?跟上電子郵件威脅形勢的變化

HP Wolf Security公司日前發(fā)布的2022年第二季度威脅洞察報告(提供了對現(xiàn)實世界網(wǎng)絡攻擊的分析)表明，包含惡意軟件(包括LNK文件)的存檔文件增加了11%。網(wǎng)絡攻擊者經(jīng)常將快捷方式文件放在ZIP電子郵件附件中，以幫助他們避開電子郵件掃描程序的掃描。

該公司的調(diào)查還發(fā)現(xiàn)了可以在黑客論壇上購買的LNK惡意軟件構(gòu)建器，通過創(chuàng)建武器化的快捷文件并將其傳播給受害者，網(wǎng)絡犯罪分子可以很容易地轉(zhuǎn)向這種“無宏”代碼執(zhí)行技術(shù)。

HP Wolf Security公司的威脅研究團隊高級惡意軟件分析師Alex Holland說，“企業(yè)現(xiàn)在必須采取措施，防范越來越受到網(wǎng)絡攻擊者青睞的技術(shù)，以免在它們變得普遍時讓自己的數(shù)據(jù)對外泄露。我們建議盡可能立即阻止以電子郵件附件形式接收或從Web下載的快捷方式文件。”

除了LNK文件的增加之外，該公司威脅研究團隊還強調(diào)了網(wǎng)絡攻擊者采用的以下的惡意軟件傳遞/檢測規(guī)避技術(shù)：

• HTML走私達到臨界規(guī)模——惠普公司發(fā)現(xiàn)了幾起網(wǎng)絡釣魚活動，可以利用電子郵件冒充區(qū)域郵政服務，或者利用像2023年多哈世博會(將吸引全球300多萬名參與者)這樣的重大活動，通過HTML走私惡意軟件傳遞。使用這種技術(shù)，危險文件可能侵入到企業(yè)中，并導致惡意軟件感染。
• 網(wǎng)絡攻擊者利用由Follina CVE-2022-30190零日漏洞創(chuàng)建的漏洞窗口——在該漏洞披露之后，一些威脅參與者利用了微軟公司支持診斷工具(MSDT)中最近的零日漏洞(名稱為“Follina”)，在補丁可用之前分發(fā)QakBot、Agent Tesla和Remcos RAT(遠程訪問木馬)。該漏洞特別危險，因為它允許網(wǎng)絡攻擊者運行任意代碼來部署惡意軟件，并且?guī)缀醪恍枰脩艚换ゾ涂梢岳媚繕藱C器。
• 新的執(zhí)行技術(shù)將隱藏在文檔中的外殼代碼傳播到SVCReady惡意軟件中——HP公司發(fā)現(xiàn)了一個新的名為SVCReady的惡意軟件系列，該系列以其通過隱藏在Office文檔屬性中的外殼碼這種不同尋常的方式傳遞到目標計算機上。該惡意軟件主要用于在收集系統(tǒng)信息和截圖之后將二級惡意軟件有效載荷下載到受感染的計算機上，目前仍處于早期開發(fā)階段，在最近幾個月已經(jīng)更新了幾次。

調(diào)查報告中的其他主要發(fā)現(xiàn)還包括：

• HP Wolf Security公司捕獲的14%的電子郵件惡意軟件繞過了至少一個電子郵件網(wǎng)關(guān)掃描程序。
• 威脅攻擊者使用593個不同的惡意軟件試圖攻擊企業(yè)，而上一季度為545個。
• 電子表格仍然是最主要的惡意文件類型，但威脅研究團隊發(fā)現(xiàn)存檔威脅增加了11%，這表明網(wǎng)絡攻擊者越來越多地在發(fā)送文件之前將文件放在存檔文件中，以逃避檢測。
• 檢測到的惡意軟件中有69%是通過電子郵件傳遞的，而網(wǎng)絡下載占17%。
• 最常見的網(wǎng)絡釣魚誘餌是商業(yè)交易，例如“訂單”、“付款”、“購買”、“請求”和“發(fā)票”。

惠普公司個人系統(tǒng)全球安全主管Ian Pratt博士評論說，“網(wǎng)絡攻擊者正在快速測試新的惡意文件格式或漏洞以繞過檢測，因此企業(yè)必須為出現(xiàn)的意外情況做好準備。這意味著采取一種架構(gòu)方法來實現(xiàn)端點安全，例如通過包含電子郵件、瀏覽器和下載等最常見的攻擊向量，從而隔離威脅，無論它們是否能夠被檢測到。

這將消除各種類型威脅的攻擊面，同時也為企業(yè)提供了在不中斷服務的情況下安全地協(xié)調(diào)補丁周期所需的時間。”