駭客的後疫情時代　資安威脅回歸日常運作

編譯／陳佩君

依據Proofpoint報導，經過兩年的疫情干擾，2022年對於全球駭客而言是回歸的時候。隨著COVID-19醫療和經濟影響逐漸趨緩，駭客不得不提升社交工程技術以及在意想不到的地方創造新機會來尋找新的謀生方式。

駭客從針對雲端用戶的暴力攻擊和針對性攻擊的規模擴大，到對話式詐騙攻擊和多因子身份驗證（MFA）的增加，網路攻擊在2022年在多方面取得重大進展之局勢。Proofpoint網絡安全執行副總裁Ryan Kalember表示，「由於Microsoft 365佔組織攻擊面的很大一部分比例，從Office自動化巨集到OneNote文件，對該平台持續建造威脅格局且被廣氾濫用。」Kalember補充，「在安全控制緩慢改進情況下，駭客創新並擴大他們的繞道方法。以前只有紅隊才會使用的技術，例如多因子認證（MFA）繞道和針對電話的攻擊傳遞，現在變得司空見慣。儘管許多駭客仍在不斷試驗，但不變的是他們利用人的漏洞，其為現今攻擊鏈中最關鍵的因素。」

近期因Office自動化巨集（Office macros）在微軟更新其軟體從網路下載文件開始下降，而這些變化引發駭客持續進行實驗來尋找替代技術將其成為入侵目標。去年以駭客透過發送看似無害的訊息，增加對話式短訊詐騙和社交工程攻擊，在移動設備中，這是去年增加最快的威脅，其數量增加十二倍。以電話為導向的攻擊傳遞（Telephone-Oriented Attack Delivery，TOAD）每月高峰達到1300萬條訊息，幾個國家支持的高級持久威脅（Advanced Persistent Threat，APT）投入大量時間與目標進行無害的訊息交流，以建立長達數週至數月的信任關係。

EvilProxy、Evilginx2和NakedPages等多因子認證繞道工具每月發送超過100萬封釣魚訊息，企業組織主要受到Microsoft和Amazon等雲端巨頭的威脅。一個名為SocGholish的駭客使用驅動程式下載和假瀏覽器更新等方法，在許多網站上散布惡意軟體，誘騙受害者下載而這些網站本身可能不知情。

雲端威脅無處不在，每月有94%的雲端用戶成為精準或暴力雲端攻擊的目標。暴力攻擊的數量急劇增加，特別是密碼噴灑攻擊，其通過試探嘗試多個常見或猜測可能的密碼來破解用戶帳戶，暴力攻擊數量從2022年每月平均4,000萬次增加到2023年初的近2億次。許多駭客利用人們對知名品牌的信任進行社交工程，如微軟及亞馬遜成為最濫用的品牌。

許多組織中有40%系統或網路存在安全配置錯誤或被遺漏的管理員帳戶進一步被利用，13%未授權的管理員擁有最高權限使其能受駭客獲取憑據。約10%的終端設備具有無保護的特權帳戶密碼，其中26%的暴露帳戶是最高權限的管理員帳戶等，因這些暴露的風險使得駭客能夠獲取特權和憑證，進而入侵企業系統。

儘管在2022年發送超過2,500萬封訊息，其是第二大威脅數量的兩倍多。後疫情時代的威脅格局中，以經濟驅動的犯罪佔主導地位，但單一APT攻擊可能產生巨大影響，TA471是俄羅斯的一個APT行為組織，其進行大規模的攻擊活動，另外與中國國家利益相關的APT行為組織TA416是其活躍組織之一，尤其在俄羅斯與烏克蘭戰爭間，他們針對歐洲外交機構參與難民和移民服務進行攻擊。

後疫情時代，駭客重新開始他們常態運作，其通過提升社交工程技巧、商業化攻擊技術和尋找新機會來謀生，並展現前所未有的創造力，他們擁有多樣性的閃電攻擊手法。在雲端攻擊普遍化下，大量知名品牌成為攻擊目標，其利用社交工程進行各種攻擊。這份報告呼籲企業組織加強安全措施，提高對威脅的警惕性，並加強教育和培訓以提高人員的安全意識。

資料來源：Help Net Security

瀏覽 842 次