Dan Swinhoe
雖然企业组织可以采取诸多措施来确保员工安全地远程办公,但形形色色的威胁分子已经在趁疫情危机大肆作乱。攻击者在加大力度,通过以新冠疫情为主题的电子邮件、应用程序、网站和社交媒体来传播恶意软件。本文细述了威胁分子用来攻击企业组织的潜在威胁途径和手法。
电子邮件是个人和组织面临的头号威胁途径,将来也会如此。网络犯罪分子长期以来利用全球事件实施网络钓鱼活动以提高命中率,新冠疫情也不例外。
网络安全公司Digital Shadows声称,暗网市场正在使用电子邮件附件来兜售新冠疫情网络钓鱼工具,该附件被伪装成新冠病毒爆发分布图,售价从200美元到700美元不等。
这些电子邮件的主题形形色色:从特定行业的分析师报告、官方政府健康建议的详细信息、提供口罩的卖家,到非常时期运营和物流方面的其他信息,不一而足。这些电子邮件中含有的攻击载荷包括勒索软件、键盘记录程序、远程访问木马和窃取信息的工具等。
Proofpoint的威胁研究和检测高级主管Sherrod DeGrippo说:“我们的威胁研究团队已观察到无数的新冠疫情恶意电子邮件活动,许多活动利用恐慌来说服潜在的受害者点击邮件。犯罪分子发送大批的电子邮件,每次数量从十几封到2万多封不等,这股势头呈上升趋势。最初我们每天全球范围内看到大概一起活动,现在每天看到三四起。”
DeGrippo说,Proofpoint的安全团队发现的电子邮件中70%左右在传递恶意软件,其余大多数旨在通过Gmail或Office 365等虚假的登录页面窃取受害者的登录信息。Proofpoint声称,与新冠疫情有关的电子邮件诱饵的累积总量现在是该公司迄今为止见过的由单一主题联合而成的最庞大的攻击类型。
NCSC、世界卫生组织(WHO)及其他组织已公开发布警告,防范佯称来自官方机构的虚假电子邮件。声称来自疾病控制和预防中心(CDC)的各种网络钓鱼邮件一直在到处流传。
BAE Systems声称,发送以新冠疫情为主题的电子邮件的威胁组织包括:攻击印度政府的Transparent Tribe(又叫APT36)、与俄罗斯有关联的Sandworm/OlympicDestroyer和Gamaredon团伙等。
虽然苹果在其App Store中对与新冠疫情有关的应用程序作了限制,谷歌从Play商店删除了一些应用程序,但恶意应用程序仍可能对用户构成威胁。 DomainTools发现的个别网站敦促用户下载一款Android应用程序,该应用程序提供了有关新冠疫情的跟踪和统计信息,包括热图。然而,该应用程序实际上隐藏着攻击Android的勒索软件(现名为COVIDLock)。勒索信要求在48小时内支付100美元的比特币;若不支付,扬言要清除联系人资料、照片和视频以及手机内存中的数据。据称已发现了解锁令牌。
DomainTools声称,与新冠疫情有关的域名以前用于分发与色情有关的恶意软件。DomainTools的高级安全工程师兼恶意软件研究员Tarik Saleh在博文中说:“这种攻击活动由来已久,表明这个新冠疫情骗局是该恶意软件的幕后主使采取的一项新举措和新尝试。”
Proofpoint还发现一起攻击活动要求用户像SETI@Home项目那样捐赠计算能力,不过专门用于新冠疫情研究,结果却发现实际上通过BitBucket传播了窃取信息的恶意软件。
传播新冠疫情信息的新网站正迅速冒出来。然而,其中许多网站也会是毫无戒心的受害者的陷阱。Recorded Future声称,过去几周每天都有数百个与新冠疫情有关的域名被注册。Checkpoint建议,与新冠疫情有关的域名是恶意域名的可能性比同期注册的其他域名高出50%。
NCSC声称,一些虚假网站冒充美国疾病控制中心(CDC),并创建类似CDC官方网址的域名,要求“密码和资助虚假疫苗的比特币捐款”。
Reason Security和Malwarebytes都报告了一个新冠疫情热图网站用于传播恶意软件。该网站隐藏着AZORult恶意软件,可窃取登录信息、支付卡号、cookie及其他基于浏览器的敏感数据,并将这些信息上传至一台指挥和控制服务器。该恶意软件还寻找加密货币钱包,未经授权获取屏幕截图,并从被感染的机器收集设备信息。
由于大量员工、甚至整个公司的员工长时期远程办公,端点及使用端口的人员带来的风险随之增加。如果员工没有定期更新系统,则其在家使用的设备会变得更岌岌可危。
长时间在家办公还可能鼓励用户将影子应用程序下载到设备上,或无视他们在办公室通常会遵守的政策。减少出差可能减小了员工在边境遇到安全问题的机会,但如果他们实际上待在家里,这只是减小了连接到不安全的WiFi网络或丢失设备的威胁。那些外出在咖啡馆办公的人(一些人也许会这样)可能仍很容易遇到设备盗窃或丢失(即中间人攻击)。
国际信息技术资产管理者协会建议注销并跟踪带回家的所有IT资产;企业应下达政策和建议,明确如何在家使用IT资产(如果人们习惯与家人共享设备更是如此),提醒用户遵守连接到公共WiFi方面的政策,并确保他们根据需要不断更新软件。
企业生态系统中的每个合作伙伴、客户和服务提供商都可能遇到与企业同样的所有问题。要与企业的第三方生态系统的重要成员保持联络,确保他们在采取措施,为远程员工队伍确保安全。
在过去几天中,美国伊利诺伊州公共卫生部门官网遭到勒索软件的攻击,而美国卫生和福利部(HHS)也遭到了未遂的DDoS攻击。规模不一的医疗机构可能比平时受到更大的压力,这可能是工作人员对点击的内容比较松懈。
伺机作案的犯罪分子或企图破坏业务运营的不法分子更有可能将矛头对准医疗部门。医疗部门的CISO或为医疗部门服务的CISO应提醒工作人员对可疑的链接和文件保持警惕,确保业务系统可抵御DDoS攻击。
比特梵德公司的全球网络安全研究人员Liviu Arsene建议企业组织采取以下步骤,以确保安全稳定的远程办公:
· 增加并发VPN连接的数量,以容纳所有远程员工。
· 安装并支持会议软件,以确保稳定的语音连接和视频连接。
· 确保所有员工都有有效的登录信息,不会在30天内过期,因为远程办公时更改过期的Active Directory登录信息可能很困难。
· 下达已接受的应用程序和协作平台方面的规定和准则,以便员工知道哪些得到批准和支持、哪些没有。
· 为部署更新制定逐步部署程序,因为同时将所有更新发给通过VPN连接的员工可能造成带宽拥塞,并影响进出的流量。
· 为所有端点启用磁盘加密,以减小中招设备上数据丢失的风险。
作者简介:Dan Swinhoe是《CSO Online》杂志的英国编辑。
原文网址
https://www.csoonline.com/article/3532825/6-ways-attackers-are-exploiting-the-covid-19-crisis.html