概要

Q1最熱門的安全事件是XZ/liblzma后門高危漏洞。開發(fā)人員Andres Freund一次偶然情況下，發(fā)現(xiàn)了XZ/liblzma存在后門并對該漏洞進(jìn)行報告。XZ/liblzma是一個廣泛使用的開源工具，掌握該后門攻擊者幾乎可以訪問任何運行受感染發(fā)行版的 Linux 機器。這一事件提出了有關(guān)開源代碼的安全性及其集成到關(guān)鍵系統(tǒng)和應(yīng)用程序中的重要問題。

社會工程學(xué)仍然是各平臺上最大的威脅，而且所占的份額還在繼續(xù)增加。在移動設(shè)備領(lǐng)域，2023年Q4季度所有威脅 90% 以上來自詐騙和類似威脅類型。這一趨勢也反映在PC平臺上，87%的威脅屬于同一類型。

在惡意廣告和惡意推送通知激增的背景下，欺詐行為大幅增加（移動平臺為 61%，PC平臺為 23%）。在烏克蘭等某些地區(qū)，這些風(fēng)險幾乎翻了一番，凸顯了這些惡意活動的全球范圍和影響。此外，詐騙者正在部署越來越復(fù)雜的戰(zhàn)術(shù)，包括使用深度偽造技術(shù)、AI音頻同步，以及劫持流行的 YouTube 頻道來傳播欺詐內(nèi)容，從而擴(kuò)大了造成經(jīng)濟(jì)損失的可能性。

在PC方面，惡意組織Lazarus Group 策劃了一場復(fù)雜的 APT 活動，該活動以亞洲的個人為目標(biāo)，以工作機會為由進(jìn)行詐騙。

僵尸網(wǎng)絡(luò)活動也令人擔(dān)憂。例如Twizt 僵尸網(wǎng)絡(luò)對服務(wù)器消息塊（SMB）協(xié)議憑證暴力破解，惡意 DDosia 項目擴(kuò)展等功能進(jìn)行更新，從而大大增加了其危害性。此外，以 DarkGate 和 Luma 為代表的惡意軟件即服務(wù) (MaaS) 竊取程序也呈現(xiàn)出上升趨勢。

Q1勒索軟件攻擊也呈現(xiàn)上升趨勢， LockBit 勒索軟件是其中的典型代表，且被執(zhí)法單位打擊后又再度復(fù)活。此外一種名為HomuWitch 的新型勒索軟件也許引起注意，該勒索軟件在信息加密方面有著不俗的效果。

YouTube成為網(wǎng)絡(luò)釣魚、惡意廣告的“溫床”

YouTube 具有25億用戶，目前已成為網(wǎng)絡(luò)釣魚、惡意廣告等威脅行為的“溫床”。自動廣告系統(tǒng)和用戶生成的內(nèi)容相結(jié)合，為網(wǎng)絡(luò)犯罪分子提供了繞過傳統(tǒng)安全措施的通道，使 YouTube 成為部署網(wǎng)絡(luò)釣魚和惡意軟件的重要渠道。

該平臺上的顯著威脅包括 Lumma 和 Redline 等憑證竊取程序、網(wǎng)絡(luò)釣魚和詐騙登陸頁面，以及偽裝成合法軟件或更新的惡意軟件。此外YouTube 還是流量分發(fā)系統(tǒng) (TDS) 的通道，從而將用戶引向惡意網(wǎng)站，并支持從虛假贈品到投資計劃等各種高危害性的騙局。

在 YouTube 上興起的 DeepFake 視頻通過逼真地模仿人物或事件，由此誤導(dǎo)觀眾，傳播大量的虛假信息。Q1大量攻擊者入侵用戶的YouTube 帳戶，約有5000 多萬是訂閱者被劫持，用于傳播 Cryptoscam Deefake 視頻。

威脅者經(jīng)常利用自動上傳和搜索引擎優(yōu)化 (SEO) 中毒來提高有害內(nèi)容的可見度。此外，虛假評論猖獗，欺騙觀眾，推廣危險鏈接，利用 YouTube 的算法和用戶參與傳播網(wǎng)絡(luò)威脅。

