<
>

巴哈姆特(BAHAMUT)–执行任务的更聪明的威胁演员

网络钓鱼诈骗案件继续增加,并经常报告。尽管许多组织和个人为使他们了解网络钓鱼的危险而付出了很多努力,但许多组织和个人仍然成为此类骗局的受害者。机会主义网络罪犯也一直在使用COVID-19大流行来进行恶意网络活动,这给大多数公司带来了更大的麻烦。在此期间,随着对Internet的日益依赖,必须保持良好的网络卫生状况。

根据黑莓(BlackBerry)的研究报告,网络间谍威胁组织BAHAMUT-世界上最大的黑客入侵-雇用行动,已经增加了攻击力度。该组织通过针对性强的网络钓鱼活动将目标对准政府,公司和人权组织,并建立了一个庞大的“假新闻”网络,旨在抹黑某些原因。

The report, BAHAMUT:黑客诱骗的网络钓鱼,虚假新闻和虚假应用程序大师,提供了对该小组的新见解,并展示了该小组如何部署了大量复杂的虚假宣传活动。黑莓的研究&情报团队发现,BAHAMUT目前主持着大量的虚假新闻实体-从欺诈性的社交媒体角色到开发包括虚假信息的整个新闻网站-不仅可以解决某些特定原因,还可以获取有关高价值目标的信息。

有趣的是,尽管威胁者众多,但BAHAMUT的与众不同之处在于其行为的复杂程度。 BlackBerry首席产品架构师Eric Cornelius指出,可归因于BAHAMUT的恶意应用程序伴随着令人印象深刻的精心设计的网站,定义明确的隐私策略,甚至是明确书面的服务条款,这些细节经常被威胁行动者所忽略。在报告发布之时,仍然有十几个恶意应用程序处于活动状态。

在进行网络钓鱼尝试之前,BAHAMUT会耐心地对其目标的兴趣和点击习惯进行重大侦察,尤其是在对高级主管和政府官员的个人帐户进行有针对性的攻击时。该方法在该组织对一系列目标的零时差攻击中得到了使用,这种方法已被证明,这反映出其技术水平远远超过大多数其他已知威胁参与者组织。

“我们还评估了BAHAMUT的网络钓鱼和凭据收集技术,其性能明显优于大多数其他知名的APT组织。这主要是由于该小组的速度,他们对一次性使用和高度隔离的基础设施的奉献以及适应和变化的能力,尤其是在暴露了网络钓鱼工具的情况下”,Eric说。

为了不断逃避检测,BAHAMUT通常直接在后门中建立反分析功能并利用shellcode(例如同时逃避多个AV软件)。一旦暴露出来,研究小组会立即改变策略,并从错误中吸取教训,即使研究小组未明确指出这些策略也是如此。

埃里克(Eric)补充说,巴哈姆特(BAHAMUT)似乎不仅资金雄厚,资源丰富,而且精通网络威胁研究,而且分析家经常具有认知偏见。综上所述,这些方面带来了巨大的归因挑战。作为雇佣黑客,BAHAMUT的难以捉摸的性质和复杂的操作构成了从国家安全级别到个人的威胁。

针对受害者
已经发现BAHAMUT可以瞄准整个地图上的受害者,因此很难编造单一的受害者学。攻击是针对单个目标和首选操作系统以及通信介质量身定制的。巴哈姆特(BAHAMUT)的工艺非常出色,他们精心计划了每个步骤,并对他们的能力和目标有了深刻的了解。

“例如,我们对BAHAMUT的恶意Android应用的分析显示了对APK进行的各种修改。他们中的大多数人在常用的恶意软件存储库中只有有限的检测不到。在大多数情况下,APK文件由完全合法的代码和著名的Android库组成,这些库有助于从常规的静态检测方法中隐藏潜在的活动。 Eric说:“ BAHAMUT的恶意iOS应用程序对二进制文件中的所有敏感字符串进行了加密,包括网络回叫信息以及任何可能使Apple得知其应用程序意图的信息。”

Eric解释说,所有后门都具有将文件上传到远程服务器的功能。这有效地使该小组可以远程识别并在受感染设备上上传任何潜在的感兴趣文件。在样本中还观察到了枚举设备信息,访问联系人,访问通话记录,访问SMS消息,记录电话,记录音频,记录视频,下载和更新后门以及跟踪GPS位置的功能。

关于部署的BAHAMUT Windows Windows恶意软件,Eric说:“我们找到了一个简单的下载器,该下载器检查了该站点是否有其他有效载荷可检索和执行。然后,BAHAMUT部署了与该组织域通信或从该组域传递的后门和文件收集工具。它们中使用的编码方法稍有不同,但可以很容易地解码。大约有十几个使用了类似于先前BAHAMUT示例的协议,并直接与BAHAMUT控制的域进行通信,其中许多域包含各种随机命名的Web路径和PHP页面。

同时,大流行迫使许多组织迅速开发和部署技术以帮助维持业务连续性。尽管这些解决方案通常可以发挥作用,但从长远来看,某些解决方案可能不够安全。尽管我们还没有将近期的任何具体活动归因于该组织,但BAHAMUT等威胁行为者可能会利用这些漏洞。

“为减轻对组织的此类干扰,我们建议使用现代化的生产力工具,该工具不仅可以提供出色的用户体验,而且还可以提供下一代AI驱动的安全性。毕竟,移动员工将需要安全地访问远程工作所需的数据和应用程序。” Eric说。

应对威胁
因此,企业需要能够采取正确的步骤来保护其宝贵资产。对于埃里克(Eric),他认为,随着越来越多的情报职能被政府,公司和个人外包给雇佣军(如BAHAMUT),运营安全将变得越来越重要。随着网络钓鱼电子邮件的不断增加,组织可以做的第一件事就是教会其员工如何警惕恶意活动的迹象,以及如何应对可疑邮件。对您的收件箱应用零信任至关重要。

此外,基于AI的网络安全解决方案可以通过在威胁执行之前识别并阻止威胁来应对挑战。利用机器学习的安全解决方案可以使恶意软件,勒索软件和零时差攻击以机器速度无效。

“除了免费为客户提供确保其远程工作程序安全的帮助,我们还致力于企业安全方面的持续创新”。

例如,BlackBerry Spark Suites提供了涵盖用户,设备,网络,应用程序和数据以及数据管理和数据隐私的最广泛的安全功能和可见性。它利用来自Unified Endpoint Security(UES)和Unified Endpoint Management(UEM)的组件的强大功能无缝协作,以提供最高级别的安全性和管理,并在任何位置,任何位置,任何端点上提供更简单,更高效的用户体验,通过任何网络。 UES平台包含四种互补技术(端点保护,端点检测和响应,移动威胁防御和连续身份验证)。
 
“通过将Cylance技术集成到BlackBerry的产品组合中,我们正在利用人工智能,机器学习和自动化功能来提供关键任务的网络威胁预防和补救,以及对台式机,移动设备,服务器和其他IoT(包括汽车)的完整可见性端点”,Eric总结道。

你可能还喜欢
最多评论
分享我们的想法

0 Comment 登录 要么 寄存器 发表评论