Aggregator

This article presents key insights from 2024 reports on the rise of phishing attacks, focusing on how advancements in AI and deepfake technology are making social engineering tactics more sophisticated. Cybercriminals exploit file sharing services to advance phishing attacks Examining data collected between June 2023 and June 2024, Abnormal saw file-sharing phishing volume more than triple, increasing 350% over the year. The majority of these attacks were sophisticated in nature, with 60% exploiting legitimate domains, … More →

The post How AI and deepfakes are redefining social engineering threats appeared first on Help Net Security.

2024 年网络攻击、数据泄露事件、新威胁团体及零日漏洞不断出现，以下是对2024 年最具影响力的网络安全故事盘点，并对每个故事进行了简单概述。

13. 互联网档案馆被黑

10 月 9 日，互联网档案馆同时遭受两次不同的攻击：一次是数据泄露，该网站 3300 万用户的用户数据被盗；另一次是由一个名为 SN_BlackMeta 的涉嫌亲巴勒斯坦组织发起的 DDoS 攻击。虽然两次攻击发生在同一时期，但它们是由不同的威胁者发起。

互联网档案馆上的 JavaScript 警报警告有关违规行为

破坏互联网档案馆的威胁者表示，他们可以通过包含身份验证令牌的公开 GitLab 配置文件来实现这一目的，从而允许他们下载互联网档案馆源代码。

该源代码包含额外的凭据和身份验证令牌，包括互联网档案馆数据库管理系统的凭据。这使得威胁者能够下载用户数据库、源代码并修改站点。

12. 错误的 CrowdStrike 更新导致 850 万台 Windows 设备崩溃

2024 年 7 月 19 日，一个有漏洞的 CrowdStrike Falcon 更新在凌晨被推送到 Windows PC，导致网络安全软件的内核驱动程序导致操作系统崩溃。

该错误造成了严重的全球性中断，影响了大约 850 万个 Windows 系统。人们发现自己的设备崩溃，除了启动到安全模式之外，没有简单的方法可以返回操作系统来删除错误的更新。

该错误源于 CrowdStrike 内容验证过程中的漏洞，该过程未能检测到有漏洞更新。此错误更新引发了一系列系统崩溃，包括影响 Windows 设备和 Windows 365 云 PC 的无休止的重启循环。

由于 CrowdStrike 被许多企业使用，因此很快就产生广泛影响，影响了世界各地的金融公司、航空公司和医院，导致他们的 Windows 设备和应用程序也不可用。

Microsoft 发布了 Windows 修复工具来帮助删除有问题的 CrowdStrike 驱动程序并恢复受影响的系统。尽管有这个工具，但许多企业仍面临着漫长的恢复过程，因为每个设备都需要手动修复。

当威胁者开始参与其中，事情变得更糟。网络犯罪分子分发假冒的 CrowdStrike 修复工具和手册，传播恶意软件，包括新的 Daolpu 信息窃取程序。这些网络钓鱼活动针对试图从中断中恢复的企业，进一步推迟了中断。

假 CrowdStrike 修复推送信息窃取恶意软件

投资者很快对 CrowdStrike 提起诉讼，指责其在质量保证流程中存在疏忽，并且未能阻止有问题的更新发布。

微软还宣布，他们将考虑更改内核驱动程序处理策略以应对该事件，并鼓励防病毒供应商限制内核驱动程序的使用，以防止此类崩溃事件的发生。

11.卡巴斯基在美国被禁——软件自动被UltraAV取代

6 月，拜登政府宣布即将禁止卡巴斯基反病毒软件，让客户在 2024 年 9 月 29 日之前寻找替代安全软件。该禁令不仅涉及卡巴斯基软件在美国的销售，还阻止该公司向客户提供防病毒和安全更新。一个月后，卡巴斯基开始关闭其在美国的业务，拜登政府的决定使业务“不再可行”。

卡巴斯基决定将其美国客户群出售给 Pango，并于 9 月初向客户发送电子邮件表示他们将获得 UltraAV 软件的免费升级。然而，该公司并没有向客户明确表示将卸载其软件，9月19日，卡巴斯基用户突然发现他们的卡巴斯基产品被删除，而无论他们是否愿意，UltraAV被强制安装在他们的计算机上。这让许多卡巴斯基客户感到不满，因为他们的设备上安装了未经许可或明确通知的软件。

10.俄罗斯国家支持的黑客入侵微软公司电子邮件

今年 1 月，微软披露，俄罗斯国家支持的威胁者于 2023 年 11 月入侵了其公司电子邮件服务器，窃取了其领导层、网络安全和法律团队的电子邮件。

该黑客组织被称为 Midnight Blizzard（又名 Nobelium，或 APT29），是一个与俄罗斯对外情报局（SVR）有联系的国家支持的网络间谍组织。