利用 YouTube 傳播威脅的方式有很多。在 YouTube 上觀察到的基本戰(zhàn)術(shù)和程序 (TTP) 如下：

• 針對創(chuàng)作者的網(wǎng)絡(luò)釣魚活動： 攻擊者向 YouTube 創(chuàng)作者發(fā)送個性化電子郵件，提出欺詐性的合作機會。一旦建立了信任，他們就會打著合作所需軟件的幌子發(fā)送惡意軟件鏈接，通常會導(dǎo)致 cookie 被盜或賬戶受損。
• 視頻詐騙： 攻擊者上傳的視頻描述包含惡意鏈接，其中包括偽裝成與游戲、生產(chǎn)力工具甚至殺毒軟件相關(guān)的合法軟件下載，誘騙用戶下載惡意軟件。
• 劫持頻道傳播威脅： 攻擊者通過網(wǎng)絡(luò)釣魚或惡意軟件獲得對 YouTube 頻道的控制權(quán)，然后重新利用這些頻道來宣傳各類威脅，如加密貨幣詐騙。這類欺詐活動通常涉及需要觀眾提供初始押金的虛假贈品。
• 利用偽造的軟件品牌和域名： 攻擊者創(chuàng)建相似度極高的軟件品牌，或者將威脅網(wǎng)站偽裝成合法網(wǎng)站來獲取用戶的行人，從而誘導(dǎo)用戶下載惡意軟件。
• 越獄軟件誘導(dǎo)： 攻擊者發(fā)布教程視頻或提供破解軟件，引導(dǎo)用戶下載偽裝成有用工具的惡意軟件。這種策略利用用戶尋求免費訪問付費服務(wù)或軟件的心理，利用 YouTube 的搜索和推薦算法鎖定潛在受害者。

Lazarus 黑客組織利用 Windows 零日漏洞獲取內(nèi)核權(quán)限

2024年第一季度，Lazarus 黑客組織試圖利用 Windows AppLocker 驅(qū)動程序  appid.sys 中的零日漏洞 CVE-2024-21338，獲得內(nèi)核級訪問權(quán)限并關(guān)閉安全工具，從而能夠輕松繞過 BYOVD（自帶漏洞驅(qū)動程序）技術(shù)。

Avast 網(wǎng)絡(luò)安全分析師發(fā)現(xiàn)了這一網(wǎng)絡(luò)攻擊活動，隨后便立刻向微軟方面上報。微軟在 2024 年 2 月發(fā)布的安全更新中解決安全漏洞的問題。不過，微軟并未將 CVE-2024-21338 安全漏洞標(biāo)記為零日漏洞。

Lazarus 黑客組織利用 CVE-2024-21338 安全漏洞在其 FudModule rootkit 的更新版本中創(chuàng)建了一個讀/寫內(nèi)核基元（ESET 于 2022 年底首次記錄了 CVE-2024-21338 漏洞，此前，rootkit 曾濫用戴爾驅(qū)動程序進(jìn)行了 BYOVD 攻擊。）新版 FudModule 在隱蔽性和功能性方面有了顯著增強，包括但不限于采用了新技術(shù)逃避檢測和關(guān)閉 Microsoft Defender 和 CrowdStrike Falcon 等安全保護(hù)。此外通過檢索大部分攻擊鏈，Avast 還發(fā)現(xiàn)了 Lazarus 黑客組織使用了一種此前從未記錄的遠(yuǎn)程訪問木馬 (RAT)。

Lazarus 黑客組織利用了微軟 "appid.sys "驅(qū)動程序中的一個漏洞，該驅(qū)動程序是 Windows AppLocker 組件，主要提供應(yīng)用程序白名單功能。Lazarus 團(tuán)隊成員通過操縱 appid.sys 驅(qū)動程序中的輸入和輸出控制（IOCTL）調(diào)度程序來調(diào)用任意指針，誘使內(nèi)核執(zhí)行不安全代碼，從而繞過安全檢查。

FudModule rootkit 與漏洞利用程序構(gòu)建在同一模塊內(nèi)，執(zhí)行直接內(nèi)核對象 DKOM 操作，以關(guān)閉安全產(chǎn)品、隱藏惡意活動并維持被入侵系統(tǒng)的持久性。（安全產(chǎn)品包括 AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon 等以及 HitmanPro 反惡意軟件解決方案）

Avast 在新版 rootkit 中發(fā)現(xiàn)了新的隱身特性和擴(kuò)展功能，例如通過 DKOM 進(jìn)行選擇性和有針對性的破壞、增強篡改驅(qū)動程序簽名執(zhí)行和安全啟動功能等。Avast 還指出，這種新的安全漏洞利用策略標(biāo)志著威脅攻擊者內(nèi)核訪問能力有了重大突破，使其能夠發(fā)起更隱蔽的網(wǎng)絡(luò)攻擊，并在被入侵網(wǎng)絡(luò)系統(tǒng)上持續(xù)更長時間。

目前，針對 CVE-2024-21338 安全漏洞唯一有效的安全措施就是盡快應(yīng)用 2024 年 2 月的 發(fā)布的安全更新。

這些攻擊鏈的復(fù)雜性表明，Lazarus 投入了大量資源進(jìn)行策劃和執(zhí)行。在執(zhí)行攻擊之前，Lazarus 通過部署無文件惡意軟件和將工具直接加密到硬盤驅(qū)動器上進(jìn)行了精心的準(zhǔn)備。對受害者的精心選擇和高度針對性表明，在啟動惡意軟件之前，建立某種程度的信任或聯(lián)系很可能是必要的。部署如此復(fù)雜的武器庫，再加上利用漏洞，凸顯了重大的戰(zhàn)略遠(yuǎn)見和資源投入。

僵尸網(wǎng)絡(luò)依舊不容小覷

僵尸網(wǎng)絡(luò)主要目的是確保對設(shè)備的長期訪問，以利用其資源，包括遠(yuǎn)程控制、垃圾郵件分發(fā)、拒絕服務(wù)（DoS）攻擊等等。

需要注意的是，Twizt 僵尸網(wǎng)絡(luò)在其更新中獲得了一個新模塊，該模塊提供的功能為其sextortion 活動提供了動力。該模塊依賴于一種常見的策略，即用據(jù)稱從用戶設(shè)備或賬戶中恢復(fù)的虛假敏感信息敲詐用戶。威脅方通常會提及感染了 RAT 的設(shè)備，而信息中通常會包含偽造的發(fā)件人頭信息和密碼，讓人以為用戶的郵件賬戶已被黑客入侵。事實上，所有發(fā)送的信息都是偽造的，密碼很可能是從暗網(wǎng)上流傳的某個泄露密碼數(shù)據(jù)庫中獲取的。

2023年，Twizt 開始對虛擬網(wǎng)絡(luò)計算（VNC）憑證進(jìn)行暴力破解。2024年初，該組織改用暴力破解 SMB 憑據(jù)。Twizt 包含一個用戶名/密碼對的硬編碼列表，該列表針對隨機生成的目標(biāo)進(jìn)行嘗試。驗證成功后會向其命令與控制（C&C）服務(wù)器報告。

Q1季度，曾經(jīng) 叱咤風(fēng)云的DDosia遭遇了有史以來的“滑鐵盧”。據(jù)推測，有人在積極攻擊 DDosia的 C&C 基礎(chǔ)設(shè)施，多次造成面向真實 C&C 服務(wù)器的代理服務(wù)器中斷。這導(dǎo)致該外層的基礎(chǔ)架構(gòu)迅速變化，每個新的代理 C&C 在再次不可用之前都有大約 2 天的生命周期。由于缺乏 C&C 中斷時的客戶端更新機制，項目所有者不得不每隔幾天就制作新的客戶端。

由于每次更新都需要手動更新 DDosia 的二進(jìn)制文件，再加上 C&C 頻繁中斷，他們的攻擊影響力顯著下降。尤其是在 2 月 19 日前后，八個代理 C&C 被關(guān)閉了五天。即使在這之后，它們也無法恢復(fù)以前的效率。

