?cè)诮M織內(nèi)造成破壞和損害的方法。

2023年上半年重大網(wǎng)絡(luò)事件時(shí)間表

1月

研究人員發(fā)現(xiàn)了一種前所未知的Linux惡意軟件，它利用多個(gè)過(guò)時(shí)的WordPress插件和主題中的30個(gè)漏洞，將惡意javascript注入基于WordPress CMS（內(nèi)容管理系統(tǒng)）的網(wǎng)站。該惡意軟件針對(duì)32位和64位Linux系統(tǒng)，賦予其操作員遠(yuǎn)程命令能力。

Check Point報(bào)告稱(chēng)，俄羅斯網(wǎng)絡(luò)犯罪分子試圖繞過(guò)OpenAI的限制，將ChatGPT用于惡意目的。在地下黑客論壇上，黑客們正在討論如何繞過(guò)IP地址、支付卡和電話(huà)號(hào)碼控制——所有這些都是從俄羅斯進(jìn)入ChatGPT所必需的流程。

2月

Check Point將市值超過(guò)1094萬(wàn)美元的Dingo加密令牌標(biāo)記為“騙局”。該令牌背后的威脅行為者在其智能合約中添加了一個(gè)后門(mén)功能，以操縱費(fèi)用。具體來(lái)說(shuō)，他們使用代幣智能合約代碼中的“setTaxFeePercent”函數(shù)來(lái)操縱買(mǎi)賣(mài)費(fèi)用。該功能已經(jīng)被使用了47次，Dingo代幣的投資者可能會(huì)面臨失去所有資金的風(fēng)險(xiǎn)。

Check Point研究小組暴露了兩個(gè)惡意代碼包——Python-drgn和Bloxflip——由威脅參與者分發(fā)，利用包存儲(chǔ)庫(kù)作為可靠和可擴(kuò)展的惡意軟件分發(fā)渠道。

Check Point研究小組發(fā)現(xiàn)了一場(chǎng)針對(duì)亞美尼亞實(shí)體的活動(dòng)，該活動(dòng)使用了新版本的OxtaRAT——一種基于AutoIt的后門(mén)程序，用于遠(yuǎn)程訪(fǎng)問(wèn)和桌面監(jiān)控。幾年來(lái)，在阿塞拜疆和亞美尼亞因拉欽走廊的緊張局勢(shì)日益加劇之際，這些威脅行為者一直以阿塞拜疆的人權(quán)組織、持不同政見(jiàn)者和獨(dú)立媒體為目標(biāo)。

美國(guó)領(lǐng)先的醫(yī)療服務(wù)提供商之一社區(qū)衛(wèi)生系統(tǒng)公司（Community Health Systems）證實(shí)，最近針對(duì)Fortra goanywhere MFT文件傳輸平臺(tái)零日漏洞的攻擊影響了該公司，致使近100萬(wàn)名患者的個(gè)人信息泄露。

微軟在周二發(fā)布的最新補(bǔ)丁中，針對(duì)總共77個(gè)漏洞發(fā)布了安全更新。9個(gè)漏洞被歸類(lèi)為“關(guān)鍵”漏洞，因?yàn)樗鼈冊(cè)试S遠(yuǎn)程代碼執(zhí)行易受攻擊的設(shè)備，并且有3個(gè)漏洞（CVE-2023-21823、CVE-2023-21715和CVE-2023-23376）在攻擊中被積極利用。

俄烏戰(zhàn)爭(zhēng)一年后，Check Point研究小組將2022年9月視為一個(gè)轉(zhuǎn)折點(diǎn)，針對(duì)烏克蘭的每周網(wǎng)絡(luò)攻擊減少了44%，而針對(duì)一些北約國(guó)家的網(wǎng)絡(luò)攻擊增加了近57%。進(jìn)一步分析顯示，今年的主要趨勢(shì)是“擦拭器”（wipers）和“黑客主義行動(dòng)”。

3月

以色列國(guó)家網(wǎng)絡(luò)管理局聲稱(chēng)，隸屬于伊朗情報(bào)和安全部的伊朗APT組織MuddyWater是對(duì)以色列頂尖大學(xué)以色列理工學(xué)院發(fā)動(dòng)網(wǎng)絡(luò)攻擊的幕后黑手。這次攻擊偽裝成一次常規(guī)的勒索軟件攻擊，嚴(yán)重?cái)_亂了大學(xué)的活動(dòng)。

