包含惡意URL的電子郵件佔所有帶有惡意軟件感染的鏈接和附件的郵件的88%,突顯了基於URL的電子郵件威脅的主導地位。
網絡安全公司Proofpoint在截至9月的一個月季度威脅報告中披露了這一發現,揭示了針對用戶和組織的社會工程學攻擊的複雜程度在不斷提高。
Proofpoint威脅情報負責人Chris Dawson告訴TNW:“基於電子郵件的威脅是最古老,最普遍且分佈廣泛的網絡安全威脅,它正在打擊全球的組織。”
Dawson補充說:“從針對數百萬使用銀行木馬的收件人的大規模惡意軟件活動到精心設計的電子郵件欺詐,電子郵件威脅形勢非常多樣化,為威脅參與者攻擊組織提供了廣泛的機會,” Dawson補充說。
其他值得注意的主要趨勢是:性活動的普遍性,以及明顯缺乏通過惡意電子郵件傳播的Emotet殭屍網絡垃圾郵件和勒索軟件攻擊。
“勒索軟件仍然是一種威脅,” Dawson說。“但是,隨著加密貨幣估值的迅速下降,威脅行動者越來越難以通過勒索軟件活動獲利。取而代之的是,他們轉向銀行木馬和下載程序的“更安靜”的感染,它們有可能長時間坐在受感染的計算機上,收集數據,挖掘加密貨幣,發送垃圾郵件等等。”
實際上,與上一季度相比,銀行木馬(Trickbot,IcedID,Ursnif)和遠程管理工具(FlawedAmmy,FlawedGrace)的總消息量分別增長了18%和55%,它們的部署都是為了逃避檢測並秘密收集憑據。 ,進行偵察,在網絡上橫向移動並允許隨意分配輔助有效載荷。
Emotet的重新出現
就Emotet而言,並沒有完全消失。殭屍網絡驅動的垃圾郵件活動被Proofpoint研究人員稱為“ TA542”,該活動最近已成為破壞性惡意軟件的最大來源,從最初的銀行木馬演變為可以用作下載信息的“瑞士軍刀”。攻擊者和spambot,具體取決於其部署方式。
儘管該惡意軟件在整個2019年夏季似乎基本消失了,但它在9月份通過“使用具有本地語言誘餌和品牌的地理定位電子郵件,通常以財務為主題,並使用了惡意文檔附件或指向類似文檔的鏈接,當用戶啟用宏時,將安裝Emotet。”
有趣的是,Emotet在該月的最後兩週重新喚醒,最終佔整個第三季度所有惡意負載的12%。這也Netscout與在本週發佈初類似報告的相吻合:
在2019年5月,Emotet的活動開始減少。該中斷在2019年9月重新流行時持續了大約四個月。該活動似乎從未停止過不斷髮展的垃圾郵件活動和新的傳遞機制。
值得注意的是,Emotet佔 2019年1月至2019年3月期間通過網絡釣魚電子郵件傳遞的所有有效核載的近三分之二。
受影響的國家也發生了變化:除了美國,英國,加拿大,德國和澳大利亞等長期目標外,TA542的範圍也大大擴展,涵蓋了意大利,西班牙,日本,香港和新加坡。
緩解社會工程學攻擊
保護組織免受網絡釣魚攻擊的影響,需要一種“多層方法”,首先要保護電子郵件通道並識別和保護受攻擊最嚴重的個人。
“要真正確定風險,組織必須權衡每個用戶收到的大量威脅,這些攻擊的來源,每種攻擊的針對性以及每種攻擊所涉及的惡意軟件類型,” Dawson告訴TNW。
“利用這種洞察力,組織可以基於用戶的角色,以某些特權和VIP狀態,與登錄相關的風險級別以及其他上下文參數(例如用戶的位置,設備衛生狀況等)為基礎,實施以用戶為中心的自適應訪問控制, “ 他說。
那不是全部。它還要求對員工進行培訓,以發現針對他們的網絡釣魚活動,並幫助他們瞭解其面臨風險的原因。
預測電子郵件防禦公司Vade Secure的首席解決方案架構師Adrien Gendre 對TNW說:“對員工進行單擊相關的培訓是有用的。” “但是僅目前的培訓形式是不夠的。當攻擊者每幾個月不斷更改其技術時,它幾乎沒有用。需要對其進行上下文化,以便員工在看到惡意內容時就可以識別它們。”
因此,需要的是適當的安全控制,無論是靜態的,行為的還是基於機器學習的,都可以用作電子郵件網關,以阻止此類社交工程嘗試到達目標的收件箱,並提供從這些收件箱中恢復的方法打通。