隨著原來的群組被刪除，DDoSia 轉(zhuǎn)移到了另一個名為 "DDoSia 項目 "的 Telegram 群組，為這些動蕩的變化畫上了句號。在此之前，原始群組一直在發(fā)展壯大，最終擁有約 20000 名成員，而新群組開始時只有約 12000 名成員，并且很快繼續(xù)呈下降趨勢。

在2023年Q4，"DDosia "主要關(guān)注銀行，而在 2024 年第一季度，"DDosia "主要關(guān)注各種行業(yè)聯(lián)盟、法院、新聞機構(gòu)、計算機應(yīng)急小組以及運輸和物流公司。其基本邏輯基本保持不變——在各國境內(nèi)尋找有損害俄羅斯利益的目標(biāo)。

至于整個僵尸網(wǎng)絡(luò)的發(fā)展趨勢，許多流行的病毒已經(jīng)停滯不前。盡管如此，我們還是看到它們的流行程度發(fā)生了一些較大的變化，包括 BetaBot（13%）的活動增加。另一方面，大多數(shù)其他病毒似乎都在下降，其中以下病毒的降幅最大： Pikabot（-48%）、Tofsee（-31%）、MyKings（-21%）和 Dridex（-21%）。

挖礦惡意軟件正在繼續(xù)減少

在2023年第4度，挖礦惡意組織的猖獗程度持續(xù)下降，這種下降趨勢一直延續(xù)至2024 年第一季度，風(fēng)險率大幅下降了 28%。其中最主要是由于XMRig 惡意軟件份額略有下降的影響，而 XMRig 在上一季度的份額曾一度飆升。與之對應(yīng)的是，幾乎所有其他主要的代幣制造者的活動實際上都有所增加，從而擴(kuò)大了其份額。

在上一季度美國和土耳其的風(fēng)險激增之后，情況稍有緩和，這兩個國家的風(fēng)險比率下降了 39%。其他國家也有下跌，其中印度（22%）、埃及（19%）和巴基斯坦（13%）的下降幅度更大。目前，馬達(dá)加斯加（風(fēng)險率為 2.18%）、土耳其（1.47%）、巴基斯坦（1.35%）和埃及（1.14%）仍然是挖礦風(fēng)險最大的幾個國家。

XMRig 是長期以來最受歡迎的推幣機，本季度其推幣機惡意軟件份額下降了 6%，但它仍然占據(jù)了總份額的 60%。所有其他主要挖幣者的活動都有所增加，包括網(wǎng)絡(luò)挖幣者（增加 5%）、CoinBitMiner（24%）、FakeKMSminer（37%）等。

在 2024 年第一季度，最常見的惡意軟件占比如下：

• XMRig (59.53%)
• 網(wǎng)絡(luò)礦工 (20.20%)
• CoinBitMiner (2.67%)
• FakeKMSminer (2.03%)
• NeoScrypt (1.75%)
• CoinHelper (1.05%)
• VMiner (0.86%)
• SilentCryptoMiner (0.84%)

信息竊取仍以 AgentTesla 為主

AgentTesla是一款“老牌”惡意軟件即服務(wù)“MAAS”惡意程序，在過去的幾年間，一直保持著較高的活躍度。其主要通過社工釣魚郵件傳播，“商貿(mào)信”和偽裝航運公司釣魚郵件是該木馬經(jīng)常使用的社工釣魚方式。通過社工釣魚方式獲取初始訪問權(quán)限后，作為第一階段的惡意軟件，AgentTesla提供對受感染系統(tǒng)的遠(yuǎn)程訪問，然后用于下載更復(fù)雜的第二階段工具，包括勒索軟件。

AgentTesla是基于.Net的遠(yuǎn)程訪問木馬 (RAT)和數(shù)據(jù)竊取程序，旨在竊取用戶的敏感信息，如登錄憑據(jù)、銀行賬戶信息、電子郵件等。其具有強大的遠(yuǎn)程控制功能，可以通過鍵盤記錄、屏幕截圖、攝像頭監(jiān)控等方式監(jiān)視用戶行為。該間諜木馬具有反調(diào)試功能，同時誘餌文件使用了多層解密，大大增加了分析難度。