Check Point研究人員披露了一種名為“FakeCalls”的安卓木馬，它可以模仿20多種金融應(yīng)用程序，并通過(guò)模擬與銀行員工的對(duì)話(huà)來(lái)進(jìn)行語(yǔ)音釣魚(yú)。這種針對(duì)韓國(guó)市場(chǎng)設(shè)計(jì)的惡意軟件還可以從受害者的設(shè)備中提取私人數(shù)據(jù)。

Check Point研究小組分析了ChatGPT4，并確定了5種允許威脅行為者繞過(guò)限制并利用ChatGPT4創(chuàng)建網(wǎng)絡(luò)釣魚(yú)電子郵件和惡意軟件的情況。

Clop勒索軟件團(tuán)伙利用Fortra GoAnywhere管理文件傳輸系統(tǒng)中的零日安全漏洞（CVE-2023-0669）進(jìn)行攻擊，受害者包括美國(guó)一些奢侈品牌零售商。

研究人員發(fā)現(xiàn)了FakeGPT Chrome擴(kuò)展的一個(gè)新變種，名為“ChatGPT-For-Google”，該擴(kuò)展基于一個(gè)每天影響數(shù)千名受害者的開(kāi)源項(xiàng)目。該變種竊取Facebook會(huì)話(huà)cookie，并在瀏覽器的ChatGPT集成的掩護(hù)下，使用惡意贊助的谷歌搜索結(jié)果損害帳戶(hù)。

4月

3cx通信公司的VoIP應(yīng)用程序3CXDesktopApp的Windows和macOS版本都遭到了攻擊，并被用于在大規(guī)模供應(yīng)鏈攻擊中分發(fā)木馬化版本。在這個(gè)被稱(chēng)為“SmoothOperator”的廣泛活動(dòng)中，威脅參與者濫用3CX的應(yīng)用程序，使用3CXDesktopApp加載惡意文件，并向攻擊者的基礎(chǔ)設(shè)施發(fā)送信標(biāo)。全球超過(guò)60萬(wàn)家使用3CX的公司可能受到這次攻擊的影響。這次攻擊與朝鮮的拉撒路組織有關(guān)，被追蹤為CVE-2023-29059。

Check Point研究小組發(fā)布了一份關(guān)于Rhadamanthys信息竊取器的廣泛出版物和分析，并于2022年9月在暗網(wǎng)上發(fā)布。研究人員展示了該惡意軟件如何編譯自己的數(shù)據(jù)庫(kù)，其中包含被盜的谷歌Chrome信息，以便將其發(fā)送回C2服務(wù)器。

各種與穆斯林有關(guān)的黑客組織發(fā)起了“OpIsrael”活動(dòng)，用DDoS攻擊攻擊以色列的網(wǎng)站。其中，Anonymous Sudan攻擊的目標(biāo)包括以色列政府的子域名，以及大學(xué)、醫(yī)院、媒體期刊、機(jī)場(chǎng)和幾家以色列公司的網(wǎng)站。

Check Point發(fā)現(xiàn)了一種名為Rorschach的新型勒索軟件，它通過(guò)DLL側(cè)加載合法的簽名安全產(chǎn)品來(lái)部署。這種勒索軟件具有高度可定制性，具有以前在勒索軟件中看不到的獨(dú)特功能，并且是觀(guān)察到的加密速度最快的勒索軟件之一。

Check Point在“微軟消息隊(duì)列”服務(wù)（俗稱(chēng)MSMQ）中發(fā)現(xiàn)了三個(gè)漏洞（CVE-2023-28302、CVE-2023-21769和CVE-2023-21554）。其中最嚴(yán)重的，被稱(chēng)為QueueJumper （CVE-2023-21554），是一個(gè)“關(guān)鍵”漏洞，可以允許未經(jīng)身份驗(yàn)證的攻擊者在Windows服務(wù)進(jìn)程mqsvc.exe的上下文中遠(yuǎn)程執(zhí)行任意代碼。

Check Point指出，針對(duì)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊急劇增加，與2022年相比，2023年前兩個(gè)月每個(gè)組織的平均每周攻擊次數(shù)增加了41%。平均每周，54%的組織遭受針對(duì)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊，主要發(fā)生在歐洲，其次是亞太地區(qū)和拉丁美洲。

