2019年第三季度 | APT团伙不断增加针对企业的网络攻击

众所周知，黑客使用电子邮件地址、恶意文档和受感染的SharePoint网站来传播恶意软件。

近日，Positive Technologies报告称，由于黑客持续依靠恶意软件和社交工程来窃取公司和个人的数据，因此第三季度的针对性攻击有所增加。

根据该公司的网络安全Threatscape 2019年第三季度更新，针对性攻击从第一季度的47％上升到第三季度的65％。在第三季度报告中，Positive Technologies指出，公司基础设施中81％的恶意软件感染都是从网络钓鱼消息开始的。  

黑客将这些攻击集中在政府、工业公司、金融部门以及科学和教育组织。APT黑客假装代表政府机构、军事实体和电信公司来攻击南亚的组织。我们来看看以下数据：

网络犯罪分子在第三季度对组织的攻击中使用社会工程手段的比例为69％，高于第二季度的37％。商业电子邮件泄露（BEC）是黑客们的首选武器，因为黑客“声称自己属于受信任的公司（例如供应商），并发送带有自己银行帐号的发票”。

根据美国联邦调查局（FBI）的互联网犯罪投诉中心的数据，在过去三年中，全球因BEC诈骗而造成的损失超过260亿美元。 

在2019年第三季度，APT集团TA505将其目标扩大到更多国家和其他行业。网络钓鱼邮件是该组织渗透目标网络的主要方法。

9月，PT专家安全中心注意到TA505正在向欧洲和非洲银行发送网络钓鱼邮件。这些电子邮件中包含带有宏的Office文档，这些宏可提取DLL，保存并运行新的FlawedAmmyy加载器。

另外，黑客正在寻找绕过反网络钓鱼防御的新方法。在第三季度，黑客使用了一个受感染的SharePoint网站来诱骗银行员工共享用户名和密码。最初的SharePoint链接已经进入银行收件箱，因为SharePoint链接已被列入白名单。

APT的武器库包括：

· Dridex，银行木马

· Cryptomix，勒索软件，使用发给虚拟法人的证书签名

· ServHelper，远程桌面代理和下载程序 

· FlawedAmmyy，远程操控木马

· Upxxec，一个可检测并禁用各种防病毒软件的插件

Positive Technologies报道说，随着每一波新的攻击，犯罪组织也对其工具包进行了质的改变，并向更高级的技术又迈进了一步。

2019年第三季度更新还发现，挖矿软件现在仅占对组织攻击的3％，因为攻击者正在逐渐转向具有“多功能”的恶意软件。 

“ Clipsa木马就是这种多任务恶意软件的一个例子，其中包括挖掘加密货币、窃取密码、篡改加密货币钱包的地址以及对WordPress网站发起暴力攻击。”

8月下旬，Emotet再次开始发送恶意垃圾邮件。僵尸网络的运营商为其他黑客提供了受Emotet感染的计算机的访问权限，以便这些“客户”可以安装更多的恶意软件。 

僵尸网络发出伪装成发票、财务文件甚至是爱德华·斯诺登著作的免费版本的恶意邮件。附件使用Emotet木马感染受害者。这样，僵尸网络运营商就可以在受感染设备上防止更多的Trickbot特洛伊木马程序或Ryuk勒索软件等。这些恶意软件经常在受感染的机器上同时出现。

在报告的最后，Positive Technologies提醒读者，大多数攻击未公开，因为公司不想承认失去对数据和IT系统的控制权。因此，Positive Technologies提供以下建议以提高IT安全性：

· 确保不安全的资源不会出现在网络外围

· 过滤流量以最大程度地减少外部攻击者可访问的网络服务接口的数量

· 尽可能使用双因素身份验证，特别是对于特权帐户

· 提高客户之间的安全意识