随着2024年接近尾声,BlackLotus、Emotet、Beep和Dark Pink等恶意软件家族仍为各行各业的企业带来显著挑战。这些恶意软件家族不断演变其战术,越来越注重规避安全机制并利用受信任的安全机制,因此,了解它们的行为、动机和目标对于加强防御至关重要。
以下是这些威胁的概述以及缓解其风险的见解:
BlackLotus:Bootkit Maverik
BlackLotus已成为首个绕过安全启动并瞄准现代Windows系统统一可扩展固件接口(UEFI)层的已知恶意软件。通过嵌入固件,它规避了标准检测并在重启后持续存在。这种深层的系统妥协使攻击者能够维持长期的访问权限,用于间谍活动、破坏或勒索软件操作。
此前仅存在于理论中的BlackLotus通过绕过安全启动保护,将UEFI引导程序带入现实。其使用的反分析功能使其难以检测,且其跨平台能力威胁到依赖系统正常运行时间和安全性的行业,如关键基础设施、金融服务和医疗保健。
BlackLotus针对系统安全的基础层,使传统防御措施失效。它对政府、金融和国防等高监管和安全要求的部门构成重大威胁。其在高度敏感环境中持续未被发现的能力表明固件级攻击正在升级,要求情报机构和私营企业重新评估硬件和固件安全措施。
为防御BlackLotus,企业应优先更新UEFI、实施固件安全控制并定期进行系统审计。多因素认证和基于硬件的安全措施(如可信平台模块TPM)至关重要。
Emotet:持久的钓鱼者
Emotet曾是一种银行木马,现已演变为一个功能多样的恶意软件平台,通过包含恶意附件的钓鱼邮件传播。Emotet还充当其他恶意软件(包括勒索软件)的传播机制,通过邮件劫持嵌入到合法的商业对话中。
该恶意软件在邮件劫持和社会工程学战术中的作用变得更加复杂,使钓鱼邮件更难检测。依赖通信的行业(如金融服务和法律部门)特别容易受到攻击。
Emotet作为恶意软件传播平台及其嵌入受信任邮件线程的能力使其成为重要的情报威胁,尤其是在数据保密性至关重要的行业中。情报团队应监控其与其他恶意软件运营商的合作关系,因为Emotet通常是大规模勒索软件或数据泄露活动的入口。
企业应加强钓鱼防御、收紧邮件过滤并培训用户识别可疑邮件。限制宏的使用和附件处理可以减少暴露风险。
Beep:无声的入侵者
Beep恶意软件被设计为具有隐蔽性,采用睡眠函数等技术延迟执行并避免沙箱检测。它通过模块化组件传递恶意软件有效载荷,使攻击者能够根据目标环境定制攻击。Beep增强了其模块化,使其更容易部署各种恶意软件有效载荷。它主要针对零售、物流和制造业等可能缺乏严格终端监控的Windows企业级系统。
该恶意软件对规避和模块化的关注对传统检测方法构成挑战。它代表了日益增长的恶意软件即服务(MaaS)趋势,多个威胁行为者可能利用它进行间谍活动或勒索软件攻击。其隐蔽能力对于管理敏感数据或知识产权的行业尤其令人担忧。
安全团队应投资于行为分析工具并监控网络流量中的异常。加强具有规避机制的终端检测将有助于缓解Beep的风险。
Dark Pink:亚太间谍专家
Dark Pink(又称Saaiwc组织)是一个高级持续性威胁(APT)间谍组织。主要在亚太地区(APAC)活动,Dark Pink通过鱼叉式网络钓鱼邮件和DLL侧加载等技术针对政府机构、军事组织和非政府组织(NGO)。
该恶意软件已扩大其目标范围,包括关键行业(如能源和技术)中的研究组织和私营部门企业。其恶意软件现在使用基于云的服务和加密通信渠道,增加了检测难度。
Dark Pink对间谍活动的关注,尤其是在地缘政治敏感地区,引发了国家安全担忧。其转向针对能源和技术部门表明了一种更广泛的情报战略,旨在通过数据窃取获得战略优势。情报机构和网络安全团队应优先监控其活动,特别是在高风险地区。
安全团队应加强针对鱼叉式网络钓鱼的防御并监控异常文件活动。关键部门的政府机构和企业应增强对间谍驱动恶意软件的防护。
如何为恶意软件防御设置优先级
BlackLotus、Emotet、Beep和Dark Pink不断演变的战术凸显了主动、情报驱动的防御策略的迫切需要。为应对这些挑战,企业应首先优先确保UEFI和固件设置的安全,同时更新其硬件级防御。
此外,加强钓鱼检测并提升用户培训至关重要,尤其是在风险增加的通信密集型行业中。此外,团队需要投资于行为和异常检测以捕获像Beep这样的隐蔽恶意软件。
最后,关键行业的组织,特别是那些在地缘政治敏感地区运营的组织,必须加强其针对间谍威胁的防御。通过了解这些恶意软件家族的行为和演变,安全团队可以有效地预见并缓解这些高级威胁带来的风险。