Check Point警告稱(chēng)，被盜ChatGPT賬戶(hù)的討論和交易有所增加，重點(diǎn)是高級(jí)賬戶(hù)。網(wǎng)絡(luò)犯罪分子會(huì)泄露ChatGPT帳戶(hù)的憑證，交易高級(jí)ChatGPT帳戶(hù)，并使用針對(duì)ChatGPT的暴力破解工具，這使得網(wǎng)絡(luò)犯罪分子能夠繞過(guò)OpenAI的地理隔離限制，并訪(fǎng)問(wèn)現(xiàn)有ChatGPT帳戶(hù)的歷史查詢(xún)。

Check Point研究團(tuán)隊(duì)發(fā)現(xiàn)了Raspberry Robinmalware使用的新技術(shù)。這些方法包括幾種反逃避技術(shù)、混淆技術(shù)和反虛擬機(jī)措施。該惡意軟件還利用Win32k中的兩個(gè)漏洞（CVE-2020-1054和cve -2021-1732）來(lái)提升其權(quán)限。

5月

微軟警告稱(chēng)，最近出現(xiàn)了一波利用CVE-2023-27350的攻擊浪潮，這是PaperCut應(yīng)用服務(wù)器中的一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。據(jù)報(bào)道，該漏洞正被威脅行為者用來(lái)發(fā)布Cl0P和LockBit勒索軟件變體。PaperCut已經(jīng)發(fā)布了解決該漏洞的補(bǔ)丁。

Check Point公布了與“Educated Manticore”有關(guān)的新發(fā)現(xiàn)。Educated Manticore是一個(gè)活躍集群，與“Phosphorus”有很強(qiáng)的重疊，后者是一個(gè)在中東和北美地區(qū)活躍且與伊朗有聯(lián)系的威脅組織。Educated Manticore采用了最近的趨勢(shì)，并開(kāi)始使用ISOimages和可能的其他存檔文件來(lái)啟動(dòng)感染鏈。

FBI、CISA和ACSC警告稱(chēng)，BianLian勒索軟件組織已將其策略轉(zhuǎn)變?yōu)橹贿M(jìn)行勒索攻擊。該組織現(xiàn)在不再對(duì)文件進(jìn)行加密并要求贖金，而是專(zhuān)注于竊取敏感數(shù)據(jù)，并威脅除非支付贖金，否則將公布這些數(shù)據(jù)。

6月

一個(gè)影響MOVEit Transfer（一個(gè)托管文件傳輸平臺(tái)）的零日SQL注入漏洞（CVE-2023-34362）已被廣泛利用了數(shù)周。該漏洞可能導(dǎo)致信息泄露，專(zhuān)家們擔(dān)心可能會(huì)出現(xiàn)大規(guī)模的勒索活動(dòng)，類(lèi)似于今年早些時(shí)候Clop勒索軟件組織發(fā)起的Fortra GoAnywhere零日攻擊活動(dòng)。

Check Point研究小組發(fā)現(xiàn)了一個(gè)正在進(jìn)行的針對(duì)北非目標(biāo)的行動(dòng)，涉及一個(gè)以前未公開(kāi)的多級(jí)后門(mén)，名為“Stealth Soldier”。該后門(mén)程序主要執(zhí)行監(jiān)視功能，如文件泄露、屏幕和麥克風(fēng)錄音、按鍵記錄和竊取瀏覽器信息。

世界上最大的兩家航空公司（美國(guó)航空公司和西南航空公司）表示，他們正在處理因第三方供應(yīng)商Pilot Credentials被黑客入侵而導(dǎo)致的數(shù)據(jù)泄露事件。兩家航空公司近9000名飛行員和學(xué)員招聘過(guò)程中的申請(qǐng)人的相關(guān)文件曝光。

夏威夷最大的大學(xué)——夏威夷大學(xué)（university of Hawaii）透露，該校的一個(gè)校區(qū)遭到了勒索軟件攻擊。該大學(xué)并未公布此次攻擊的影響，但聲稱(chēng)對(duì)此次攻擊負(fù)責(zé)的勒索軟件團(tuán)伙NoEscape表示，已從該大學(xué)的網(wǎng)絡(luò)中竊取了65GB的敏感數(shù)據(jù)。

2023年上半年攻擊態(tài)勢(shì)概覽

2023年上半年，勒索軟件、感染方法、黑客主義活動(dòng)、移動(dòng)威脅以及基于人工智能的攻擊都有了重大發(fā)展。下文概述了這些不斷變化的安全挑戰(zhàn)，并闡明了它們?nèi)绾斡绊懳磥?lái)的網(wǎng)絡(luò)安全格局。

