Top
首页 > 正文

伪装成风险投资基金的APT行为者采用了新的恶意软件技术

卡巴斯基专家认为,攻击者目前正在积极试验和测试新的恶意软件交付方法:例如,使用以前未使用的文件类型(如新的Visual Basic脚本、未见过的Windows批处理文件和Windows可执行文件)来感染受害者。
发布时间:2023-01-05 11:03 来源: 作者:

卡巴斯基研究人员发现,臭名昭著的高级持续性威胁(APT)行为者BlueNoroff在其武器库中添加了新的复杂恶意软件。BlueNoroff被认为是针对全球金融实体加密货币的威胁行为者,特别是针对风险投资公司、加密货币初创公司和银行。现在,BlueNoroff正在尝试新的文件类型,以更有效地传播他们的恶意软件,并创建了70多个有关风险投资公司和银行的虚假域名,以引诱初创公司的员工进入陷阱。

BlueNoroff是规模更大的Lazaru组织的一部分,并使用其复杂的恶意技术来攻击那些因其工作性质而处理智能合约、Defi、区块链和金融科技行业的组织。2022年1月,卡巴斯基专家已经报告了BlueNoroff在全球范围内对加密货币初创公司进行的一系列攻击,但之后攻击出现了停滞。但是,基于卡巴斯基的遥测数据,今年秋天,该威胁行为者重新开始攻击——而且现在它比以往任何时候都更加复杂和活跃。

假设你是一家大型金融机构销售部门的员工。你收到一封附有DOC文件的邮件——一份来自客户的合同。你想:“我们应该快点打开这个文件,并把它发给老板!”但是,就在你打开文件时,恶意软件立刻下载到你所使用的企业设备上。现在,攻击者将跟踪你的所有日常操作,并且计划实施盗窃攻击策略。一旦受感染公司的某个人试图转移大量加密货币,攻击者就会拦截交易,更改收件人的地址,并将货币数量更改到最大值,实质上是一次性耗尽账户。

卡巴斯基专家认为,攻击者目前正在积极试验和测试新的恶意软件交付方法:例如,使用以前未使用的文件类型(如新的Visual Basic脚本、未见过的Windows批处理文件和Windows可执行文件)来感染受害者。

更重要的是,除了使用高级网络罪犯中流行的策略外,他们还通过发明自己的策略来提高规避Windows安全措施的效率。最近,很多威胁行为者采用图像文件来避免网络标记(MOTW)。简而言之,MOTW标志是一种安全措施,当用户尝试查看从Internet下载的文件时,Windows会发出警告消息(如在“受保护的视图”中打开文件)。为了避免这种缓解威胁的措施,越来越多的威胁行为者开始利用ISO文件类型(用于分发软件或媒体内容的普通CD光盘的数字副本),BlueNoroff行为者也采用了这种技术。

被发现的用于交付恶意软件的ISO镜像文件包含一个PowerPoint幻灯片文件和一个Visual Basic脚本

该威胁行为者每天都在增加其攻击能力。例如,在2022年10月,卡巴斯基研究人员已经观察到70个假冒世界知名风险投资公司和银行的假域名。大多数域名假冒日本公司,如Beyond Next Ventures、瑞穗金融集团(Mizuho Financial Group)等。这表明该集团对日本金融实体有着广泛的兴趣。根据卡巴斯基遥测技术,该威胁行为者还以阿联酋组织为目标,并将自己伪装成美国和越南公司。

诱饵文档包含对流行的VC的描述

“根据我们最近的2023年APT预测,未来一年将出现影响最大的网络疫情,其强度是前所未有的。在技术优势和效果上,它们将与臭名昭著的WannaCry类似。我们在BlueNoroff实验中的发现证明,网络罪犯并没有停滞不前,而是在不断测试和分析新的、更复杂的攻击工具。在新的恶意活动爆发前夕,企业必须比以往任何时候都更加安全:培训您的员工了解网络安全的基础知识,并在所有企业设备上使用值得信赖的安全解决方案,”卡巴斯基全球研究与分析团队(GReAT)首席安全研究员Seongsu Park评论说。

更多有关BlueNoroff的详情,请查看Securelist上的完整报告。

对于企业和组织保护,卡巴斯基给出以下建议:

为您的员工提供基础的网络安全卫生知识培训。进行模拟网络钓鱼攻击,确保您的员工知道如何识别网络钓鱼邮件。

对网络进行网络安全审计,并修复在外围或网络内部发现的任何薄弱之处。

选择一款经过验证的端点安全解决方案,例如卡巴斯基网络安全解决方案。这类解决方案具备基于行为的检测功能和异常控制能力,能够有效拦截已知和未知的威胁。

使用专门的网络安全解决方案以实现有效的端点保护、威胁检测和响应,及时检测和修补新的和规避性威胁。卡巴斯基优化框架包括一套基本的端点保护,并配有EDR和MDR。

合作站点
stat
Baidu
map