回顾2022 年卡塔尔世界杯的网络威胁
2023-1-1 12:6:53 Author: 嘶吼专业版(查看原文) 阅读量:10 收藏

体育赛事总能吸引大众的参与,例如,在前不久举行的 2022 年卡塔尔国际足联世界杯 (Qatar 2022 World Cup),吸引了世界各个角落的广泛关注。试想一下,上一届俄罗斯世界杯共有35.7 亿观众观看,相当于全球 4 岁及以上人口的一半以上。

不幸的是,观看世界上那些一流的球员捍卫自己国家民族的荣誉的观众里并不是只有球迷。拥有不同资源和动机的网络威胁参与者也对这些引人注目的事件非常感兴趣。

骗局可能以多种形式出现。例如,出于经济动机的威胁行为者通常会在恶意 URL 中植入欺骗这些事件的欺诈网站,希望最大限度地欺骗天真的互联网用户以快速(非法)获利。与此同时,黑客行动主义团体可能会利用公众对此类事件的关注来成倍地增加其信息的影响范围。国家赞助的高级持续威胁 (APT) 组织也可能决定以卡塔尔 2022 年世界杯等全球体育赛事为目标,以实现国家对主办国或更广泛的赛事社区的目标。

简而言之,很多威胁行为者都对此类事件感兴趣。因此,了解一些最紧迫的网络威胁以提前预防和缓解它们是极其重要的。这就是为什么我们决定提前开始我们的研究,并利用我们所有的资源来展示一些有趣的例子,说明威胁行为者如何利用卡塔尔 2022 年世界杯进行恶意活动。

出于这项研究的目的,Photon Intelligence Team 建立了一个详细的警报系统,以在九十天内收集卡塔尔 2022 年世界杯的网络威胁示例。这些潜在事件分为四类:品牌保护、网络威胁、物理保护和数据泄露。大多数事件都属于网络威胁类别,包括恶意网页、市场列表和暴露的文件。

在对上述事件进行分类以消除误报后,我们收集了真阳性事件以对其进行分析,并更好地理解攻击者是如何将卡塔尔 2022 年世界杯作为目标的。查看本文后续内容,了解他们的策略、技术和程序 (TTP) 的一些有价值的见解。

冒充域名是威胁行为者的一个流行选择,他们经常在恶意操作的早期阶段使用它们。威胁行为者通常会设置冒充网页来模仿合法、可信的组织并进行恶意活动。这可能包括窃取个人身份信息 (PII)、登录凭据、财务数据,以及在受害者的机器上投放恶意负载。正如我们2021 年的研究所证明的那样,对于大多数品牌来说,冒充域名是一个棘手的问题,当时我们平均每年会检测到每个客户可能访问约 1100 个冒充的域名和子域名。

为了设置这些恶意网页,威胁行为者通常会选择与合法网站相似的域名来诱骗用户点击它们。为了调整原始域名,攻击者可能会替换字母数字字符(goggle[.]com 而不是 google[.]com),滥用顶级域名 (TLD)(google[.]info 而不是 google[.]com) ,或包含相关词(例如 google-info[.]com)。域名注册后,为了避免被发现和删除,威胁参与者通常还会在已知的托管服务提供商处注册,这通常也会保护他们免受执法活动的侵害。

作为我们研究的一部分,我们发现了 174 个恶意域名冒充属于卡塔尔 2022 年世界杯的官方网页。攻击者用来模仿原始域名的复杂程度差别很大,从低质量、明显的网络钓鱼页面到更精细的模仿动画和徽标的努力。在这些页面中,一个值得注意的例子是 qatar2022[.]pro 仿冒域名。正如您在下面看到的,这里的攻击者只是更改了 TLD 以欺骗用户信任该网页。

逼真的卡塔尔 2022 假冒域名

qatar2022[.]pro 被多个安全提供商标记为网络钓鱼域名。尽管如此,它仍然是一个高质量的模仿页面,许多细节与原始页面非常相似。经过进一步检查,我们注意到页面中的大多数链接都重定向到了卡塔尔 2022 年世界杯官方页面。但是,单击聊天框(在上面屏幕截图的右下角可见)会重定向到一个可能由攻击者控制的恶意 URL,以进行进一步的恶意活动。尽管我们无法确定攻击者创建此欺诈性网页的动机,但他们很可能以粉丝和购票者为目标,以窃取财务数据和敏感的私人信息。

我们点击聊天框后跳转到需要登陆的恶意网页

除了信誉良好的域名,大多数组织现在都开发了自己的移动应用程序,用于与客户沟通、建立参与度和培养品牌忠诚度。卡塔尔 2022 年世界杯也不例外,国际足联目前在合法应用商店中维护着多个官方应用。事实上,与域名一起,移动应用程序属于由每个在线存在的组织维护的高价值无形资产类别。

与此同时,移动应用程序扩大了每个组织的攻击面。对于世界杯组织者开发的每个合法应用程序,都有数十个通过非官方应用程序商店分发的欺诈性应用程序。这些恶意应用程序对客户和开发人员都构成风险——使用最常见的搜索引擎可以很容易地在网上找到它们。