勒索軟件

就攻擊的復(fù)雜性和所造成的損害而言，勒索軟件目前對(duì)企業(yè)構(gòu)成了最重大的威脅。損害賠償包括直接支付和間接業(yè)務(wù)成本，如恢復(fù)和補(bǔ)救費(fèi)用，對(duì)股票市場(chǎng)表現(xiàn)的影響，以及法律影響和品牌損害。

勒索軟件正在不斷發(fā)展，變得越來(lái)越復(fù)雜，增加了更多的功能，使攻擊更有針對(duì)性，更成功。這主要是由勒索軟件即服務(wù)（RaaS）組織之間不斷升級(jí)的競(jìng)爭(zhēng)所驅(qū)動(dòng)的，這些組織都在尋求招募更多的合作伙伴，并最大化他們的“銷(xiāo)售額”。在許多情況下，這些集團(tuán)是傳統(tǒng)企業(yè)的犯罪鏡像，有研發(fā)團(tuán)隊(duì)、質(zhì)量保證部門(mén)、專(zhuān)業(yè)談判代表，甚至人力資源人員。他們可能有幾十甚至幾百名員工，收入數(shù)億美元。

團(tuán)伙之間的競(jìng)爭(zhēng)（畢竟，盜賊之間沒(méi)有榮譽(yù)可言）導(dǎo)致了更快地?cái)?shù)據(jù)加密，創(chuàng)新的逃避技術(shù)和更低的合作伙伴傭金率。例如，LockBit、Alphv、BlackBasta和AvosLocker等主要實(shí)體都采用了一種規(guī)避技術(shù)，利用安全重啟模式功能來(lái)使受感染的計(jì)算機(jī)更難恢復(fù)。另一個(gè)值得注意的發(fā)展是針對(duì)不同操作系統(tǒng)（最主要的是Linux）的勒索軟件變種的激增；這些變種主要由包括LockBit、Royal、CL0P、BianLian和ViceSociety在內(nèi)的RaaS組織提供。

勒索軟件組織也開(kāi)始實(shí)施大規(guī)模攻擊，利用廣泛部署的企業(yè)軟件中的漏洞，同時(shí)感染多名受害者。CL0P和LockBit勒索軟件組織通過(guò)供應(yīng)鏈攻擊和勒索或是利用零日漏洞，在今年上半年實(shí)現(xiàn)了廣泛的感染。今年年初，CL0P利用GoAnywhere MFTsecure文件傳輸工具中的一個(gè)零日漏洞發(fā)起了攻擊，導(dǎo)致130多家組織遭襲。6月初，CL0P還宣布他們利用MOVEit文件傳輸程序中的漏洞，影響了數(shù)百個(gè)新的受害者，其中大多數(shù)是大公司和政府組織。

此外，“三重勒索”也開(kāi)始盛行，即除了數(shù)據(jù)加密和盜竊外，還會(huì)對(duì)目標(biāo)及其合作伙伴和客戶(hù)施加壓力，以確保贖金支付。2023年6月，針對(duì)曼徹斯特大學(xué)的一次攻擊行動(dòng)就應(yīng)用了這種策略。顯然，勒索軟件對(duì)犯罪分子來(lái)說(shuō)仍然是一筆大生意，他們不斷地尋找新的漏洞和利用它們進(jìn)行敲詐的新方法。

我們?cè)?023年上半年發(fā)現(xiàn)了48個(gè)勒索軟件組織攻擊了2200多名受害者。我們預(yù)計(jì)2023年下半年也會(huì)出現(xiàn)同樣的情況，甚至更多。

USB驅(qū)動(dòng)器

就像黑膠唱片甚至音樂(lè)磁帶再次流行一樣，舊的攻擊方法有時(shí)會(huì)重新出現(xiàn)，最近網(wǎng)絡(luò)罪犯和民族國(guó)家行為者進(jìn)行的基于USB的網(wǎng)絡(luò)攻擊就是一個(gè)例子。作為最古老的已知攻擊媒介之一，USB目前是當(dāng)代惡意網(wǎng)絡(luò)操作的重要渠道。攻擊者再次將USB驅(qū)動(dòng)器視為感染氣隙、分段或高度保護(hù)的網(wǎng)絡(luò)的最佳方式。2022年，聯(lián)邦調(diào)查局發(fā)布了一項(xiàng)針對(duì)美國(guó)國(guó)防公司的攻擊活動(dòng)的警告，攻擊者郵寄了裝載惡意有效載荷的USB驅(qū)動(dòng)器。