惡意軟件即服務(wù)（MaaS）竊取信息繼續(xù)茁壯成長，并盡可能尋找新的傳播方式。例如DarkGate 通過 Microsoft Teams 使用網(wǎng)絡(luò)釣魚進(jìn)行傳播。從技術(shù)角度看，DarkGate 還利用了 Microsoft Windows SmartScreen（CVE-2024-21412）漏洞。此外， DarkGate 還曾試圖通過惡意 PDF 文件傳播濫用了加密交換和 WebDAV 服務(wù)器。惡意軟件通過 InternetShortcut 鏈接（.URL 文件）從 opendir 下載內(nèi)容。

Lumma Stealer 是另一種 MaaS 竊取程序，它繼續(xù)通過在 YouTube 上傳播的破解軟件進(jìn)行傳播，利用虛假教程誤導(dǎo)受害者。這進(jìn)一步說明，此類病毒及其制造者從不放過任何利用社交工程傳播惡意軟件的機會。

這種典型的混淆型惡意軟件以竊取密碼、加密貨幣錢包和 cookie 而聞名。它通常通過偽造應(yīng)用程序或谷歌廣告中毒滲透系統(tǒng)。這種威脅存在多代，這表明它在未來很可能會持續(xù)存在，而年初惡意廣告活動攜帶的新版本則進(jìn)一步凸顯了這一點。

就 Linux 而言，Python 信息竊取程序是此類惡意軟件中較為流行的病毒，其中包括 Spidey、Creal、Wasp 或 PirateStealer 等著名惡意軟件家族。此外，還有一種名為 PassSniff/Putin 的新惡意軟件，它是用 C++ 編寫的，不是從磁盤上竊取密碼，而是通過使用通用規(guī)則和針對流行服務(wù)和應(yīng)用程序的特定規(guī)則來嗅探 HTTP 流量，從而竊取密碼。

總體而言，2024 年第一季度全球信息竊取程序的風(fēng)險率下降了 8%。不過，許多流行的竊取程序進(jìn)一步擴(kuò)大了覆蓋范圍，包括 AgentTesla、Stealc、Fareit 和 ViperSoftX。

其中，AgentTesla 是最流行的信息竊取程序，其惡意軟件份額增加了 17%。其活動主要針對中歐、北美和南美，現(xiàn)占據(jù)了 30.31% 的惡意軟件份額。值得注意的是，幾乎所有較大的信息竊取者的活動都有所增加，包括 Fareit（增加 34%）、Stealc（33%）、ViperSoftX（28%）和 Azorult（14%）。FormBook 的份額下降了 32%，Lokibot 的份額下降了 50%，從而平衡了信息竊取者整體活動的天平。

以下是2024 年第一季度最常見的信息竊取者及其惡意軟件份額：

• AgentTesla (30.31%)
• Fareit (7.55%)
• FormBook (6.92%)
• RedLine (4.37%)
• Stealc (2.81%)
• ViperSoftX (2.28%)
• Azorult (1.93%)
• ClipBanker (1.72%)
• Raccoon (1.56%)
• Lokibot (1.41%)
• Rhadamanthys (1.36%)

勒索軟件依舊是最嚴(yán)重的威脅

勒索軟件最常見的子類型是加密受害者電腦上的文檔、照片、視頻、數(shù)據(jù)庫和其他文件。如果不先解密，這些文件就無法使用。為了解密文件，攻擊者會索要錢財，即 "贖金"。

LockBit是勒索軟件的頂級流派之一，它的加密和勒索攻擊力度絲毫未減。由于 LockBit 聲名狼藉，其在 2024 年第一季度被曾存在短暫被清除的情況。10 個國家的執(zhí)法機構(gòu)聯(lián)合宣布了 Cronos 行動，聯(lián)邦調(diào)查局成功攻破了 LockBit 基礎(chǔ)設(shè)施，獲得了大約 1000 個私人加密密鑰，并發(fā)布了一個公共解密器。

勒索軟件操作員滲透公司的常見手法如下：

勒索軟件操作員 "購買訪問權(quán)限"，這意味著獲取有關(guān)公司、公司漏洞以及如何入侵公司網(wǎng)絡(luò)的信息。然后操作員繪制公司網(wǎng)絡(luò)地圖，最終部署勒索軟件。當(dāng)被攻擊的公司支付贖金后，"接入賣家 "就能獲得接入費。

