Bitdefender 威胁报告 | 2022 年 7 月

托管检测和响应 (MDR) 见解

让我们谈谈凭证泄漏。无论是新的违规行为还是回收列表，凭证泄漏仍然是对组织的有效威胁。凭据是给定站点或应用程序的用户电子邮件和相应密码，是网络犯罪分子最喜欢的数据类型，因为它们允许他们伪装成系统上的合法用户。自 1 月以来， Bitdefender 的 MDR 的可操作情报警报中有62%是凭据泄漏。正如我们在过去 2 年多的时间里所看到的，这些攻击媒介与行业和位置无关，而且还在不断增加。Verizon 的数据泄露调查报告表明凭据占 2021 年 APT 泄露的所有数据的 42%，并指出，“如果您只需输入凭据就可以直接通过互联网访问资产，那么犯罪分子也可以”。

凭证在暗网资源上出售和分发，并且可以在任何人都可以轻松访问的代码存储库页面中找到。但是，即使您的公司要求用户遵循最佳实践，包括密码复杂性、长度和季度更改，您是否仍然处于风险之中？答案是潜在的。由于许多组织使用混合和远程工作模式，个人设备是一个盲点。MDR 情报单元可以访问称为恶意软件日志的源，这些源可以深入了解间谍软件设备。间谍软件会影响个人电脑以及Apple和Android移动设备。攻击者通常会试图抓住毫无戒心的用户登录重要的财务或工作资源，而个人设备可能没有最新的安全工具。间谍软件窃取登录信息并在 30 天内将其发布到暗网市场，这可能意味着他们拥有当前的凭据。

攻击者可以通过多种方式使用受损凭据。他们可能会使用用户名、电子邮件和公开密码的组合，通过网络门户或其他远程访问（如 RDP、VPN 或 SSH）通过暴力破解或撞库攻击获得初始访问权限。垃圾邮件发送者和其他社会工程攻击（例如网络钓鱼和鱼叉式网络钓鱼）也可能使用电子邮件来攻击可能处于活动状态的公司或个人电子邮件。

当涉及凭证泄漏时，可以采取的一些安全措施包括：

1. 应用多重身份验证 

2. 意识：检测/抓取暗网、封闭源和粘贴站点，以查找泄露的业务凭据，例如由 Bitdefender MDR中包含的网络情报服务执行。 

3. 企业电子邮件地址只能用于企业帐户。

4. 在密码方面应用强大的安全措施。 

5. 使用密码管理器

6. 密码长度非常重要。确保有 12-14 个字符。

7. 包括大写和小写字母、数字和符号会增加复杂性。

8. 长度比复杂性更重要，第 6 点和第 7 点的组合使密码更难破解。

9. 例如，您可以随机选择几个单词，用数字和符号交换字母：Halloween Shoes Car 变为 H@l10w3en$4oe&c@R。

10. 不要在多个帐户中使用相同的密码。 

11. 至少每 90 天更新/更改一次密码。

12. 尽可能在您的组织工具中启用无密码身份验证，如 OIDC ( OpenID Connect ) ，并确保第三方软件和平台供应商与这些标准兼容，以便应用单点登录身份验证。

13. 为端点实施 IP/URL 信誉以阻止对凭据窃取站点的访问。 

勒索软件报告

鱼叉式网络钓鱼攻击通常用作初始攻击媒介，而勒索软件感染通常是杀伤链的最后阶段。在本报告中，我们分析了 2022 年 6 月从我们的静态反恶意软件引擎收集的恶意软件检测。注意：我们只计算总病例数，而不是感染对金钱的影响有多大。与对目标更具选择性的群体相比，机会主义对手和一些勒索软件即服务 (RaaS)群体的比例更高，因为他们更喜欢数量而不是更高的价值。

查看这些数据时，请记住这些是勒索软件检测，而不是感染。

十大勒索软件家族

我们分析了 6 月 1 日至 6 月 30 日期间的恶意软件检测。我们总共确定了192 个活跃的勒索软件系列。每个月检测到的勒索软件系列的数量可能会有所不同，具体取决于不同国家/地区当前的勒索软件活动。

前 10 名国家

本月，我们总共在数据集中检测到来自 156 个国家/地区的勒索软件。勒索软件仍然是几乎触及整个世界的威胁。以下是受勒索软件影响最大的 10 个国家/地区的列表。许多勒索软件攻击仍然是机会主义的，人口规模与检测数量相关。

安卓木马

以下是我们在 2022 年 6 月遥测中看到的针对 Android 的前 10 大木马。

Downloader.DN – 从 Google App Store 重新打包的应用程序并与攻击性广告软件捆绑在一起。一些广告软件会下载其他恶意软件变体。

Triada.LC –收集有关设备的敏感信息（设备 ID、订户 ID、MAC 地址）并将其发送到恶意 C&C 服务器的恶意软件。C&C 服务器通过发送回恶意软件下载并执行的有效负载的链接来响应。 

SMSSend.AYE -通过请求用户同意，在首次运行时尝试注册为默认 SMS 应用程序的恶意软件。如果成功，它会收集用户的传入和传出消息并将它们转发到命令和控制 (C&C) 服务器。 

Banker.ZX –伪装成银行应用程序并可以模仿与客户支持对话的应用程序。当恶意软件第一次运行时，它会请求访问联系人、麦克风、地理位置和摄像头的权限。一旦授予权限，恶意软件就可以从 C&C 服务器接收命令以从手机中窃取敏感数据。

SpyAgent.DW -泄露敏感数据（如 SMS 消息、通话记录、联系人或 GPS 位置）的应用程序。

HiddenApp.AID - 冒充 AdBlock 应用程序的攻击性广告软件。第一次运行时，它会请求显示在其他应用程序之上的权限。使用此权限，应用程序可以从启动器中隐藏。

Banker.XJ、YM -删除和安装加密模块的应用程序。此木马授予设备管理员权限，并获得管理电话和短信的权限。部署后，它与 C&C 服务器保持连接，以接收命令并上传敏感信息。

Banker.YI - 模拟合法应用程序的多态应用程序（Google、Facebook、Sagawa Express ...）。安装后，它会找到安装在设备上的银行应用程序，并尝试从 C&C 服务器下载木马版本。

Marcher.AR –伪装成 Play Store 应用程序的应用程序。该恶意软件试图请求访问权限以捕获击键，并使用 VNC 屏幕录制功能来记录用户在手机上的活动。  

Homograph 网络钓鱼报告

Homograph 攻击用于滥用国际域名 (IDN)。威胁行为者创建欺骗目标域名的国际域名。当我们谈论 IDN 同形异义词网络钓鱼攻击的“目标”时，我们指的是威胁行为者试图冒充的域。您可以在我们之前的一份报告中了解有关此类攻击的更多信息。

以下是钓鱼网站最常见的 10 个目标列表。

关于 Bitdefender 威胁汇报

Bitdefender 威胁简报 (BDTD) 是一个月度系列，分析上个月的威胁新闻、趋势和研究。你可以在这里找到所有以前的汇报。

https://businessinsights.bitdefender.com/topic/bitdefender-threat-debrief?hsLang=en-us

Bitdefender 为全球数以亿计的端点提供网络安全解决方案和高级威胁防护。超过 150 个技术品牌已获得许可并将 Bitdefender 技术添加到其产品或服务产品中。这个庞大的OEM 生态系统补充了已经从我们的业务和消费者解决方案中收集的遥测数据。为了让您了解规模，Bitdefender Labs 每分钟发现 400 多个新威胁，每天验证 300 亿个威胁查询。这为我们提供了业界对不断变化的威胁形势最广泛的实时视图之一。