一、介绍

一场始料未及的疫情使整个世界持续动荡,国家边境关闭、企业摇摇欲坠、政治矛盾日渐紧张,但这却丝毫未影响网络犯罪的持续增长。Group-IB公司的研究人员在最新的Hi-Tech Crime Trends 2020-2021报告中,指出了高科技犯罪领域发生的主要变化,并且揭露了网络犯罪攻击手法的内部工作原理、不同威胁组织间的通信和出售恶意软件或其他恶意服务的计划。

二、当前威胁和预测

(一)勒索软件攻击

当前威胁

  1. 在过去一年里,出现了七个新的勒索软件联盟计划(总数已经达到了十五个),形成了公司网络访问权限出售的市场。

  2. 在2019年下半年至2020年上半年之间,公司网络访问权限出售的数量与上一时期相比增长了2.6倍(从138到362)。

  3. 越来越多的攻击者积极出售对公司网络的访问权限,在2019年,就有50位活跃卖家;在2020年上半年,Group-IB发现了63个。

  4. 运营TrickBot, Qbot, Silent Night和RTM等银行僵尸网络的攻击者已经开始使用其僵尸网络来部署勒索软件。

  5. Cobalt and Silence网络犯罪组织可能已经加入了勒索软件联盟计划。

  6. 公司中的原始错误,例如公共服务中存在漏洞的软件版本或者弱口令,是最严重的风险之一,如果存在漏洞的系统被攻陷,攻击者通常会试图对企业造成尽可能多的损害,然后进行勒索。

  7. 十个勒索软件联盟计划涉及到一类攻击,就是通过远程桌面服务,从外部访问服务器进行暴力攻击。三个计划中涉及到利用VPN服务器中的漏洞。

  8. 确定了在远程访问接口(RDP、SSH、VPN)和其他服务上,存在着分布式暴力攻击的新型僵尸网络、

  9. 诱骗受害者支付赎金最常见的方法之一,是声称要把窃取的数据泄露到互联网上,以进行勒索。

  10. 一些组织甚至拍卖出售窃取的数据,而不是直接发布在网络上。

  11. 勒索软件非常受欢迎,以致犯罪分子开始在GitHub等网站上发布针对Linux, MacOS和Windows的勒索软件服务项目,例如:RAASNet项目。

  12. 网络罪犯主要使用两个开发框架横向移动获得对目标公司网络的控制权:一个名为Metasploit的免费工具和一个破解版的Cobalt Strike。攻击者很少使用PoshC2和Koadic框架。在报告期间,Group-IB专家确定了10,000多台安装了这些框架的主机。在2018年下半年至2019年上半年之间,Group-IB研究人员发现了约6,000台此类主机。

  13. 遭受攻击最多的国家是美国、英国、加拿大、法国和德国,一共发生了505次攻击,这五个国家遭受了381次,占比75%。

  14. 一半的攻击都针对制造业、贸易、政府、医疗、建筑和学术领域,其中影响最严重的是制造业。

  15. Group-IB发现了新的攻击活动,攻击者使用一种旨在破坏与工业网络应用程序相关流程的新型勒索软件,它可以帮助网络犯罪分子更有效地加密制造业中的重要数据。

预测

  1. Group-IB专家预测将会出现专门的交易平台,进行售卖公司网络的访问权限,这将会导致更多相关的威胁事件。

  2. 预计对Linux中能实现网络持久性和特权提升的勒索软件,会有更多的需求。

  3. 物联网僵尸网络所有者可能会开始出售在被攻陷公司网络上安装设备的权限。

  4. 将会出现使用远程控制界面进行分布式暴力攻击的新型僵尸网络和相关犯罪服务。

  5. Group-IB认为,勒索软件联盟计划的数量只会在短时间内增长,预计到2020年底,市场将会趋于稳定,数量将会停止增长。

  6. 可能存在对公司邮件系统的勒索软件攻击,稳定的电子邮件通信对企业至关重要,因此黑客可能会从本地邮件服务器窃取数据并禁用 邮件系统,这可能导致云邮件服务越来越流行,内部邮件存储模型就会被舍弃。

