随着微軟Office“禁宏令”的實施,越來越多的網絡犯罪分子開始轉向使用快捷方式(LNK)檔案來投送電子郵件惡意軟體(包括QakBot、IceID、Emotet和RedLine Stealer等)。快捷方式檔案正在取代Office宏(現已預設被阻止),成為黑客通過電子郵件投送惡意軟體感染PC的流行方式。電子郵件安全的最新趨勢根據HP Wolf Securit
随着微軟Office“禁宏令”的實施,越來越多的網絡犯罪分子開始轉向使用快捷方式(LNK)檔案來投送電子郵件惡意軟體(包括QakBot、IceID、Emotet和RedLine Stealer等)。快捷方式檔案正在取代Office宏(現已預設被阻止),成為黑客通過電子郵件投送惡意軟體感染PC的流行方式。
電子郵件安全的最新趨勢
根據HP Wolf Security最新釋出的2022年第二季度威脅洞察報告(提供對現實世界網絡攻擊的分析)顯示,包含惡意軟體(包括LNK快捷方式檔案)的存檔檔案增加了11%。攻擊者經常将快捷方式檔案放在ZIP電子郵件附件中,以幫助他們避開電子郵件安全掃描。
該團隊還發現了可以在黑客論壇上購買的LNK惡意軟體生成器,可建立武器化的快捷檔案并将其傳播給企業,網絡犯罪分子可以輕松地轉向這種“無宏”代碼執行技術。
“企業必須立即采取措施,防範越來越受到攻擊者青睐的新技術,或者在它們變得普遍時讓自己暴露在外。我們建議盡可能立即阻止以電子郵件附件形式接收或從Web下載下傳的快捷方式檔案。”報告指出。
除了LNK檔案的增加外,報告還強調攻擊者正積極使用以下三種惡意軟體傳播/檢測規避技術:
- HTML smuggling達到臨界規模——調查發現了幾起網絡釣魚活動冒充本地郵政服務或者重大會議活動(例如2023多哈世博會)以及HTML smuggling來傳播惡意軟。使用這種技術,原本會被電子郵件網關阻止的危險檔案類型可能會被偷運到組織中并導緻惡意軟體感染。
- 攻擊者利用Follina CVE-2022-30190零日漏洞的漏洞視窗——在其披露後,多個威脅參與者利用了微軟支援診斷工具(MSDT)中最近的零日漏洞——被稱為“(Follina)”。在該漏洞更新檔可用之前分發QakBot、Agent Tesla和Remcos RAT(遠端通路木馬)。該漏洞特别危險,因為它允許攻擊者運作任意代碼來部署惡意軟體,并且幾乎不需要使用者互動即可在目标機器上利用。
- 新穎的執行技術,例如通過隐藏在文檔中的Shellcode傳播SVCReady惡意軟體。
報告中的其他主要發現包括:
- 14%的電子郵件惡意軟體繞過了至少一個電子郵件網關掃描程式
- 威脅攻擊者共使用593個不同的惡意軟體家族感染企業,而上一季度這個數字為545個
- 電子表格仍然是最主要的惡意檔案類型,但威脅研究團隊發現存檔威脅增加了11%。這表明攻擊者越來越多地在發送檔案之前将檔案放在存檔檔案中以逃避檢測
- 69%的惡意軟體通過電子郵件傳遞,網絡下載下傳占17%
- 最常見的網絡釣魚誘餌是商業交易,例如“訂單”、“付款”、“購買”、“請求”和“發票”
文章來源:GoUpSec