根據(jù)守內(nèi)安與ASRC (Asia Spam-message Research Center) 研究中心的觀察�����,2023年第一季度��,隨著全球經(jīng)濟(jì)環(huán)境的整體復(fù)蘇�����,網(wǎng)絡(luò)攻擊者也在蠢蠢欲動(dòng):今年第一季整體垃圾郵件及病毒郵件的數(shù)量��,相較去年第四季快速增長將近一倍��;由打印機(jī)或僵尸網(wǎng)絡(luò)進(jìn)行的郵件試探發(fā)送頻率也較去年第四季度大幅提升450%�����!
(資料圖片)
研究顯示�,雖然目前還未看到較具體的生成式AI應(yīng)用攻擊活動(dòng),但其可在短時(shí)間內(nèi)生成較以往更令人信服的文案����、翻譯和以假亂真的圖片,將會(huì)是未來郵件安全發(fā)展的一大隱患�。以下為守內(nèi)安與ASRC研究中心在本季度監(jiān)測到的一些較為特殊的郵件攻擊實(shí)例:
1.針對Microsoft OneNote 的攻擊
Qbot組織于今年第一季度發(fā)起了一波通過電子郵件流竄的惡意攻擊,名為QakNote����。這個(gè)攻擊主要的特性是使用 .one的惡意文件試圖攻擊Microsoft OneNote,為后續(xù)的惡意行動(dòng)打開受感染裝置的入侵大門���。
為了防范宏在Office文件中被惡意濫用�,微軟去年七月宣布關(guān)閉宏功能的措施會(huì)部署到Windows平臺(tái)的Access���、Excel���、PowerPoint、Word和Visio����。在今年一月�����,研究人員就發(fā)現(xiàn)了攻擊者瞄準(zhǔn)Microsoft OneNote發(fā)動(dòng)新的攻擊活動(dòng)趨勢。
.one的惡意文件中可包含惡意的VBS ���、HTA或LNK快捷方式作為附件��,也可以攜帶惡意的.js或 .jse����,當(dāng)受害者不慎點(diǎn)擊其中的攜帶附件�����,就可能觸發(fā)一連串請求powershell.exe執(zhí)行的惡意行為�。
注:OneNote允許在筆記中插入各種附件
注:攻擊程序代碼會(huì)藏在圖片后方
2.土耳其震災(zāi)募款詐騙郵件
2023年2月6日凌晨4時(shí)17分,土耳其發(fā)生強(qiáng)烈地震��,受災(zāi)規(guī)模巨大引起世界關(guān)注����,同樣也引起了黑客的關(guān)注。在初期,我們觀測到的詐騙郵件通過假冒全球捐贈(zèng)網(wǎng)(globalgiving.org) 的捐款信息�,搭配帶有二維碼的釣魚頁面進(jìn)行虛擬貨幣的捐款詐騙。
注:冒名全球捐贈(zèng)網(wǎng)的詐騙
(Turkey_scam_whois.jpg�,但其來信的網(wǎng)域卻是在2023/02/08注冊。)
釣魚頁面本身不具備交易或騙取敏感數(shù)據(jù)的功能��,只提供三個(gè)指向詐騙用虛擬錢包地址的QR code:
(1)BTC
bitcoin:15euPhVcHmSP1kHeq2EyWvf9NXS12hmcWN
(2)ETH
ethereum:0xFb9217f10569a60A352b26A22fD99a1719c1bCd7@1
(3)USDT
ethereum:0xdAC17F958D2ee523a2206206994597C13D831ec7@1/transfer?address=0xFb9217f10569a60A352b26A22fD99a1719c1bCd7
還有一種欺詐形態(tài)是在內(nèi)文要求直接捐款至特定比特幣錢包賬戶:bc1q2ta3f85kyd6ez6gtz45agxfxwp7007wdnzvg4n�����。
(Turkey_scam_3.jpg�����,附帶 QRcode 的善款詐騙郵件�����。)
這封詐騙信夾帶了QRcode圖片附件�,經(jīng)過解碼,結(jié)果為另一個(gè)比特幣錢包:
bitcoin:bc1qfpehxeppc9yd2farrxxq5mlr4xr82ezwevu7uf��,這個(gè)錢包過去就被廣泛用于各種詐騙與恐嚇取財(cái)���。
研究人員再次提醒���,務(wù)必提防通過詐騙郵件要求任何捐款指示的操作���,許多網(wǎng)絡(luò)詐騙行動(dòng)并非一次性的損失,攻擊者會(huì)記錄容易上當(dāng)?shù)氖芎φ咝畔⒉⑶野l(fā)起持續(xù)性的欺詐攻擊���。
3.漏洞利用:CVE-2023-21716、CVE-2023-23397
Microsoft 于2月14日發(fā)布重大漏洞CVE-2023-21716����,同時(shí)影響了多個(gè)版本的Microsoft Office。此為遠(yuǎn)程執(zhí)行任意程序代碼(RCE�,Remote Code Execution) 漏洞,CVSS 評(píng)分值高達(dá)9.8�����。這個(gè)漏洞的入侵方式為攻擊者通過電子郵件攜帶特制的 RTF 文件�,若使用者開啟RTF文件;或以帶有預(yù)覽窗口的Office應(yīng)用程序(如: Microsoft Outlook) 瀏覽���,黑客就可以釋放漏洞執(zhí)行程序代碼����。
而在Microsoft 3月發(fā)布的CVE-2023-23397 (CVSS評(píng)分值9.8)漏洞,是Microsoft Outlook 特權(quán)提升(EoP) 漏洞��,可利用Outlook的日歷提醒功能來竊取受害者的Net-NTLMv2哈希���。Outlook客戶端只要接收并處理利用此漏洞的惡意郵件后�,即便使用者沒有開啟或預(yù)覽這封惡意郵件���,都會(huì)自動(dòng)觸發(fā)該漏洞并泄漏Net-NTLMv2哈希���。
以兩個(gè)漏洞都可讓黑客通過惡意電子郵件進(jìn)行攻擊,企業(yè)組織應(yīng)盡快修補(bǔ)���。
4.郵件炸彈
郵件炸彈(Email bomb) 是一種惡意濫用電子郵件的行為���,其目的是使目標(biāo)郵箱超額或使目標(biāo)郵件服務(wù)器癱瘓,其中一種手段是利用壓縮文件來進(jìn)行���。通過修改壓縮文件���,可讓商業(yè)郵件服務(wù)器、反垃圾機(jī)制或防病毒軟件在檢查壓縮文件內(nèi)容物時(shí)����,形成拒絕服務(wù)攻擊�。在今年三月份�,研究人員發(fā)現(xiàn)了一種融合了過去郵件炸彈手法的新攻擊手段。
(mail_bomb.jpg����,看似平常的壓縮文件附件郵件。)
(mail_bomb_compressed.jpg����,壓縮文件里的 WORD 文件有著超高比例的壓縮�。)
這種攻擊在Office Word文件的前半段嵌入惡意攻擊的程序代碼;而后半段則全填為“0”��。當(dāng)網(wǎng)絡(luò)安全設(shè)備試圖解壓縮進(jìn)行掃描檢查時(shí)��,解壓縮后的文件過大很容易將緩存空間塞滿���,或造成內(nèi)存占用方面的錯(cuò)誤�;同時(shí)��,因?yàn)槲募^大也會(huì)被一些掃描策略主動(dòng)忽視���。不過這波攻擊并未持續(xù)很長時(shí)間�。