微软后来透露，威胁者进行了密码喷射攻击，允许访问遗留的非生产测试租户帐户。该测试租户帐户还可以在 Microsoft 的企业环境中访问具有提升权限的 OAuth 应用程序，从而允许黑客从企业邮箱窃取数据。

2024 年 3 月，黑客利用被盗电子邮件中的信息再次入侵 Microsoft，从而窃取了源代码存储库。CISA 在 4 月份证实，美国联邦机构和微软之间的电子邮件也在这次攻击中被盗。这些电子邮件包含的信息使黑客能够访问某些客户的系统。

9. 国家公共数据泄露暴露了用户个人信息

8 月份，近 27 亿条美国人的个人信息记录在黑客论坛上泄露，暴露了姓名、社会安全号码、所有已知的实际地址以及可能的别名。这些数据是从国家公共数据公司窃取的，该公司收集和出售个人数据的访问权限，用于背景调查、获取犯罪记录以及供私家侦探使用。

Have I Been Pwned 的 Troy Hunt 分析了这次泄露，并确定其中包含 1.34 亿个唯一的电子邮件地址，这是一次可怕的数据泄露事件。泄露事件背后的威胁者试图以 350 万美元的价格出售它，但它最终在黑客论坛上免费泄露。

8. 针对边缘网络设备的攻击猖獗

今年，我们继续看到针对不同制造商的边缘网络设备的攻击，包括 Fortinet、TP-Link、Ivanti 和 Cisco。这些类型的设备是有价值的目标，因为它们暴露在互联网上，一旦遭到破坏，威胁者就可以进入内部网络。针对此类设备的攻击事件太多，暂不叙述。

7. CDK Global 勒索软件攻击摧毁了汽车经销商行业

汽车经销商软件即服务提供商 CDK Global 遭受 Black Suit 勒索软件攻击，致使该公司关闭系统，导致客户无法正常运营业务。

CDK Global 为汽车行业客户提供 SaaS 平台，处理汽车经销商运营的各个方面，包括 CRM、融资、薪资、支持和服务、库存以及后台运营。

由于美国的许多汽车经销商都使用该平台，此次故障导致了大范围的中断，经销商无法跟踪和订购汽车零部件、进行新的销售以及提供融资。

6. SnowFlake 数据盗窃攻击

今年 5 月，威胁者开始出售他们声称从 Snowflake 云数据平台客户那里窃取的数据。对攻击进行调查后，确定威胁者并未破坏 Snowflake，而是使用受损的凭据登录客户的 SnowFlake 帐户。

这些凭据是通过信息窃取恶意软件窃取的。一旦他们登录该帐户，就可以导出数据库并利用它们勒索公司支付赎金，以获取不公开发布的数据。

AT&T 7 月份披露，事件期间有 1.09 亿客户的通话记录被泄露，这些数据是从该公司 Snowflake 账户的在线数据库访问的。 TicketMaster 也受到了影响，威胁者声称窃取了 5.6 亿客户的数据。

与这些攻击相关的数据泄露始于 2024 年 4 月，影响了数亿使用 AT&T、Ticketmaster、Santander、Pure Storage、Advance Auto Parts、Los Angeles Unified、QuoteWizard/LendingTree 和 Neiman Marcus 服务的用户。11 月，美国司法部对 Connor Riley Moucka 和 John Erin Binns 两人提起起诉，他们被指控为袭击事件的幕后黑手。

据称，威胁者在这些攻击中勒索了 250 万美元，AT&T 为黑客删除被盗通话记录支付了 37 万美元。

5. 朝鲜 IT 工人计划

据悉，越来越多的朝鲜 IT 工人试图在美国和其他国家从事网络间谍活动并为其国家的运营创造收入。5 月，美国司法部对五人提出指控，其中包括一名美国公民女性、一名乌克兰男性和三名外国人，罪名是他们参与帮助朝鲜 IT 工作渗透到美国就业市场，为朝鲜核武器计划创收。7 月，电子邮件安全公司 KnowBe4 聘请了一名朝鲜黑客作为其首席软件工程师，该工程师试图在网络上安装窃取信息的恶意软件。

8 月，司法部逮捕了一名纳什维尔男子，他被指控帮助朝鲜 IT 工人在美国各地的公司获得远程工作，并经营一个笔记本电脑农场，他们曾冒充美国个人。Mandiant 和 SecureWorks 随后发布了有关朝鲜 IT 工人威胁的报告，分享了他们的策略以及公司如何应对此情况的出现。

