根據守內安與ASRC (Asia Spam-message Research Center) 研究中心的觀察,2023年第一季度,隨著全球經濟環(huán)境的整體復蘇,網絡攻擊者也在蠢蠢欲動:今年第一季整體垃圾郵件及病毒郵件的數量,相較去年第四季快速增長將近一倍;由打印機或僵尸網絡進行的郵件試探發(fā)送頻率也較去年第四季度大幅提升450%!
(資料圖片)
研究顯示,雖然目前還未看到較具體的生成式AI應用攻擊活動,但其可在短時間內生成較以往更令人信服的文案、翻譯和以假亂真的圖片,將會是未來郵件安全發(fā)展的一大隱患。以下為守內安與ASRC研究中心在本季度監(jiān)測到的一些較為特殊的郵件攻擊實例:
1.針對Microsoft OneNote 的攻擊Qbot組織于今年第一季度發(fā)起了一波通過電子郵件流竄的惡意攻擊,名為QakNote。這個攻擊主要的特性是使用 .one的惡意文件試圖攻擊Microsoft OneNote,為后續(xù)的惡意行動打開受感染裝置的入侵大門。
為了防范宏在Office文件中被惡意濫用,微軟去年七月宣布關閉宏功能的措施會部署到Windows平臺的Access、Excel、PowerPoint、Word和Visio。在今年一月,研究人員就發(fā)現了攻擊者瞄準Microsoft OneNote發(fā)動新的攻擊活動趨勢。
.one的惡意文件中可包含惡意的VBS 、HTA或LNK快捷方式作為附件,也可以攜帶惡意的.js或 .jse,當受害者不慎點擊其中的攜帶附件,就可能觸發(fā)一連串請求powershell.exe執(zhí)行的惡意行為。
注:OneNote允許在筆記中插入各種附件
注:攻擊程序代碼會藏在圖片后方
2.土耳其震災募款詐騙郵件2023年2月6日凌晨4時17分,土耳其發(fā)生強烈地震,受災規(guī)模巨大引起世界關注,同樣也引起了黑客的關注。在初期,我們觀測到的詐騙郵件通過假冒全球捐贈網(globalgiving.org) 的捐款信息,搭配帶有二維碼的釣魚頁面進行虛擬貨幣的捐款詐騙。
注:冒名全球捐贈網的詐騙
(Turkey_scam_whois.jpg,但其來信的網域卻是在2023/02/08注冊。)
釣魚頁面本身不具備交易或騙取敏感數據的功能,只提供三個指向詐騙用虛擬錢包地址的QR code:
(1)BTC
bitcoin:15euPhVcHmSP1kHeq2EyWvf9NXS12hmcWN
(2)ETH
ethereum:0xFb9217f10569a60A352b26A22fD99a1719c1bCd7@1
(3)USDT
ethereum:0xdAC17F958D2ee523a2206206994597C13D831ec7@1/transfer?address=0xFb9217f10569a60A352b26A22fD99a1719c1bCd7
還有一種欺詐形態(tài)是在內文要求直接捐款至特定比特幣錢包賬戶:bc1q2ta3f85kyd6ez6gtz45agxfxwp7007wdnzvg4n。
(Turkey_scam_3.jpg,附帶 QRcode 的善款詐騙郵件。)
這封詐騙信夾帶了QRcode圖片附件,經過解碼,結果為另一個比特幣錢包:
bitcoin:bc1qfpehxeppc9yd2farrxxq5mlr4xr82ezwevu7uf,這個錢包過去就被廣泛用于各種詐騙與恐嚇取財。
研究人員再次提醒,務必提防通過詐騙郵件要求任何捐款指示的操作,許多網絡詐騙行動并非一次性的損失,攻擊者會記錄容易上當的受害者信息并且發(fā)起持續(xù)性的欺詐攻擊。
3.漏洞利用:CVE-2023-21716、CVE-2023-23397Microsoft 于2月14日發(fā)布重大漏洞CVE-2023-21716,同時影響了多個版本的Microsoft Office。此為遠程執(zhí)行任意程序代碼(RCE,Remote Code Execution) 漏洞,CVSS 評分值高達9.8。這個漏洞的入侵方式為攻擊者通過電子郵件攜帶特制的 RTF 文件,若使用者開啟RTF文件;或以帶有預覽窗口的Office應用程序(如: Microsoft Outlook) 瀏覽,黑客就可以釋放漏洞執(zhí)行程序代碼。
而在Microsoft 3月發(fā)布的CVE-2023-23397 (CVSS評分值9.8)漏洞,是Microsoft Outlook 特權提升(EoP) 漏洞,可利用Outlook的日歷提醒功能來竊取受害者的Net-NTLMv2哈希。Outlook客戶端只要接收并處理利用此漏洞的惡意郵件后,即便使用者沒有開啟或預覽這封惡意郵件,都會自動觸發(fā)該漏洞并泄漏Net-NTLMv2哈希。
以兩個漏洞都可讓黑客通過惡意電子郵件進行攻擊,企業(yè)組織應盡快修補。
4.郵件炸彈郵件炸彈(Email bomb) 是一種惡意濫用電子郵件的行為,其目的是使目標郵箱超額或使目標郵件服務器癱瘓,其中一種手段是利用壓縮文件來進行。通過修改壓縮文件,可讓商業(yè)郵件服務器、反垃圾機制或防病毒軟件在檢查壓縮文件內容物時,形成拒絕服務攻擊。在今年三月份,研究人員發(fā)現了一種融合了過去郵件炸彈手法的新攻擊手段。
(mail_bomb.jpg,看似平常的壓縮文件附件郵件。)
(mail_bomb_compressed.jpg,壓縮文件里的 WORD 文件有著超高比例的壓縮。)
這種攻擊在Office Word文件的前半段嵌入惡意攻擊的程序代碼;而后半段則全填為“0”。當網絡安全設備試圖解壓縮進行掃描檢查時,解壓縮后的文件過大很容易將緩存空間塞滿,或造成內存占用方面的錯誤;同時,因為文件過大也會被一些掃描策略主動忽視。不過這波攻擊并未持續(xù)很長時間。
標簽:
