最近, 我們正在密切跟蹤一個新的網路安全威脅。 目前已經發現攻擊者以粗心或者非專業的使用者作為目標, 盡可能的分發勒索軟體和其他形式的惡意軟體。
該威脅突出特性:攻擊者使用多種技術, 試圖運行一個名為“Quant Loader”的木馬程式, 來分發勒索軟體和密碼竊取程式。
相關詳細說明:
當使用電子郵件時, 一個陌生的檔副檔名--尤其是在ZIP檔中被單獨壓縮的檔—常常是新的惡意軟體的潛在跡象。 這次也不例外, 某電子郵件聲稱是上個月的帳單檔, 其中包含壓縮後的“.url”互聯網快捷方式檔副檔名。 這些快捷檔使用是已被證實的CVE-2016-3353漏洞的變體, 其中包含到 JavaScript檔 (以及多個最近發現的惡意Windows 指令檔) 的連結。
根據過去的攻擊案例顯示, Quant Loader是一種通常用於分發惡意軟體 (如勒索軟體和密碼竊取程式) 的特洛伊木馬程式。 它在地下論壇中被銷售, 允許用戶使用管理面板在使用者被感染後配置負載。 在售的可配置惡意軟體正在變得越來越普遍, 這使得惡意軟體的開發與分發環節分離。
執行該Windows腳本後, 該腳本的進程由多個子進程組成--每一個都持續不到一天時間。 它們利用仿冒的電子郵件內容和附件檔案名稱(有些電子郵件只有主題沒有正文), 一個在 Samba 上提供惡意指令檔的域, 以及從少數幾個域分發Quant木馬的變體。
Samba 共用可以公開訪問, 但仍處於活動狀態, 如下圖所示。 有趣的是, 試圖通過 HTTP 訪問 URL 後, 有時會導致重定向, 從而導致下載隨機金鑰生成器檔。 幸運的是, 這些通常被大多數防毒軟體標記為惡意檔。 基於我們對該惡意軟體的追蹤研究, 它並非每天出現, 但是在今年三四月份曾多次出現。
雖然攻擊者試圖設計一種新的方法來誘使用戶感染自己, 但這往往會讓那些具備安全知識的人更容易地發現它們。
綜上所述, 這些攻擊中常使用的方式包括:
網路釣魚–發送電子郵件以引誘收件人按照攻擊者的要求去操作
社交軟體–攻擊者與收件人進行接觸, 獲得信任後, 讓收件人根據他們的惡意請求去操作
利用開發漏洞-CVE-2016-3353漏洞用於繞過流覽器並在用戶空間執行惡意腳本
混淆視聽-惡意腳本被充分混淆視聽, 以阻止或減慢靜態分析工作
採取行動:
用戶安全意識培訓——員工應定期進行培訓和檢測, 以提高他們應對各種針對性攻擊的安全意識。
此外, 通過提供沙箱和高級威脅防禦的電子郵件安全解決方案, 可在惡意軟體到達企業郵件伺服器之前阻止。 此外, 更好的防禦包含惡意連結的郵件, 您還可以部署防網路釣魚保護, 包括連結保護, 以查找指向包含惡意程式碼的網站的連結。 即使這些連結被隱藏在文檔內容中, 也可阻止使用者連結到這些被破壞的網站。
即時防禦魚叉式網路釣魚和網路詐騙- 梭子魚Sentinel是基於雲的服務, 利用人工智慧學習企業的通信歷史, 並預防未來的魚叉式網路釣魚攻擊。 其結合了三個強大的層:
人工智慧引擎, 能即時阻止魚叉式網路釣魚, 並識別出公司內高危的個體用戶;
使用 DMARC 身份驗證防止域欺騙和品牌劫持的域欺詐;
針對高風險個體的欺詐模擬訓練。