当心从粗糙的非官方网站下载移动应用程序

出于这项研究的目的,我们在过去 30 天内从欺诈性商店中识别出了 53 个假冒移动应用程序——其中一些甚至可以在 Google Play 商店等合法网站上找到。再一次,应用程序的复杂程度差异很大。但是,它们在很大程度上有一个共同的目的:欺骗用户下载APP。

威胁行为者可以开发虚假的移动应用程序来安装广告软件、窃取 PII 和财务数据、提取 cookie 和凭据,以及从远程控制域名下载更多有效负载(例如间谍软件)。与假冒域名一样,欺诈性应用程序可以为攻击者构成一个相当大的初始访问点,然后攻击者可以从目标环境转向执行其他攻击。

谈到无形资产,社交媒体页面在过去十年中已成为每个组织传播策略的核心支柱。如今,此类页面对于建立品牌、产生新业务和解决客户问题是必不可少的。

每天,数以百万计的互联网用户访问他们最喜欢的社交媒体页面,以了解最新发布、优惠和及时信息。同样的事情显然发生在卡塔尔 2022 年世界杯等全球赛事中,球迷们涌入官方页面,了解比赛期间将发生的一切。

威胁行为者也试图利用这种商品也就不足为奇了。根据我们的经验,大多数欺诈性社交媒体页面是由出于经济动机的网络犯罪分子创建的,处于复杂程度的低端。然而,过去,安全研究人员也观察到APT 组织使用社交媒体页面传播虚假信息并收集有关目标个人的敏感信息。此外,朝鲜赞助的 APT Lazarus 多次被发现以 LinkedIn 上的求职者为目标,通过欺诈性招聘广告诱使他们点击恶意链接。

在我们的研究过程中,我们收集了数十个社交媒体页面,这些页面冒充属于卡塔尔 2022 年世界杯的资产。这些页面中的大多数都包含无害内容;但是,我们还发现多个 Facebook 页面利用卡塔尔 2022 年世界杯品牌和徽标来传播传销等骗局,如下图所示。

社交媒体页面并不是品牌和徽标盗窃的唯一问题。还可以冒充贵宾和高管进行社会工程学攻击。威胁行为者在冒充高管时使用的最常见策略之一是商业电子邮件妥协(BEC),这是一种来自虚假 VIP 个人资料的电子邮件或社交媒体消息欺骗员工采取特定行动(通常是将钱转给攻击者)的方法来控制目标人员的银行账户。2019 年,FBI 将这种策略称为“ 260 亿美元的骗局”,因为这种社会工程学方法会造成高额损失。

冒充现任国际足联主席詹尼·因凡蒂诺的 Facebook 页面

2022 年 5 月,我们发布了一份关于账户接管 (ATO) 的研究报告,分析了过去几年整理的超过 240 亿份凭据,为个人和组织描绘了这一普遍存在的问题。在本文中,我们强调了使攻击者能够进行上述攻击的三个主要因素:不断扩大的数字足迹、安全身份验证方面的人员和技术限制,以及(再次)弱密码和暴露密码。

可以通过多种方式获取被盗凭据,包括社交工程和恶意软件部署。然而,获取凭证对的最常见方式是通过专门的网络犯罪市场、论坛或自动售货车 (AVC) 购买凭证信息。

正如您在下面的示例中看到的,在我们的研究过程中,我们发现了多个使用“Redline”恶意软件窃取的原始日志广告。该恶意软件从浏览器收集信息,例如保存的凭据、自动完成数据和信用卡信息。同时,它会收集有关受感染机器的信息,例如操作系统 (OS) 信息、系统硬件、进程、语言等。

在网络犯罪论坛上出售的与卡塔尔 2022 年世界杯资产有关的原始日志示例

购买类似的日志可以让任何威胁行为者提取受影响帐户的所有者在 Redline 运行时可能在其机器上输入的凭据。一旦控制了用户的凭据,攻击者就可以在大多数时间访问所述帐户,除非之前已部署适当的防御措施,如多因素身份验证 (MFA)。

整个 2022 年,由于 2022 年 2 月开始的俄乌战争爆发,我们观察到黑客活动明显复苏。从那时起,几个亲俄罗斯和亲乌克兰的黑客活动组织进行了一系列网络攻击扰乱他们的对手。大多数观察到的攻击都是众包分布式拒绝服务 (DDoS) 攻击、网站篡改和数据破坏操作。

监控专门用于组织类似行动的通信渠道可以大大减轻潜在的黑客攻击。正如您在下面的示例中所见,2014 年,一些威胁行为者更喜欢使用互联网中继聊天 (IRC) 来组织 DDoS 攻击。如今,大多数备受瞩目的黑客组织——例如亲乌克兰的“乌克兰 IT 军队”或亲俄罗斯的“KillNet”——更喜欢使用 Telegram 等平台来准备网络攻击和分发目标。