Raspberry Robin蠕蟲(chóng)在此類(lèi)攻擊中尤為突出。它被認(rèn)為是多用途惡意軟件列表中最常見(jiàn)的惡意軟件變體之一，并通過(guò)利用“autorun. Inf”文件或可點(diǎn)擊的LNK文件經(jīng)由受感染的USB傳播。這種蠕蟲(chóng)與FIN11威脅行為者有關(guān)，成功的感染會(huì)成為后續(xù)攻擊的啟動(dòng)平臺(tái)。

國(guó)家威脅行為者目前正在利用USB傳播的感染，甚至是由傳統(tǒng)惡意軟件如ANDROMEDA（可追溯到2013年）引起的感染來(lái)劫持他們的基礎(chǔ)設(shè)施?？梢?jiàn)，USB感染仍然是獲得初始訪(fǎng)問(wèn)系統(tǒng)的有效方法。

黑客主義活動(dòng)

黑客主義活動(dòng)是2023年上半年的另一個(gè)主要威脅。黑客組織根據(jù)民族主義和政治動(dòng)機(jī)來(lái)選擇他們的目標(biāo)。今年年初，與俄羅斯有關(guān)聯(lián)的Killnet組織攻擊了西方醫(yī)療機(jī)構(gòu)，后來(lái)宣布他們打算轉(zhuǎn)型為一家“私人軍事黑客公司”。

另一個(gè)黑客組織AnonymousSudan于2023年1月首次出現(xiàn)，并一直特別活躍，該組織以西方組織為目標(biāo)，斯堪的納維亞航空公司是DDoS攻擊的一個(gè)典型受害者。該組織還試圖實(shí)施一種勒索策略，堅(jiān)持要求付費(fèi)以停止攻擊。他們還將目標(biāo)擴(kuò)大到包括美國(guó)組織，特別是醫(yī)療保健行業(yè)的組織。

事實(shí)證明，隸屬于政府的黑客主義活動(dòng)正在使用更強(qiáng)大的僵尸網(wǎng)絡(luò)，從規(guī)模的角度來(lái)看，我們也看到了DDoS攻擊規(guī)模的升級(jí)，最高記錄為每秒超過(guò)7100萬(wàn)次請(qǐng)求，這表明黑客行動(dòng)的軌跡正在加劇。

移動(dòng)威脅

自今年年初以來(lái)，Check Point一直在監(jiān)測(cè)各種移動(dòng)網(wǎng)絡(luò)攻擊活動(dòng)。例如，針對(duì)東亞受害者的FluHorse惡意軟件，有效地將自己偽裝成流行的android應(yīng)用程序，旨在提取雙因素身份驗(yàn)證（2FA）代碼以及其他敏感用戶(hù)數(shù)據(jù)。在今年3月披露的另一項(xiàng)活動(dòng)中，攻擊者傳播了名為FakeCalls的惡意軟件，該軟件旨在模擬20多種不同的金融應(yīng)用程序，并生成欺詐性語(yǔ)音呼叫。

在復(fù)雜的間諜活動(dòng)領(lǐng)域，研究人員報(bào)告了一項(xiàng)名為T(mén)riangulation的活動(dòng)，該活動(dòng)利用零點(diǎn)擊利用來(lái)控制iOS設(shè)備，繼續(xù)大規(guī)模利用蘋(píng)果產(chǎn)品中零日漏洞的趨勢(shì)。

基于AI的攻擊

自2022年11月發(fā)布以來(lái)，ChatGPT已經(jīng)在廣泛的活動(dòng)中取得了成功，包括通過(guò)沃頓商學(xué)院的MBA考試，通過(guò)美國(guó)醫(yī)療執(zhí)照考試，并在許多其他領(lǐng)域展示了更廣泛的生產(chǎn)能力。可以說(shuō)，ChatGPT的推出帶來(lái)了一場(chǎng)開(kāi)創(chuàng)性的革命。人工智能能力的影響已經(jīng)引發(fā)了一些大膽的預(yù)測(cè)，從就業(yè)市場(chǎng)的重大變革到對(duì)人類(lèi)生存的潛在威脅。

