二季度威胁洞察报告 | 攻击向量中钓鱼邮件占比69%

HP Wolf Security近期发布了二季度安全威胁洞察报告,报告显示二季度企业最容易受到员工打开邮件附件、点击邮件中链接以及从Web下载文件的影响。

 

HP Wolf Security近期发布了二季度安全威胁洞察报告,报告显示二季度企业最容易受到员工打开邮件附件、点击邮件中链接以及从Web下载文件的影响。

显著威胁

▶ CVE-2022-30190

 

Microsoft支持诊断工具(MSDT)URL协议中的高危零日漏洞使得攻击者可以无宏访问系统。
塞讯安全度量验证平台已经可以模拟针对此漏洞的攻击(包含相关的钓鱼邮件、恶意文件传输、C&C、恶意文件破坏性动作执行)。
警告!Windows高危零日漏洞已被黑客利用

 

▌重要发现

 

▶ 攻击者转向“无宏”格式来传播恶意软件

 

 

多年来,攻击者一直依赖恶意宏作为感染目标计算机的第一步。2月,Microsoft宣布Office将默认禁用从Web下载的文档中的宏,从而有效地对攻击者关闭这种技术。第二季度,攻击者通过尝试替代性的无宏代码来应对这一变化。
4月22日,Emotet运营商开始测试通过快捷方式(.lnk)文件来代替Office文档传递恶意文件,快捷方式文件通过在目标路径中制定一个命令来工作,从web下载并运行恶意软件。这些恶意快捷方式文件的早期版本使用“findstr”命令提取并运行附加到快捷方式文件的Visual Basic脚本。在第二季度还出现了命令为批处理或PowerShell脚本的变种。
其他攻击者通过快捷方式文件传播的恶意软件系列还包括QakBot、IcedID、Bumblebee、NjRAT和RedLine Stealer。自6月中旬以来,一些快捷文件恶意软件构建器在黑客论坛上出售,这使得恶意软件的传播变得更容易。

 

 出现了值得注意的新技术

 

4月底一个新的恶意垃圾邮件活动传播了一个名为SVCReady Loader的未知恶意软件系列。该恶意软件以不寻常的方式传递到目标端点而著称,通过使用隐藏在Microsoft Office文档属性中的Shellcode来传播。

 

 与第一季度相比,档案威胁增加了11%

 

自第一季度以来,档案中传递的威胁增加了11%,脚本和执行文件则减少了15%。这可能是由于攻击者在将恶意软件发送到目标之前将其放入档案中,例如存储在.zip档案中的恶意.lnk快捷方式。存档文件格式更有可能通过电子邮件网关,并且可以被加密,从而提高攻击者绕过那些依赖扫描检测恶意内容的安全控制的能力,更多地接触用户。

 

▶ 电子表格仍然是传播恶意软件的首选文件类型

 

Emotet正在针对亚太地区组织进行攻击活动,电子表格这一文件类型受其青睐。
主要恶意软件文件类型

 

▶ 最流行的钓鱼邮件诱饵是商业交易

 

商业交易类的钓鱼邮件通常包含“订单”、“发票”、“购买”等关键词。此外,二季度“货运”“快递”相关字眼上升为常见钓鱼邮件诱饵。

 

 14%传播恶意软件的电子邮件绕过了电子邮件网关扫描程序

 

二季度,通过电子邮件传递恶意软件的文件格式排名前五的分别是.xlsx、.xls、.rar、.zip和.doc,通过web浏览器传递的最流行的文件格式是.exe、.msi、.rar、.zip和.pdf。这表明攻击者正在使用用户熟悉的文件格式。
主要攻击向量
塞讯安全度量验证平台能够模拟包含恶意链接或恶意附件的钓鱼邮件及攻击者利用电子邮件泄露收集信息等一系列网络欺诈攻击行为,为企业提供防御体系效果验证服务。
您可以在塞讯安全度量验证平台中轻松选择那些包含恶意链接或恶意附件的钓鱼邮件的验证实验,指定Ai攻防机器人发送这些邮件给企业邮件系统中指定的邮件地址,用于验证您企业的邮件安全产品是否有能力检测出这些钓鱼邮件并将其隔离或删除。
针对浏览器或其他各种形式的攻击向量,塞讯验证也能够还原其攻击行为,您只需要在塞讯安全度量验证平台中选择您需要验证的场景或动作,就能够检验您所采取的安全防御手段的检测与防御能力。
 
| 参考来源
https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q2-2022/