跟上不断变化的电子邮件威胁形势HPWolfSecurity最近发布的2022年第二季度威胁洞察报告(提供对现实世界网络攻击的分析)显示包含恶意软件的存档文件增加了11%,包括LNK文件。网络攻击者经常将快捷方式文件放在ZIP电子邮件附件中,以帮助他们逃避电子邮件扫描程序。该公司的调查还发现了可以在黑客论坛上购买的LNK恶意软件构建器,使网络犯罪分子可以通过创建武器化的快捷方式文件并将其分发给受害者来轻松转向这种“无宏”代码执行技术。HPWolfSecurity威胁研究团队的高级恶意软件分析师AlexHolland表示:“组织现在必须采取措施,在这些技术变得司空见惯并将其数据暴露给外界之前,防范越来越受到网络攻击者青睐的技术。”我们建议尽快阻止以电子邮件附件形式接收或从Web下载的快捷方式文件。”除了LNK文件的增加外,该公司的威胁研究团队还强调了网络攻击者规避技术所采用的以下恶意软件交付/检测实践:HTML走私达到临界点——惠普发现了一些网络钓鱼活动,它们使用电子邮件冒充地区邮政服务,或利用2023年多哈世博会(将吸引超过300万全球与会者)等重大活动,通过HTML走私恶意软件进行传播.使用这种技术,危险文件可以渗透到企业中并导致恶意软件感染。网络攻击者利用FollinaCVE-2022-30190零日漏洞创建的漏洞窗口–在该漏洞披露后,几个威胁参与者利用MicrosoftCorporation的支持诊断工具(MSDT)(名为“Follina”),在补丁可用之前分发QakBot、AgentTesla和RemcosRAT(远程访问木马)。该漏洞特别危险,因为它允许网络攻击者运行任意代码来部署恶意软件并在几乎没有用户交互的情况下利用目标机器。新的执行技术将隐藏在文档中的Shellcode传播到SVCReady恶意软件-惠普发现了一个名为SVCReady的新恶意软件系列,该系列以能够通过隐藏在Office文档属性中的shellcode以不寻常的方式隐藏代码而闻名。该恶意软件主要用于在收集系统信息和屏幕截图后将二级恶意软件有效负载下载到受感染的计算机上,该恶意软件仍处于早期开发阶段,近几个月已更新多次。报告中的其他主要发现包括:HPWolfSecurity捕获的电子邮件恶意软件中有14%绕过了至少一个电子邮件网关扫描程序。威胁行为者使用593种不同的恶意软件试图攻击企业,而上一季度为545种。电子表格仍然是最主要的恶意文件类型,但威胁研究团队发现存档威胁增加了11%,这表明网络攻击者越来越多地在发送文件之前将文件放入存档中以逃避检测。69%的检测到的恶意软件是通过电子邮件传送的,而网络下载占17%。最常见的网络钓鱼诱饵是商业交易,例如“订单”、“付款”、“购买”、“请求”和“发票”。惠普个人系统全球安全总监IanPratt博士评论道,“网络攻击者正在快速测试新的恶意文件格式或漏洞以逃避检测,因此组织必须为意外情况做好准备。这意味着采用一种架构方法来实现端点安全,例如通过包括电子邮件、浏览器和下载等最常见的攻击媒介,从而隔离威胁,无论它们是否可以被检测到。企业提供了在不中断服务的情况下安全协调补丁周期所需的时间。”