在網(wǎng)絡(luò)領(lǐng)域，這種模式的轉(zhuǎn)變已經(jīng)在很多方面得到了體現(xiàn)。去年，Check Point研究人員證明，犯罪分子可以利用人工智能創(chuàng)造復(fù)雜的社會(huì)工程內(nèi)容。他們還可以制作更具欺騙性的網(wǎng)絡(luò)釣魚(yú)電子郵件，為Office文檔開(kāi)發(fā)惡意VBA宏，為反向shell操作生成代碼等等。

不久之后，Check Point的一份出版物展示了網(wǎng)絡(luò)犯罪分子已經(jīng)在使用ChatGPT制作信息竊取器和加密工具的例子。OpenAI采用了各種機(jī)制來(lái)限制對(duì)ChatGPT的惡意使用，但威脅行為者很快就發(fā)明了新的方法來(lái)繞過(guò)這些限制，有效地發(fā)動(dòng)了一場(chǎng)大規(guī)模的網(wǎng)絡(luò)軍備競(jìng)賽。俄羅斯威脅行為者已經(jīng)探索了繞過(guò)OpenAI地理圍欄限制的方法。

另一篇論文則展示了如何繞過(guò)集成到最新版本ChatGPT4中的防御機(jī)制，網(wǎng)絡(luò)犯罪分子正在積極尋找新的方法來(lái)利用ChatGPT及其廣泛的惡意目的。立法者阻止人工智能用于社會(huì)工程的努力尚處于初步階段，尚未找到解決方案。

全球數(shù)據(jù)分析

該地圖顯示了全球網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)指數(shù)，展示了世界各地的主要風(fēng)險(xiǎn)區(qū)域。

【全球網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)指數(shù)，顏色越深風(fēng)險(xiǎn)越大，灰色為低?！?/p>

【2023年上半年按行業(yè)劃分的組織平均每周攻擊次數(shù)（與2022年上半年相比百分比變化）】

教育、政府和醫(yī)療保健仍然是最常遭受網(wǎng)絡(luò)攻擊的行業(yè)。這已經(jīng)從不同的來(lái)源和多個(gè)地理區(qū)域得到了證實(shí)，但比較勒索軟件攻擊的數(shù)據(jù)顯示，制造業(yè)和零售業(yè)是受勒索軟件組織攻擊和勒索最多的行業(yè)。對(duì)這種差異的一種解釋可能是，制造業(yè)和零售業(yè)是有能力支付贖金的私營(yíng)部門(mén)。

針對(duì)教育和政府部門(mén)的攻擊旨在竊取個(gè)人身份信息（PII）和受限制的商業(yè)和私人數(shù)據(jù)。“fullz”（一個(gè)人的完整信息包）的地下市場(chǎng)，是由一系列看似永無(wú)止境的教育和醫(yī)療機(jī)構(gòu)違規(guī)行為所滋養(yǎng)的。醫(yī)療保健行業(yè)在這兩個(gè)指數(shù)中都名列前茅。

【2023上半年電子郵件與Web攻擊媒介的占比】

【2023上半年Web惡意文件分發(fā)類(lèi)型】

【與2022年相比，2023年上半年電子郵件傳播惡意文件的流行程度發(fā)生了變化】

【20123年上半年郵件中惡意歸檔文件類(lèi)型】

電子郵件仍然是發(fā)起攻擊的主要工具，占所有惡意載荷的92%。自微軟從2022年開(kāi)始消除文檔內(nèi)宏以來(lái)，惡意Office文件的使用急劇下降。我們的數(shù)據(jù)顯示，惡意Excel文件的流行率下降了81-96%，其他Office格式的流行率也大幅下降。

相反地，感染鏈已經(jīng)多樣化，ZIP、RAR、ISO圖像和其他存檔格式以及html LNK文件的使用顯著增加。我們也越來(lái)越多地看到威脅行為者利用DLL文件作為電子郵件發(fā)起的感染鏈的最后一步，并減少了EXE文件的使用。

值得注意的是，OneNote文件（.one）——微軟Office套件的一個(gè)組件，以前很少被使用——被廣泛地用于進(jìn)行網(wǎng)絡(luò)攻擊。盡管需要用戶(hù)交互（雙擊）才能在OneNote中執(zhí)行嵌入的文件和附件，但自今年年初以來(lái)，利用這種技術(shù)的攻擊顯著增加。這一策略使得諸如Qbot、AsyncRAT、Redline、AgentTesla和IcedID等惡意軟件得以傳播。

利用PDF文件并不是一個(gè)新趨勢(shì)，但其頻率正在增加，并預(yù)計(jì)將繼續(xù)下去。例如，Qbot在今年4月發(fā)起了一場(chǎng)大規(guī)模的活動(dòng)，部署了多種語(yǔ)言的惡意PDF文件。

惡意軟件統(tǒng)計(jì)數(shù)據(jù) 

【2023上半年的頂級(jí)惡意軟件家族（全球版）】

主要的惡意軟件家族分為兩類(lèi)：第一類(lèi)包括多用途惡意軟件，如Qbot、Emotet和Glupteba。這些正在進(jìn)行大規(guī)模僵尸網(wǎng)絡(luò)操作，以實(shí)現(xiàn)竊取數(shù)據(jù)、向其他惡意行為者提供系統(tǒng)訪(fǎng)問(wèn)和感染代碼等各種惡意目的；第二類(lèi)包括AgentTesla、Formbook和Lokibot等信息竊取器。這些類(lèi)型的惡意軟件在地下論壇上交易，并被威脅行為者用來(lái)竊取各種類(lèi)型的數(shù)據(jù)，包括登錄憑據(jù)、金融和企業(yè)賬戶(hù)以及信用卡詳細(xì)信息等。

Qbot是一種多用途惡意軟件，以其廣泛的網(wǎng)絡(luò)釣魚(yú)活動(dòng)而聞名，是2023年上半年最常被檢測(cè)到的惡意軟件。它經(jīng)常被用來(lái)傳播其他惡意軟件家族，包括潛在的勒索軟件。自1月份以來(lái)，Qbot策劃了多次惡意垃圾郵件活動(dòng)，通過(guò)各種方法破壞受害者的系統(tǒng)。這些包括但不限于onenote文件、PDF文件、HTML走私、ZIP文件等的使用。

Emotet正在利用其他文件類(lèi)型，包括在3月份的一次宣傳活動(dòng)中使用惡意的OneNote文件。

五月份，Guloader下載器發(fā)布了一個(gè)新版本，其特點(diǎn)是完全加密的有效載荷和先進(jìn)的反分析技術(shù)。今年年初，NjRat在中東和北非開(kāi)展了一場(chǎng)全面的運(yùn)動(dòng)，感染了目標(biāo)國(guó)家。

XMrig仍然是最流行的加密貨幣挖礦工具，它被用來(lái)在受感染的平臺(tái)上創(chuàng)造收入，通常是更嚴(yán)重感染的早期預(yù)警信號(hào)。

【2023上半年頂級(jí)“雙重勒索”威脅組織】

在2023年上半年，共有48個(gè)勒索軟件組織報(bào)告入侵并公開(kāi)勒索2200多名受害者。在活躍的組織中，Lockbit3在此期間是最多產(chǎn)的，占所有報(bào)告受害者的24%，超過(guò)500起。與2022年上半年相比，報(bào)告的Lockbit3受害者數(shù)量增加了20%。

【勒索軟件受害者的行業(yè)分布】

雖然Check Point 網(wǎng)絡(luò)威脅地圖中的數(shù)據(jù)將教育、政府和醫(yī)療保健部門(mén)列為主要目標(biāo)，但勒索軟件受害者的情況卻呈現(xiàn)出不同的視角。

數(shù)據(jù)顯示，制造業(yè)和零售業(yè)是最大的受害者，政府和教育機(jī)構(gòu)在目標(biāo)層次中排名較低。這種差異可能源于這些部門(mén)在遵守贖金要求方面的不同能力和傾向，教育和政府組織可能更不太愿意支付贖金，而更可能淪為旨在利用個(gè)人和技術(shù)數(shù)據(jù)的攻擊受害者。

全球漏洞利用統(tǒng)計(jì)數(shù)據(jù)

以下TOP漏洞分析數(shù)據(jù)基于2023年Check Point入侵防護(hù)系統(tǒng)傳感器網(wǎng)絡(luò)收集的數(shù)據(jù)。

【2023上半年利用漏洞的攻擊百分比】

2023年報(bào)告的新發(fā)現(xiàn)漏洞幾乎立即就會(huì)被威脅行為者利用和實(shí)施。2022年報(bào)告的涉及CVE的攻擊占所有檢測(cè)到的攻擊的17%，這表明威脅行為者正在加速將新的漏洞整合到經(jīng)常使用的攻擊中。從這個(gè)角度來(lái)看，2023年上半年有28%的攻擊利用了新的漏洞，而2022年上半年這一數(shù)據(jù)為20%，2021年上半年為17%。