與 LockBit、Akira 或 BlackCat 等更流行的威脅相比，以下這些勒索軟件很少出現(xiàn)在媒體的報道中，因為這些勒索軟件不是攻擊大公司并要求數(shù)百萬美元的贖金，而是主要針對個人用戶或小型企業(yè)，要求的贖金在數(shù)千美元左右。

• WannaCry（21%）
• STOP (12%)
• Mallox（又名 TargetCompany） (3%)
• DarkSide (2%)
• Cryptonite (1%)

與上一季度相比，用戶群中勒索軟件的總體風(fēng)險率有所上升，且從 2024 年 3 月開始升級。

技術(shù)支持詐騙 (TSS)： 攻擊持續(xù)增加

技術(shù)支持詐騙威脅涉及騙子冒充合法的技術(shù)支持代表，試圖遠(yuǎn)程訪問受害者的設(shè)備或獲取敏感的個人信息，如信用卡或銀行詳細(xì)信息。這些騙局依靠騙取信任的伎倆來獲得受害者的信任，通常包括說服他們?yōu)椴槐匾姆?wù)付費或購買昂貴的禮品卡?；ヂ?lián)網(wǎng)用戶一定要提高警惕，并核實任何聲稱提供技術(shù)支持服務(wù)的人的資質(zhì)。

在整個 2023 年，與技術(shù)支持詐騙有關(guān)的活動持續(xù)減少。2024年第一季度，這一趨勢不僅沒有預(yù)想中的結(jié)束，反而有所增加，目前已經(jīng)上升至2024年度第4季度的水平。

2024 年第一季度技術(shù)支持詐騙風(fēng)險率詳情

瑞士的增長最為迅猛，技術(shù)支持欺詐活動增加了 177%，為本季度最高。奧地利的增幅也很大，達(dá)到 101%。德國的增幅雖然較低，但也達(dá)到了 65%。此外，日本作為傳統(tǒng)的 TSS 熱點國家，也出現(xiàn)了 153% 的大幅增長。

這些不斷攀升的數(shù)字，在歐洲較富裕的國家尤為明顯，凸顯了這些地區(qū)網(wǎng)絡(luò)安全威脅日益增長的趨勢。

被積極利用的零日漏洞

漏洞利用利用合法軟件中的缺陷，執(zhí)行本不應(yīng)允許的操作。它們通常分為遠(yuǎn)程代碼執(zhí)行（RCE）漏洞和本地權(quán)限升級（LPE）漏洞，前者允許攻擊者感染另一臺機器，后者允許攻擊者對部分受感染的機器進(jìn)行更多控制。

在二月份的 "星期二補丁 "更新中，微軟修補了一個涉及管理員到內(nèi)核的零日漏洞 CVE-2024-21338。這個零日漏洞最初被 Lazarus Group 在野外利用，他們利用這個漏洞啟用了更新版的 FudModule 數(shù)據(jù)專用 rootkit。這標(biāo)志著 FudModule rootkit 功能的重大改進(jìn)，因為以前版本的 FudModule rootkit 是通過針對已知的易受攻擊驅(qū)動程序進(jìn)行 BYOVD（自帶易受攻擊驅(qū)動程序）攻擊來啟用的。

從 BYOVD 技術(shù)升級到內(nèi)置驅(qū)動程序中的零日攻擊，使整個攻擊變得更加隱蔽，但這并不是唯一的升級。Lazarus 還改進(jìn)了 rootkit 功能，針對注冊表回調(diào)、對象回調(diào)、進(jìn)程/線程/圖像回調(diào)、文件系統(tǒng)迷你過濾器、Windows 過濾平臺、Windows 事件跟蹤和圖像驗證回調(diào)。此外，威脅者還實施了一種值得注意的句柄表入口操縱技術(shù)，試圖暫停與 Microsoft Defender、CrowdStrike Falcon 和 HitmanPro 相關(guān)的關(guān)鍵進(jìn)程。

