哪些惡意軟件交付技術目前受到網絡攻擊者的青睞?

跟上電子郵件威脅形勢的變化 

HP Wolf Security公司日前發布的2022年第二季度威脅洞察報告(提供了對現實世界網絡攻擊的分析)表明，包含惡意軟件(包括LNK文件)的存檔文件增加了11%。網絡攻擊者經常將快捷方式文件放在ZIP電子郵件附件中，以幫助他們避開電子郵件掃描程序的掃描。

該公司的調查還發現了可以在黑客論壇上購買的LNK惡意軟件構建器，通過創建武器化的快捷文件并將其傳播給受害者，網絡犯罪分子可以很容易地轉向這種“無宏”代碼執行技術。

HP Wolf Security公司的威脅研究團隊高級惡意軟件分析師Alex Holland說，“企業現在必須采取措施，防范越來越受到網絡攻擊者青睞的技術，以免在它們變得普遍時讓自己的數據對外泄露。我們建議盡可能立即阻止以電子郵件附件形式接收或從Web下載的快捷方式文件。”

除了LNK文件的增加之外，該公司威脅研究團隊還強調了網絡攻擊者采用的以下的惡意軟件傳遞/檢測規避技術：

HTML走私達到臨界規模——惠普公司發現了幾起網絡釣魚活動，可以利用電子郵件冒充區域郵政服務，或者利用像2023年多哈世博會(將吸引全球300多萬名參與者)這樣的重大活動，通過HTML走私惡意軟件傳遞。使用這種技術，危險文件可能侵入到企業中，并導致惡意軟件感染。

網絡攻擊者利用由Follina CVE-2022-30190零日漏洞創建的漏洞窗口——在該漏洞披露之后，一些威脅參與者利用了微軟公司支持診斷工具(MSDT)中最近的零日漏洞(名稱為“Follina”)，在補丁可用之前分發QakBot、Agent Tesla和Remcos RAT(遠程訪問木馬)。該漏洞特別危險，因為它允許網絡攻擊者運行任意代碼來部署惡意軟件，并且幾乎不需要用戶交互就可以利用目標機器。

新的執行技術將隱藏在文檔中的外殼代碼傳播到SVCReady惡意軟件中——HP公司發現了一個新的名為SVCReady的惡意軟件系列，該系列以其通過隱藏在Office文檔屬性中的外殼碼這種不同尋常的方式傳遞到目標計算機上。該惡意軟件主要用于在收集系統信息和截圖之后將二級惡意軟件有效載荷下載到受感染的計算機上，目前仍處于早期開發階段，在最近幾個月已經更新了幾次。

調查報告中的其他主要發現還包括：

HP Wolf Security公司捕獲的14%的電子郵件惡意軟件繞過了至少一個電子郵件網關掃描程序。

威脅攻擊者使用593個不同的惡意軟件試圖攻擊企業，而上一季度為545個。

電子表格仍然是最主要的惡意文件類型，但威脅研究團隊發現存檔威脅增加了11%，這表明網絡攻擊者越來越多地在發送文件之前將文件放在存檔文件中，以逃避檢測。

檢測到的惡意軟件中有69%是通過電子郵件傳遞的，而網絡下載占17%。

最常見的網絡釣魚誘餌是商業交易，例如“訂單”、“付款”、“購買”、“請求”和“發票”。

惠普公司個人系統全球安全主管Ian Pratt博士評論說，“網攻擊者正在快速測試新的惡意文件格式或漏洞以繞過檢測，因此企業必須為出現的意外情況做好準備。這意味著采取一種架構方法來實現端點安全，例如通過包含電子郵件、瀏覽器和下載等最常見的攻擊向量，從而隔離威脅，無論它們是否能夠被檢測到。

這將消除各種類型威脅的攻擊面，同時也為企業提供了在不中斷服務的情況下安全地協調補丁周期所需的時間。”