4. UnitedHealth Change HealthCare 勒索软件攻击

今年 2 月，UnitedHealth 子公司 Change Healthcare 遭受大规模勒索软件攻击，对美国医疗保健行业造成了巨大破坏。

停电使医生和药房无法提出索赔、药房无法进行折扣交易，导致患者支付全价药物。这次攻击最终与 BlackCat 勒索软件团伙（又名 ALPHV）有关，该团伙使用窃取的凭据破坏了该公司的 Citrix 远程访问服务，该服务没有启用多重身份验证。

在攻击过程中，攻击者窃取了 6 TB 数据并最终加密了网络上的计算机，导致该公司关闭 IT 系统以防止攻击蔓延。该公司承认支付赎金要求以获得解密器并要求威胁者删除被盗数据。

据实施此次攻击的 BlackCat 勒索软件附属公司称，赎金据称为 2200 万美元。在 Change Healthcare 攻击之后，BlackCat 勒索软件业务面临着来自执法部门的巨大压力，导致其关闭。在 UnitedHealth 支付了据称 2000 万美元的赎金后，勒索软件团伙退出骗局，窃取了所有资金，并且没有与实施攻击的附属机构分享任何资金。

UnitedHealth 称 BlackCat 退出骗局

该附属公司声称仍然拥有 Change Healthcare 的数据，他们用这些数据再次勒索该医疗保健公司，这次是使用 RansomHub 的勒索网站。

最终，这些数据在勒索事件中消失，这可能表明又支付了一笔赎金。今年 10 月，UnitedHealth 证实超过 1 亿人的个人和医疗数据被盗，这是近年来最大规模的医疗数据泄露事件。

3.LockBit 遭到执法打击

2 月 19 日，当局拆除了 LockBit 的基础设施，其中包括托管数据泄露网站及其镜像的 34 台服务器、从受害者窃取的数据、加密货币地址、解密密钥以及附属面板。这次破坏是名为“克罗诺斯行动”的国际执法行动的一部分。

LockBit 服务器上的执法部门扣押消息

五天后，LockBit 重新启动了新的基础设施，并威胁将更多的攻击集中在政府部门。然而，该勒索软件团伙再也无法恢复以前的辉煌，其附属机构已转向其他勒索软件业务。

在过去的一年里，执法部门继续针对 LockBit，识别并指控了 7 名 LockBit 勒索软件成员。被指控的人中包括勒索软件操作的主要操作者，又名“LockBitSupp”和“putinkrab”。

LockBit 最近开始测试一款名为 LockBit 4 的新加密器，它与之前的版本似乎没有太大区别。

2. Windows 11 召回

微软新的基于人工智能的 Windows 11 召回功能引起了网络安全社区的广泛关注，许多人认为这是一个巨大的隐私风险，也是威胁者可以利用来窃取数据的新攻击媒介。

在遭到强烈反对后，微软推迟了该软件的发布，以提高其安全性，要求用户选择在其计算机上启用 Recall，并且必须通过 Windows Hello 确认自己位于 PC 前，才能重新启动该软件并使用它。

微软继续推迟其发布，同时添加了额外的功能，例如自动过滤敏感内容，允许用户排除特定的应用程序、网站或私人浏览会话，并且可以根据需要将其删除。然而，在将该软件发布给Windows Insiders进行测试后，人们发现Windows 11 Recall并没有正确过滤信用卡等敏感信息。微软表示，随着新问题的发现，他们将继续改进该产品。

1.信息窃取者活动猖獗

信息窃取恶意软件活动今年十分猖獗，出现在许多不同的活动，以窃取受感染用户的浏览器信息、cookie、保存的凭据、信用卡和加密货币钱包。

虽然信息窃取已经存在多年，但威胁者在广泛的活动中使用它们时尤其突出。这些被盗的凭证随后被用于破坏公司网络、银行账户、加密货币交易所和电子邮件账户。

围绕信息窃取者的故事太长，以下是今年信息窃取者造成的一些事件：

·黑客劫持 Orange Spain RIPE 账户造成 BGP 严重破坏

·全球信息窃取恶意软件针对加密用户、游戏玩家

·Windows 漏洞在零日攻击中滥用盲文“空格”

·恶意广告通过虚假验证码页面推送 Lumma infostealer

·“GitHub Scanner”活动滥用存储库来推送恶意软件

·网络犯罪分子冒充 Stack Overflow 用户来推送恶意软件

对于那些被窃取信息的人来说，由于威胁者窃取加密货币并访问受害者的银行账户，其可能会遭受毁灭性的经济损失。

防止此类攻击的最佳方法是在所有提供保护的帐户上使用身份验证器应用程序启用双因素身份验证。启用 2FA 后，即使威胁者拥有凭据，如果没有身份验证器生成的代码，他们也将无法登录。