實(shí)用建議：防止勒索軟件和其他攻擊

在先進(jìn)的網(wǎng)絡(luò)安全工具的背景下，組織需要在內(nèi)部部署、云和混合網(wǎng)絡(luò)乃至董事會(huì)層面都保持良好的安全衛(wèi)生。領(lǐng)導(dǎo)者可以采取以下幾項(xiàng)措施來(lái)最大限度地減少遭受攻擊的風(fēng)險(xiǎn)和潛在影響。

穩(wěn)健的數(shù)據(jù)備份

勒索軟件的目的是迫使受害者支付贖金，以重新訪(fǎng)問(wèn)他們的加密數(shù)據(jù)。然而，這只有在目標(biāo)實(shí)際上無(wú)法訪(fǎng)問(wèn)其數(shù)據(jù)時(shí)才有效。穩(wěn)健、安全的數(shù)據(jù)備份解決方案是減輕勒索軟件攻擊影響的有效方法。

網(wǎng)絡(luò)意識(shí)培訓(xùn)

網(wǎng)絡(luò)釣魚(yú)郵件是傳播勒索軟件最流行的方式之一。通過(guò)誘騙用戶(hù)點(diǎn)擊鏈接或打開(kāi)惡意附件，網(wǎng)絡(luò)犯罪分子可以進(jìn)入員工的電腦，并開(kāi)始在其上安裝和執(zhí)行勒索軟件。網(wǎng)絡(luò)安全意識(shí)培訓(xùn)對(duì)于保護(hù)組織免受勒索軟件的侵害至關(guān)重要，以利用自己的員工作為確保受保護(hù)環(huán)境的第一道防線(xiàn)。這種培訓(xùn)應(yīng)該指導(dǎo)員工在網(wǎng)絡(luò)釣魚(yú)郵件中使用的經(jīng)典符號(hào)和語(yǔ)言。

最新的補(bǔ)丁

保持計(jì)算機(jī)的最新?tīng)顟B(tài)并安裝安全補(bǔ)丁，特別是那些被標(biāo)記為關(guān)鍵的補(bǔ)丁，可以幫助提升組織防御勒索軟件攻擊的能力。

加強(qiáng)用戶(hù)認(rèn)證

實(shí)施強(qiáng)大的密碼策略，要求使用多因素身份驗(yàn)證，并教育員工了解旨在竊取登錄憑據(jù)的網(wǎng)絡(luò)釣魚(yú)攻擊，這些都是組織網(wǎng)絡(luò)安全策略的關(guān)鍵組成部分。

反勒索軟件解決方案

反勒索軟件解決方案監(jiān)控計(jì)算機(jī)上運(yùn)行的程序，以發(fā)現(xiàn)勒索軟件通常表現(xiàn)出的可疑行為，如果檢測(cè)到這些行為，程序可以采取行動(dòng)，在進(jìn)一步破壞之前停止加密。

利用更好的威脅防護(hù)

大多數(shù)勒索軟件攻擊可以在造成破壞之前被檢測(cè)和解決。這就需要在組織中配置自動(dòng)的威脅檢測(cè)和預(yù)防機(jī)制，以?huà)呙韬捅O(jiān)視電子郵件以及可疑文件的跡象，從而提升防御能力。

人工智能已經(jīng)成為對(duì)抗網(wǎng)絡(luò)威脅不可或缺的盟友。通過(guò)增強(qiáng)人類(lèi)專(zhuān)業(yè)知識(shí)和加強(qiáng)防御措施，人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)安全解決方案為抵御各種攻擊提供了強(qiáng)大的屏障。隨著網(wǎng)絡(luò)犯罪分子不斷改進(jìn)他們的策略，人工智能和網(wǎng)絡(luò)安全之間的共生關(guān)系無(wú)疑將對(duì)保護(hù)我們的數(shù)字未來(lái)至關(guān)重要。

原文鏈接：https://www.checkpoint.com/downloads/resources/2023-mid-year-cyber-security-report.pdf?mkt_tok=NzUwLURRSC01MjgAAAGN4_HqIACQAeCeqpovsFYt-YAfAHeIbdescrwm58Q3LRxFTIvH1BZQQjsyEj4cl2nkQQG2kDtu2g2uwsFLZzdinh4TE8I0t2pa_nSqglBcVaubi6f1