  7. 为了操纵生产过程,可能会出现针对SCADA系统进行攻击的组织。

  8. 情报服务可能对联盟计划中的成员感兴趣,并通过他们访问网络。

  9. 为了最大程度地破坏被攻击机构并转移注意力,攻击者可能通过散布受攻击组织的业务文档或出售受影响公司网络的访问权限,来模仿犯罪分子。

(二)军事行动

当前威胁

  1. 情报机构当前攻击更加频繁,他们现在的目标不仅是暗中监视,还进行摧毁关键的基础设施。

  2. 作为APT行动的一部分,攻击组织关闭核电厂的电力装置,并物理破坏周围的基础设施。

  3. 对管理水源的设施进行的一次重大网络攻击被发现了,在事件发生期间,攻击者试图改变水中氯含量,如果成功的话,该国的人将会受到严重影响。

  4. 一些国家领导人开始公开宣布对其他国家的成功攻击。

  5. 黑客武器库得到了积极的补充,这些工具专门用于攻击隔离网络,过去一年里,已经发现了四种使用USB连接隔离网络的工具。

预测

  1. 在中东紧张局势加剧的背景下,攻击者可能会发动对波斯湾运输船控制系统的攻击。

  2. Group-IB预测攻击者将会对伊朗的关键基础设施,特别是与核能相关的设施进行更多的攻击活动。

  3. 安全厂商已经开始开发在UEFI级别检测后门的工具,这将有助于检测军事行动中被利用的新型UEFI恶意软件。

  4. 埃隆·马斯克(Elon Musk)在航天行业的公司所取得的新成就可能会吸引攻击者的注意,无论是出于间谍目的还是为了获得对其卫星互联网星座控制系统的控制权。

(三)对电信部门的威胁

当前威胁

  1. 与黑客攻击相关的六个组织频繁攻击了电信部门。

  2. 攻击者在DDoS攻击能力方面创造了新的记录:每秒2.3Tb和每秒8.09亿个数据包。

  3. BGP劫持和路由泄露仍然是一个严重的问题,在过去的一年中,已经公布了九起重大案件。

预测

  1. 随着洲际冲突的持续升级,预计攻击者将会首次攻击电信运营商,以引起网络阻塞,将会导致级联效应影响多个行业。

  2. 新冠肺炎已经迫使大量人员居家办公,疫情结束后,也将会有许多人成为永久性在家工作的员工,鉴于家用路由器和存储系统可以帮助高级犯罪集团和政府资助的攻击者在不渗透组织边界的情况下访问公司数据,因此攻击的数量将会持续增加。

(四)对能源部门的威胁

当前威胁

  1. 攻击者军械库中被充足的补给了旨在攻击隔离网络的工具,在过去的一年里,发现了四种使用USB闪存驱动器连接隔离网络的工具。

  2. 核电已成为攻击者显而易见的目标,在过去的一年里,没有发生过此类攻击的报道。但最近伊朗的核能设施遭到破坏,印度的核设施遭到间谍攻击。攻击者似乎对印度特别感兴趣以为该国正在开发核技术和基于钍的反应堆。

  3. 没有发现能够影响技术流程的新框架,这表明攻击者在隐瞒使用此类工具方面变得更加谨慎。

  4. 有犯罪组织已经开始对能源公司表现出积极的兴趣,尝试定向攻击,以控制整个网络并使用勒索软件感染基础架构。

  5. 与情报服务有关的九个组织攻击了能源部门,据报道,有七个黑客出售了对能源网络访问权限,此外,针对该部门还进行了11次成功的勒索软件的攻击。

  6. 许多类型的勒索软件已经配备了检测与工业控制系统相关过程的新功能,这将导致重要数据的大量损失,增加用于恢复此类数据访问的勒索软件的数量。在Historian服务器上的数据尤其明显。

