本文转载自雷锋网。据外媒报道,近日,谷歌发布报告称,2019年,其就国家支持的黑客攻击向用户发出了约4万次警告。被攻击的账户所有者主要是政府官员、记者、持不同政见者和地缘对手。同时,警告次数较2018年减少了25%。这种下降可能是由于谷歌实施的防御措施效率提高,但攻击复杂化的风险也不容小觑。此外,谷歌还公布了2019年网络钓鱼和恶意软件攻击的新趋势。冒充新闻机构和记者的人数呈上升趋势回顾年初以来的网络钓鱼尝试,谷歌发现攻击者有所增加,包括来自伊朗和北方的攻击者韩国,冒充新闻媒体或记者。例如,攻击者冒充记者与其他记者一起广播假新闻,以传播虚假信息。在其他情况下,攻击者会发送几封善意的电子邮件,以与记者或外交政策专家建立关系,然后再在后续电子邮件中发送恶意附件。政府支持的攻击者通常以外交政策专家为目标进行研究,联系与他们合作的组织,并在随后的攻击中与其他研究人员或政策制定者建立联系。2019年政府支持的网络钓鱼目标分布。政府黑客目标更有针对性谷歌指出,政治竞选成员、记者、活动家、持不同政见者、高管、金融或政府等行业的用户最容易受到国有攻击,a2019年将增加的趋势得到确认。根据谷歌2019年的数据,政府资助的黑客多次攻击他们的目标,五分之一的账户收到警告,多次成为攻击者的目标。政府支持的攻击者继续以地缘政治对手、政府官员、记者、持不同政见者和活动家为目标。美国、印度、巴基斯坦、日本和韩国等国家的居民总共收到了1000多条警告。八个月前,微软表示在过去的12个月中已警告10,000名客户注意国家支持的攻击。谷歌特别以俄罗斯黑客组织Sandworm为例。Sandworm是一个为俄罗斯联邦工作的攻击组织,据信它实施了迄今为止最具破坏性的一些攻击,包括对乌克兰电力设施的攻击,该攻击导致两次严重停电。下图显示了Sandworm从2017年到2019年针对每个行业和国家的目标。虽然针对大多数行业或国家的攻击是零星的,但乌克兰在三年的时间里一直是攻击的目标:零日攻击的目标更加明确。零日漏洞是未知的软件缺陷。在识别并修复它们之前,它们可能会被攻击者利用。Flag主动搜索这些类型的攻击,因为它们特别危险并且成功率很高,尽管它们只占总数的一小部分。当谷歌发现利用零日漏洞的攻击时,它会向供应商报告漏洞并提供给他们。7天来自己修补或提供建议或发布建议。2019年,谷歌发现了影响Android、Chrome、iOS、InternetExplorer和Windows的零日漏洞。GoogleTag报告了一个案例,其中威胁行为者在相对较短的时间内使用了五个零日漏洞。这些攻击用于水坑攻击和鱼叉式网络钓鱼攻击。谷歌观察到的大多数目标是朝鲜人或处理朝鲜相关问题的个人。谷歌的高级保护计划(APP)旨在保护任何面临网络攻击风险的人,例如鱼叉式网络钓鱼攻击。谷歌表示:高级保护计划使用安全密钥来帮助保护电子邮件、文档、联系人或其他个人数据。即使黑客知道您的密码,如果没有您的安全密钥,他们也无法访问您的帐户。安全密钥是一种小型物理设备,可帮助证明您正在登录手机、平板电脑或计算机。您还可以使用内置的安全密钥。在运行iOS10+或Android7+设备的iPhone上。只有在您第一次登录计算机、浏览器或设备时才需要安全密钥。之后,您只会被要求输入密码。同时,该报告还披露了2019年发现的零日漏洞,这些漏洞包括:InternetExplorer-CVE-2018-8653InternetExplorer-CVE-2019-0676Chrome-CVE-2019-5786WindowsKernel-CVE-2019-0808InternetExplorer-CVE-2019-1367InternetExplorer-CVE-2019-1429其中CVE-2018-8653、CVE-2019-1367、CVE-2020-0674是jscript.dll中的漏洞,所以所有漏洞都是启用IE8渲染并使用JScript.Compact.JS引擎。在大多数InternetExplorer攻击中,攻击者滥用Enumerator对象来获得远程代码执行。为了逃避InternetExplorerEPM沙箱,漏洞利用技术通过滥用Web代理自动发现(WPad)服务在svchost中重播相同的漏洞利用。攻击者在利用该漏洞后利用cve-2020-0674在Firefox上滥用该技术逃脱沙箱。CVE-2019-0676是CVE-2017-0022、CVE-2016-3298、CVE-2016-0162和CVE-2016-3351的变体,其中漏洞存在于“RES://”URI的处理中方案。利用CVE-2019-0676使攻击者能够发现受害者计算机上存在或不存在的文件;这些信息后来被用来决定是否应该进行第二阶段的攻击。CVE-2019-1367的攻击向量非常不典型,因为攻击源自Office文档,滥用在线视频嵌入功能加载外部URL进行攻击。值得注意的是,谷歌表示将在未来的更新中提供有关攻击者使用COVID-19相关诱饵的详细信息以及我们观察到的预期行为(均在攻击者活动的正常范围内)。