其他新聞方面，xz/liblzma 后門漏洞的發(fā)現(xiàn)震驚了開源圈。這個后門是由軟件工程師Andres Freund發(fā)現(xiàn)。他注意到 ssh 登錄失敗會消耗大量的 CPU，于是決定調(diào)查其根本原因，最后發(fā)現(xiàn)了這個后門漏洞。攻擊者名叫 Jia Tan，在整個過程中攻擊者表現(xiàn)出了非凡的耐心，通過兩年多來對開源項目的貢獻(xiàn)慢慢建立起了信任。最終發(fā)動攻擊，并通過多次提交引入了后門，其最終目的是允許擁有正確私鑰（CVE-2024-3094）的用戶遠(yuǎn)程登錄 SSH。

由于后門發(fā)現(xiàn)得比較早，因此攻擊者沒有足夠的時間將惡意代碼合并到 Debian 或 Red Hat 等主要 Linux 發(fā)行版中。這應(yīng)該引起安全圈的警惕，因為這很可能成為我們近年來看到的最大的安全事件之一。雖然開源代碼通常被認(rèn)為比閉源代碼更值得信賴，但這次攻擊表明，開源代碼也面臨著自身的挑戰(zhàn)。許多重要的開源項目都是由工作過度的志愿者在幾乎沒有資金的情況下維護(hù)的，這可能會不幸地使它們?nèi)菀资艿筋愃频墓簟?/p>

另一個有趣的發(fā)現(xiàn)與 Outlook 中的超鏈接有關(guān)。通常情況下，Outlook 不會跟蹤指向遠(yuǎn)程資源的 "file://"協(xié)議鏈接，但 Check Point Research 的研究人員發(fā)現(xiàn)，只需在一些任意字符后添加一個感嘆號（"!"），就可能完全改變這種行為。這個漏洞編號為CVE-2024-21413，并被稱為 MonikerLink，因為感嘆號實質(zhì)上將鏈接變成了一個復(fù)合單詞。當(dāng)用戶收到電子郵件并點擊這樣的鏈接時，遠(yuǎn)程文件就會被獲取，并可能在后臺進(jìn)行解析。

這樣做會產(chǎn)生兩方面的影響。首先，點擊鏈接從遠(yuǎn)程 SMB 服務(wù)器加載資源代表了另一種強制 NTLM 身份驗證的方法，允許遠(yuǎn)程服務(wù)器捕獲 NTLMv2 哈希值。其次，攻擊者可能會利用這一點來觸發(fā)一些有漏洞的代碼，因為獲取的資源可能會在后臺打開，并試圖查找項目單名（感嘆號后附加的字符串）。Check Point 博客在一個 RTF 文件上演示了這種情況，該文件會在受保護(hù)視圖之外的 Microsoft Word 中打開，這是一種非常隱蔽的一鍵式 RTF 漏洞利用載體。

網(wǎng)絡(luò)釣魚：達(dá)到新高度

網(wǎng)絡(luò)釣魚是一種在線詐騙，欺詐者通過在電子郵件、短信或即時信息等電子通信中冒充可信實體，試圖獲取包括密碼或信用卡詳細(xì)信息在內(nèi)的敏感信息。欺詐信息通常包含一個與真實網(wǎng)站相似的虛假網(wǎng)站鏈接，要求受害者在該網(wǎng)站上輸入敏感信息。

現(xiàn)在我們來看看網(wǎng)絡(luò)威脅中的最后一類，也是最經(jīng)典的一類： 網(wǎng)絡(luò)釣魚。與幾乎所有網(wǎng)絡(luò)威脅一樣，這一類威脅的活動在 2024 年第一季度有所增加，延續(xù)了過去四個季度的增長趨勢。

攻擊者繼續(xù)大量使用通過跨專有文件系統(tǒng) (IPFS) 基礎(chǔ)設(shè)施共享文件的方式來傳播網(wǎng)絡(luò)釣魚內(nèi)容。統(tǒng)計數(shù)據(jù)顯示，IPFS 上最常見的目標(biāo)品牌是 Microsoft，目前在被阻止的攻擊中占比高達(dá) 20%，同時這些威脅在 2024 年第一季度末最為明顯。

參考來源：https://decoded.avast.io/threatresearch/avast-q1-2024-threat-report/