预测

  1. 间谍活动将仍然是国家资助的攻击者的主要目标。

  2. 对能源部门的破坏性攻击将在中东或正在出现军事冲突的国家进行。

  3. 为了更有效地进行攻击,攻击者不仅要针对大型能源公司,还要针对向能源公司提供额外服务的能源分销商和小型供应商。

  4. 5G网将将把大量设备连接到全球网络,包括属于能源和工业企业的设备,这将会导致攻击面急剧增加。

  5. 网络犯罪分子(主要是“老练”的黑客)将更频繁地使用易受攻击的网络设备进行初始感染,技术欠佳的犯罪分子将使用常见的网络钓鱼技术。

(五)网络钓鱼和社会工程

当前威胁

  1. 与之前相比,发现的网络钓鱼活动增加了118%。

  2. 新冠疫情导致更多的网络犯罪分子参与网络钓鱼攻击。

  3. 到2020年第二季度,针对bookmakers的网络钓鱼攻击从上一季度的2%增长到6%。

  4. 用于收集Microsoft,Netflix,Amazon,eBay和Value Steam等各种在线服务的账号的网络钓鱼攻击增加了9%。

  5. 针对加密货币项目的网络钓鱼活动几乎完全消失了。

  6. 到目前为止,2020年的主要趋势是使用一次性唯一链接,这些唯一链接在用户打开链接后就无效,这种方法可以帮助网络犯罪分子使钓鱼链接更难被检测到。

  7. 在俄罗斯,网络钓鱼攻击数量大幅度增加的主要原因是,出现了各种针对黑客的网络营销计划,这些计划与假冒银行奖励计划、彩票抽奖、付费调查等有关,希望通过网络钓鱼赚钱。

  8. 网络钓鱼服务项目已在俄罗斯广泛流传。

预测

  1. 在俄罗斯越来越受欢迎的网络钓鱼联盟计划将在其他地区更积极地使用。

  2. 网络钓鱼攻击自动化且持续时间更长,主要归于通过网络钓鱼服务模式传播的欺诈行为,我们预计此类项目将会被更多的开发和普及。

  3. 网络安全行业面临的最大挑战之一将是使用一次性网络钓鱼链接的黑客。

三、军事行动

(一)APT组织

1. Tortoiseshell

地理位置

初步感染方法

工具

美国

中东

钓鱼

Drive-by compromise

Backdoor.Syskit

Infostealer

自2018年7月起,Tortoiseshell组织至少攻击了11家IT公司,其中大多数位于沙特阿拉伯。

证据表明攻击者在域管理员级别获得了访问权限,将导致网络上的数万台计算机受到威胁。

该组织创建了一种被称为Syskit的特殊后门,以Delphi和.NET语言开发,有了这个后门,攻击者就能下载并执行其他工具和命令,该恶意软件在一次针对美国退伍军人的网络钓鱼网站攻击中被发现。

2. Higaisa

地理位置

初步感染方法

工具

亚太地区

欧洲

俄国

钓鱼

GHOST RAT

Keylogger

Info Stealer

自2016年以来,Higaisa组织一直未被人注意。攻击者进行网络钓鱼活动,传递通常被伪装成合法安装程序,图像或文档的可执行文件。一些祝贺的文字或者是重要的新闻常被用作诱饵。攻击者常用的攻击工具如下:

  • GHOST RAT新修版

  • 键盘记录

  • 目标为从Outlook窃取密码的恶意程序

  • Android Trojans(能够截屏、捕获GPS位置和SMS消息,记录通话、窃取电话数据以及下载文件)

3. AVIVORE

地理位置

初步感染方法

工具

欧洲

英国

供应链攻击

Mimikatz

PlugX

Living-off-the-land

该组织从2015年以来就一直活跃,但其活动在2019年达到顶峰,据报道,AVIVORE是对最近欧洲航空巨头空中客车公司攻击的幕后黑手。空客在2019年遭受了四次攻击,最近一次在九月。

攻击者通过英国发动机制造业Rolls-Royce和法国科技咨询公司Expleo,渗透了空中客车的全球供应商网络,此外,为该航空公司工作的两个身份不明的承包商也受到了威胁,该组织使用的主要恶意工具是PlugX。

4. Nuo Chong Lions

地理位置

初步感染方法

工具

中东

钓鱼

水坑

AndroRat

SandroRat

Droidjack

SpyNote

MobiHok

尽管Nuo Chong Lions组织在2019年和2020年没有任何活动,但因为其领导人已经改变,所以可能会再次发动攻击,该组织也被称为SilencerLion,在2013年至2018年的攻击都是监视和控制国内外沙特政府的批判者。

