它通常以恶意广告开始,以 Royal 勒索软件的部署结束,但一个新的威胁组织以其创新中间的恶意步骤以引诱新目标的能力而著称。
根据这家计算巨头本周的一份报告,这个被微软安全威胁情报部门追踪为 DEV-0569 的网络攻击组织以其不断改进发现、检测规避和妥协后有效载荷的能力而著称。
“DEV-0569 特别依赖于 恶意广告,指向恶意软件下载器的网络钓鱼链接冒充软件安装程序或嵌入在垃圾邮件、虚假论坛页面和博客评论中的更新,”微软研究人员说。
在短短几个月内,微软团队观察到了该组织的创新,包括在组织的联系表中隐藏恶意链接; 在合法的下载站点和存储库中隐藏假安装程序; 并在其活动中使用 Google 广告来掩饰其恶意活动。
“DEV-0569 活动使用签名的二进制文件并提供加密的恶意软件有效负载,”微软团队补充道。 “该组织也以严重依赖防御规避技术而闻名,在最近的活动中继续使用开源工具 Nsudo 试图禁用防病毒解决方案。”
集团成功职位 DEV-0569 微软安全部门表示,作为其他勒索软件操作的访问代理。
如何巧妙应对网络攻击
除了新技巧,Vulcan Cyber 的高级技术工程师 Mike Parkin 指出,威胁组织确实会在其活动策略的边缘进行调整,但始终依赖用户犯错。 因此,对于国防而言,用户教育是关键,他说。
“此处报告的网络钓鱼和恶意广告攻击完全依赖于让用户与诱饵互动,”Parkin 告诉 Dark Reading。 “这意味着如果用户不互动,就没有违规行为。”
他补充说,“安全团队需要领先于最新的漏洞利用和恶意软件在野外部署,但仍然需要并且将始终需要用户教育和意识的要素,以使用户社区从主要攻击面变成坚固的防线。”
让用户不受诱惑的影响当然听起来像是一个可靠的策略,但 Cerberus Sentinel 解决方案架构副总裁 Chris Clements 告诉 Dark Reading,面对越来越有说服力的社交网络,期望用户保持 100% 的警惕“既不现实也不公平”工程策略。 他解释说,相反,需要一种更全面的安全方法。
“然后,组织的技术和网络安全团队需要确保单个用户的妥协不会导致大规模数据盗窃和勒索软件等最常见的网络犯罪目标造成广泛的组织损害,”Clements 说。
IAM 控制事项
RSA 的 CISO Robert Hughes 建议从身份和访问管理 (IAM) 控制开始。
“强大的身份和访问治理可以帮助控制恶意软件的横向传播并限制其影响,即使在人类和端点恶意软件预防级别失败之后,例如阻止授权个人点击链接并安装允许他们安装的软件安装,”Hughes 告诉 Dark Reading。 “一旦您确保您的数据和身份是安全的,勒索软件攻击的后果就不会那么具有破坏性——而且重新映像端点也不会那么费力。”
来自 CardinalOps 的 Phil Neray 对此表示赞同。 他解释说,恶意 Google Ads 之类的策略很难防御,因此安全团队还必须专注于在勒索软件攻击发生后尽量减少后果。
“这意味着确保 SoC 能够检测到可疑或未经授权的行为,例如特权升级和使用 离地管理工具 像 PowerShell 和远程管理实用程序,”Neray 说。
