2024年,黑客們找到了各種狡猾的方法潛入系統,從利用人類好奇心進行的說服力極強的網絡釣魚詐騙,到暴露技術維護漏洞的殘酷軟件缺陷,他們玩得不亦樂乎。這一年,各種巧妙的入侵事件頻發,充分顯示了用戶習慣與安全實踐之間的巨大差距。
Enterprise Strategy Group的高級分析師梅琳達·馬克斯(Melinda Marks)表示:“雖然每年都會出現新型攻擊,但重要的是要認識到,黑客總是會尋找最容易的入侵途徑,這就意味著安全團隊缺乏可見性或控制力的領域,他們需要降低這些領域的風險。”
下面讓我們深入了解今年攻擊者繞過防御的主要方式。
X-day漏洞讓用戶補丁更新忙不停
2024年發生了幾起近年來記憶中最具破壞性的零日漏洞(Zero-day)和N日漏洞(N-day)利用事件,其中一些甚至被高調的黑客利用來突破關鍵系統,并發動國家級別的持久性攻擊。
Enterprise Strategy Group的首席分析師戴夫·格魯伯(Dave Gruber)引用了一項針對當年的勒索軟件研究表示:“根據我們的研究,軟件和配置漏洞是主要的初始攻擊點。對于較小規模的企業而言,初始攻擊點更可能是通過商業合作伙伴,而較大規模企業的初始攻擊點則更可能與軟件漏洞相關。”
雖然補丁更新工作讓安全團隊忙得不可開交,但其中一些漏洞的利用尤其具有破壞性。
1. Fortinet漏洞被國家支持的行為者零日利用:2024年10月,Fortinet對其FortiManager平臺中的一個關鍵(CVSS 9.8/10)遠程代碼執行(RCE)漏洞發出警告,該漏洞被追蹤為CVE-2024-47575,攻擊者正積極利用此漏洞竊取IP地址、憑證和配置等敏感數據,未發現惡意軟件或后門。這一被利用的漏洞已與國家支持的行為者Volt Typhoon相關聯。
2. Check Point漏洞助伊朗黑客入侵:8月,美國網絡安全和基礎設施安全局(CISA)就CheckPoint安全網關軟件中的一個關鍵漏洞(CVE-2024-24919)發出警告。該漏洞的CVSS評分較高(8.6/10),使得Pioneer Kitten和Peach Sandstorm等伊朗黑客組織能夠利用該公司安全解決方案中的信息披露弱點。據報道,該漏洞在野外被積極利用,攻擊者借此訪問使用VPN和移動接入組件的系統中的敏感數據。
3. Ivanti Connect漏洞遭濫用:2023年12月,研究人員在Ivanti的Connect Secure和Policy Secure網關中發現了兩個串聯的零日漏洞,分別為CVE-2023-46805和CVE-2024-21887。這些漏洞允許未經身份驗證的遠程代碼執行,使攻擊者能夠竊取配置、更改文件,并在被攻破的VPN設備中設置反向隧道。攻擊者瞄準醫療和制造等關鍵行業,利用先進的橫向移動和持久性技術獲取知識產權和敏感數據。此次活動凸顯了未打補丁的企業軟件的風險,Ivanti在努力發布緩解措施的同時也在開發補丁。
4. Cleo的王冠落入持續黑客之手:12月,Cleo的LexiCom、VLTrader和Harmony系統中的漏洞讓黑客利用了一個不完整的補丁,影響了10多家企業。攻擊者利用該漏洞上傳并運行惡意代碼,暴露敏感數據。Huntress檢測到此次入侵,并建議斷開系統連接,直到發布完整的修復程序。
5. MOVEit影響延續至2024年:由Clop勒索軟件組織利用的MOVEit漏洞(CVE-2023-35708)自2023年起就引發了廣泛的數據泄露事件,其重大影響一直持續到2024年。Progress Software的MOVEit Transfer中的這一SQL注入漏洞使攻擊者能夠從全球超過2600家企業中竊取敏感數據,目標行業包括政府、醫療和教育。Clop改變了策略,不再使用勒索軟件,而是依靠數據盜竊和公開曝光來向受害者施壓。此次攻擊凸顯了在不斷演變的網絡犯罪手段面前,及時打補丁和強化數據安全的至關重要性。
2024年,無論是已打補丁還是未打補丁的漏洞都造成了廣泛問題,凸顯了軟件缺陷仍是黑客的主要入侵途徑,然而,也有好消息傳來,一份報告表明,改進的補丁實踐有助于改變局面,在這一年中,零日漏洞利用在影響力和嚴重性上超過了N日攻擊。
網絡釣魚誘餌愈發狡猾
2024年,網絡釣魚仍然是首要的攻擊手段,不法分子利用AI制造出極具說服力的詐騙,甚至連頂尖的檢測工具也無法總是識別。今年的網絡釣魚恥辱榜上有幾個重大活動。