据报道,该组织招募了两名Twitter员工,以收集持不同政见者和激进分子的机密个人数据,包括电话号码和IP地址。2015年11月11日,Twitter曾向一名前员工查看过的账户持有人发出过安全通知。

Saud al-Qahtani曾是穆罕默德·本·萨勒曼王储的前最高助手,涉嫌参与上述行动。据称,他还雇用了以色列公司NSO Group来监视批评利雅得的激进主义者和记者。

在攻击过程中,黑客使用了水坑和鱼叉式网络钓鱼方法。Nuo Chong Lions使用了四个移动的RAT,包括一个称为AndroRat的开源工具和三个商业RAT(SandroRat,SpyNote和MobiHok)。

5. WildPressure

地理位置

初步感染方法

工具

中东

未知

Milum

WildPressure组织不会与其他APT组织重叠,而是使用新的恶意软件,黑客攻击了中东组织,其中至少有几个在工业部门开展业务。黑客投递了一个成熟的名位Milum的C++木马,在HTTP POST请求的加密通信中,Group-IB发现了该恶意软件是较为初期阶段的1.0.1版本,所以猜测可能存在非C++版本的设计,这表明该组织将来可能会持续发起攻击。

(二)长期进行秘密攻击的知名组织

1. Golden Falcon

该组织的一台C&C服务器在APT-C-34的攻击活动中被检测到,至此才被发现。

该组织入侵了哈萨克斯坦的私人公司和政府组织。他们主要使用两种工具。第一个是RCS(远程控制系统)的版本,这是一个由意大利供应商HackingTeam出售的监控软件套件。第二个是后门,名为Harpoon,似乎是由该组织本身开发的。 在C&C服务器上找到了有关后者的俄语文档,这表明该组织雇用了第三方开发人员根据该组织自己的技术规范编写了该恶意软件。他们还通过使用Octopus Trojan木马,进行在哈萨克斯坦的间谍活动。

2. APT20

两年来,APT20团体在攻击公司和政府机构时未被发现。攻击者窃取了密码,并绕过了两层身份验证以收集目标数据。他们的大规模行动名为“Operation Wocao ”,已经影响了航空,建筑,金融,医疗,保险,赌博和能源等多个行业。犯罪分子通过定期从受感染的计算机中删除数据窃取工具,有效地掩盖了他们的踪迹。

3. Cycldek

Cycldek使用USBCulprit木马,该木马旨在从公司网络中窃取数据,并有助于访问断开连接和物理隔离的设备。自2014年以来,该恶意软件一直未被发现,2019年出现了新样本。该组织的重点是东南亚多个国家/地区的政府组织。

(三)重大攻击事件

1. 核设施攻击

2019年9月,Group-IB专家发现了一个包含Dtrack的档案,Dtrack是归属于Lazarus组织的远程管理工具。分析显示,日志包含来自一台运行Windows的受感染计算机的数据,该计算机属于印度核电公司(NPCIL)的员工。

2020年4月,Lazarus组织向韩国能源部门发送了恶意电子邮件。黑客使用描述KHNP(韩国水电和核电有限公司)空缺的文件伪装自己。

2020年7月3日,以色列当局被怀疑对伊朗的核设施进行了网络攻击。该事件于7月2日在伊朗纳坦兹最大的铀浓缩设施中发生,并引起火灾和爆炸。

2. 对以色列供水设施的攻击

2020年4月,黑客获取了以色列某些水处理系统的访问权,并试图改变水中氯含量,此外,2020年6月,以色列水务局称,供水和水处理系统再次受到攻击,这些攻击并未对以色列的供水系统造成任何损害。

3. 对伊朗关键设备的攻击

2020年5月9日,黑客攻击了伊朗阿巴斯港市Shahid Rajaee港口的系统,攻击发生后,伊朗一些重要设施发生了一系列事故和爆炸,包括石油化学工厂,铀浓缩设施,发电厂和港口。

原文标题:Group-IB Hi-Tech Crime Trends 2020-2021

编译:CNTIC情报组

本文为CNTIC编译,不代表本公众号观点

声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。