媒体活动中的微软Surface Pro 4展示

Microsoft Surface

2015年10月6日,在纽约市的微软产品媒体活动上,一台微软Surface Pro 4正在展示。(摄影:Andrew Burton / GettyImages)

关键要点

  • HP Wolf Security的最新报告显示,档案文件类型现已成为传播恶意软件的首选文件格式,首次超越了Office格式。
  • 攻击者通过加密恶意载荷,在存档和HTML文件中隐藏其内容,并通过社交工程技术,通过电子邮件诱骗受害者。
  • 新的恶意软件传播技术显示出攻击者更加创新,能够更好地绕过防御机制。
  • 用户警觉性和教育依然至关重要,是防范此类攻击的关键。

HP Wolf Security于周四发布的显示,存档文件已成为传播恶意软件的最流行文件格式,与第二季度相比,样本隔离数量增长了11%,首次超过了Office格式。

HP报告发现,攻击者通过在存档和HTML文件中加密恶意载荷,成功绕过了网络安全外围控制(如电子邮件扫描器)。他们依赖社交工程技术,主要通过电子邮件来吸引毫无防备的受害者。

Vade的首席技术及产品官AdrienGendre表示,这份HP报告的重要之处在于,存档文件现在已超越了Office格式,成为传播恶意软件的首选文件类型。他指出,这种变化可能是由于行业内的威胁研究团队观察到QakBot恶意软件的下载和执行活动激增。

“这一新技术进一步显示出2022年恶意行为者的复杂性增加,”Gendre说。“他们在绕过病毒扫描和沙箱等防御措施方面变得更加创新,并进行深入研究,以创造出极具说服力和复杂性的,以成功进入用户的收件箱。”

Intel 471的恶意软件分析师JamesQuinn解释说,“隐藏”恶意文件在HTML中的技术并不新鲜。例如,Quinn指出,Hancitor背后的威胁行为者在2021年就使用了这一技术来“隐藏”恶意Word文档。这仅仅是另一种打破自动分析流程和绕过安全工具的手法。

“我们认为HP描述的HTML文件是使用工具包生成的,”Quinn表示。“我们观察到的某些活动使用了几个随机生成的密码来保护压缩档案。一个活动中使用多个不同密码的现象表明,这些载荷的构建过程是自动化的,即由构建工具或脚本生成最终的HTML,并可能还包含中间载荷。”

Quinn补充道,另一个线索是,观察到多个不同的威胁行为者使用同样的技术,这表明有一个单一的威胁行为者正在为其他威胁行为者提供服务或工具,利用该工具进行传播活动。除了和IcedID(又名Bokbot)活动外,Quinn还表示,他们还看到同样的HTML走私技术被用于传播Bumblebee。

“尽管在绕过安全控制方面看似成功,但这种技术也有缺陷,”Quinn说。“最终用户必须经历多个步骤才能使此次攻击生效。他们必须使用提供的密码解压载荷,找到被提取的恶意ISO文件,挂载ISO映像,然后浏览到脚本/文档以打开它。借助新工具的威胁者仍在不断完善这些技术并添加新功能,最新的版本使用HTML载荷中的Javascript检测鼠标移动,只有在检测到鼠标移动时才会进入下一阶段。”

Vulcan Cyber的高级技术工程师MikeParkin表示,随着威胁行为者找到新技术以绕过电子邮件网关保护和垃圾邮件过滤器,趋势十分有趣,但值得注意的是,他们仍然在对用户进行社交工程

Leave a Reply

Your email address will not be published. Required fields are marked *