6. 微軟用戶遭俄羅斯網絡釣魚者欺騙:由于其在企業環境中的主導地位,微軟成為主要網絡釣魚活動(如俄羅斯Midnight Blizzard發起的活動)的首要目標。該APT組織瞄準了100多家組織,使用虛假電子郵件誘騙受害者下載惡意的RDP文件。這些文件使攻擊者能夠訪問敏感的企業數據,凸顯了網絡釣魚戰術日益復雜,以及多因素認證(MFA)和更好的終端安全等防御措施的迫切需求。
7. 新型網絡釣魚現身:11月,一場狡猾的網絡釣魚活動被發現利用DocuSign的Envelopes API發送看似合法的虛假發票,誘騙收件人批準未經授權的付款。攻擊者使用付費的DocuSign賬戶繞過安全過濾器,偽造PayPal和Norton等品牌的文檔。受害者在不知情的情況下簽署了交易,導致重大財務損失,這凸顯了需要更強的驗證和多因素認證來應對此類創造性攻擊。
8. 阿里巴巴和Adobe用戶被騙泄露憑證:2024年的其他重大活動瞄準了兩個網絡釣魚新手——阿里巴巴和Adobe,采用了頗為相似的戰術。阿里巴巴詐騙通過關于訂單糾紛的虛假電子郵件誘騙企業泄露憑證,而Adobe用戶則面臨模仿文檔共享請求的網絡釣魚電子郵件,導致憑證被盜。
2024年,網絡釣魚導致了全球36%的所有入侵事件,再次證明了其為何是黑客制造混亂的經典首選手段。
供應鏈脫軌
這一年發生了幾起大型供應鏈攻擊事件,造成了重大且持久的損害,其中一些影響可能會延續到2025年。黑客變得更具創造力,瞄準受信任的平臺和第三方供應商,擾亂全球行業。下面快速回顧一下今年最具影響力的兩起黑客攻擊事件,它們制造了持續的網絡安全挑戰。
9. 經審核的機器人襲擊Discord用戶:3月,擁有超過17萬名Discord成員的Top.gg機器人社區遭到供應鏈攻擊,第三方機器人驗證工具Colorama被攻破。攻擊者在工具的更新中注入惡意代碼,獲得機器人權限。這使他們能夠抓取用戶數據、劫持令牌,并在經過驗證的機器人中傳播網絡釣魚鏈接,造成迅速破壞,并侵蝕社區內的信任。
10. 大規模PyPI黑客攻擊曝光:11月,攻擊者被發現利用拼寫蹲占(typosquatting)和依賴混淆(dependency confusion)技巧,瞄準流行的Python包倉庫PyPI。他們上傳偽裝成受信任庫的惡意包,欺騙開發者下載。一旦安裝,這些包就會釋放鍵盤記錄器、后門和竊取數據的工具,使數千名開發者及其項目面臨風險。此次入侵迅速蔓延,影響了企業和開源應用程序。
除了這些攻擊外,SolarWinds和MOVEit供應鏈泄露事件的后續影響也在這一年持續發酵,這兩起事件均影響了數百家組織。
馬克斯表示:“隨著第三方和開源代碼使用量的增加,攻擊者正在尋找可擴展的領域,如API和軟件供應鏈,這些領域存在被篡改的潛力。如果沒有合適的工具和流程來幫助安全團隊高效工作,他們很難管理這些領域。”
2024年網絡安全“失誤”讓黑客有機可乘
2024年,內部風險和應用程序配置錯誤為嚴重的網絡混亂打開了大門。無論是員工數據泄露還是云設置出錯,這些漏洞都為黑客提供了輕松的入侵途徑。以下是今年最令人失望的事件概述。
11. 假工作,真數據劫案:14名朝鮮特工冒充IT工作人員,使用被盜身份和虛假設置獲得遠程工作。在六年的時間里,他們竊取了8800萬美元,竊取敏感數據并勒索雇主。另一件蹊蹺事是,假冒的朝鮮自由職業者幫助繞過制裁并泄露商業信息,證明內部風險可能成為朝鮮民主主義人民共和國政權的金礦。
12. 客戶AWS配置錯誤導致數據泄露:12月,配置錯誤的AWS實例使客戶憑證和專有代碼等敏感數據暴露。黑客瞄準了數百萬個面向公眾的網站,從數千個配置錯誤的設置中竊取數據。此次入侵凸顯了強健的云配置實踐的至關重要性。
除了上述主要入侵點外,這一年還發生了黑客利用被攻破的人類和機器憑證進行二次感染的事件,如《紐約時報》源代碼被黑和互聯網檔案館事件。
Enterprise Strategy Group的高級分析師托德·蒂曼(Todd Thiemann)表示:“非人類身份是攻擊面中迅速增長的一部分,在2024年受到了更多關注。我們在這一領域的研究顯示,盡管組織表示他們缺乏對非人類身份的可見性,但72%的組織要么知道,要么懷疑他們的非人類賬戶或憑證已被攻破。”
他補充說,2023年Okta和Cloudflare遭遇了備受矚目的事件,而2024年則發生了與非人類身份泄露相關的事件,如互聯網檔案館和Sisense客戶數據泄露事件。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號