威胁行为者在 2014 年巴西 FIFA 世界杯期间组织 DDoS 的示例

监控社交媒体帖子还可以提供对黑客行动主义行动的重要洞察。与以经济为动机的威胁行为者和以间谍活动为中心的 APT 相反,黑客行动主义团体需要声明他们的攻击,以便对他们提出的意识形态信息产生共鸣。这意味着他们经常在开放的沟通渠道上宣传他们的业务,支持归因工作,并且在某些情况下还支持补救策略。

匿名者抗议伊朗参加卡塔尔 2022 年世界杯

鉴于黑客组织在 2022 年开展的高水平活动,这些组织在某种程度上有可能以 2022 年卡塔尔世界杯为目标。黑客组织可能会以锦标赛的组织者或赞助商为目标,并可能使用 DDoS、篡改或数据破坏攻击来达到目的。

最后但同样重要的是,负责组织本次比赛的卡塔尔和外国组织也可能成为勒索软件攻击的目标。鉴于大量网络犯罪集团开展此类活动以及这些攻击造成的损害,勒索软件可以说是目前与大多数公司最相关的网络威胁。尽管我们观察到勒索软件活动在 2022 年第三季度有所放缓,但在过去几个月中,许多备受瞩目的攻击对组织造成了影响,证实了勒索软件在当前网络威胁格局中的作用。如果您对上个季度观察到的所有勒索软件的区域和行业细分感兴趣,请查看我们的 2022 年第 3 季度勒索软件博客。

“LockBit”勒索软件组织在其数据泄露网站上公布了一名卡塔尔受害者

在卡塔尔 2022 年世界杯之前应该密切监视的其他威胁行为者是初始访问代理(IAB)。在复杂的勒索软件生态系统中——一个由运营商、开发商、附属机构等组成的生态系统——IAB 充当中间人,建立并向其他网络犯罪分子出售对各种网络的被利用的访问权限。鉴于勒索软件犯罪业务可以说是这个特定市场中最赚钱的业务之一,IAB 和勒索软件组织经常携手并进。监控 IAB 列表可以让组织在主动减轻这种威胁和防止勒索软件和其他网络犯罪活动方面占据优势。

用户在备受瞩目的俄语网络犯罪论坛中宣传能够利用 Citrix 入侵卡塔尔组织

既然我们已经讨论了卡塔尔 2022 年世界杯组织机构及其主要合作伙伴和赞助商面临的一些重大威胁,您可能会问自己“我应该为此担心吗?”。这个问题的答案——人们每天都会被问及最严重的威胁——非常简单,涉及对这些问题采取基于风险的方法。

基于风险的方法使您的组织能够通过考虑特定现象的潜在影响及其可能性来调整其网络安全计划以适应特定需求和漏洞。因此,除了观察主要威胁外,还必须分析可能对您进行恶意活动的参与者的动机和能力。

在卡塔尔 2022 年世界杯等大型活动之前进行此分析将使您的组织能够提前计划并主动防御这些威胁。采用基于风险的方法还将使您的组织能够有效地确定威胁的优先级并相应地分配(有限的)资源,从而增强防御的稳健性。

实施简单的网络策略可以大大帮助您的组织预防网络风险。以下是个人和组织可以采取的一些最常见的步骤来提高他们的安全态势:

  • 采用基于风险的方法来审查潜在的威胁行为者及其 TTP。随着形势的发展相应地分配您的资源并更新您的威胁模型。

  • 小心在线或社交媒体上共享的信息。公开诸如宠物名称、就读学校、家庭成员姓名和您的生日等信息,您可以向诈骗者提供他们猜测您的密码或回答您的安全问题所需的所有信息。

  • 避免点击未经请求的电子邮件或短信中要求您更新或验证帐户信息的任何内容。独立寻找公司的官方联系人并致电他们以验证其请求的合法性。

  • 仔细检查任何通信中使用的电子邮件地址、URL 和拼写。威胁行为者使用细微差别来欺骗您的眼睛并欺骗您采取有助于他们实现目标的行动。

  • 在任何帐户上设置双因素(或多因素)身份验证,并且永远不要禁用它。尽管 MFA 不是对抗威胁行为者的灵丹妙药,但这种安全方法对于抵消懒惰和投机取巧的网络犯罪分子非常有帮助。

  • 在活动开始前使用最新补丁更新和修补固件和操作系统。利用软件来检测、识别漏洞并确定漏洞优先级可以缓解这一过程。

  • 下载应用程序时,请确保只使用合法的应用程序商店,例如 Apple 和 Google 商店。此外,请确保您查看授予这些程序的安全和访问权限。

参考及来源:https://www.digitalshadows.com/blog-and-research/cyber-threats-to-the-fifa-world-cup-qatar-2022/


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247555936&idx=1&sn=cc7105f3d8ea272a9716db4ba4c9453f&chksm=e915cb5ade62424cabf7da67c3ae9e4ffaf9bcdcb8a0b3ad061170418d9ad3faddaee90a7112#rd
如有侵权请联系:admin#unsafe.sh