信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

網(wǎng)絡(luò)犯罪已經(jīng)進(jìn)入人工智能時(shí)代，勒索軟件、APT等高級(jí)威脅正在經(jīng)歷一次“網(wǎng)絡(luò)犯罪技術(shù)革命”。

根據(jù)Group-IB發(fā)布的《2023-2024年高科技犯罪趨勢(shì)報(bào)告》，2023-2024年高科技網(wǎng)絡(luò)犯罪呈現(xiàn)五大趨勢(shì)。

●網(wǎng)絡(luò)犯罪分子惡意使用人工智能技術(shù)是2024年最主要的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

●勒索軟件保持強(qiáng)勁增長(zhǎng)，2023年數(shù)據(jù)泄露網(wǎng)站上的公司數(shù)量同比增長(zhǎng)74%。

●蘋(píng)果系統(tǒng)成為熱門(mén)目標(biāo)，macOS信息竊取器地下銷(xiāo)售額增長(zhǎng)了五倍。

●亞太地區(qū)是APT攻擊主戰(zhàn)場(chǎng)，政府和軍事組織是主要目標(biāo)。

●JavaScript嗅探器對(duì)電商構(gòu)成重大威脅。

趨勢(shì)一：人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)犯罪

人工智能技術(shù)大大降低了網(wǎng)絡(luò)犯罪分子開(kāi)發(fā)惡意軟件的技術(shù)門(mén)檻，編程能力有限的犯罪分子也可以“開(kāi)發(fā)”復(fù)雜的惡意軟件、頭腦風(fēng)暴新穎的攻擊技術(shù)、編寫(xiě)用于社會(huì)工程攻擊的令人信服的文本，以及提高犯罪網(wǎng)絡(luò)的運(yùn)營(yíng)效率。

網(wǎng)絡(luò)犯罪最常用的人工智能功能包括：

●技術(shù)咨詢

●用于網(wǎng)絡(luò)釣魚(yú)的文本/媒體生成

●情報(bào)收集與攻擊偵察

●保持匿名和躲避追蹤

●深度偽造/假冒

隨著ChatGPT的濫用增加和地下大語(yǔ)言模型（LLM）工具的開(kāi)發(fā)，復(fù)雜攻擊的可能性已經(jīng)升級(jí)。

像ChatGPT這樣的大型語(yǔ)言模型正被網(wǎng)絡(luò)犯罪分子廣泛使用，Group-IB分析師觀察到地下論壇對(duì)ChatGPT越獄和專(zhuān)門(mén)生成式預(yù)訓(xùn)練轉(zhuǎn)換器(GPT)開(kāi)發(fā)的持續(xù)興趣，旨在尋找繞過(guò)ChatGPT安全控制的方法。專(zhuān)家還注意到，自2023年年中以來(lái)，不法分子已經(jīng)開(kāi)發(fā)了四種ChatGPT風(fēng)格的惡意人工智能工具來(lái)協(xié)助網(wǎng)絡(luò)犯罪活動(dòng)：

●WolfGPT

●DarkBARD

●FraudGPT

●WormGPT

FraudGPT和WormGPT是在地下論壇和Telegram頻道上最熱門(mén)的AI黑客工具，專(zhuān)用于社會(huì)工程和網(wǎng)絡(luò)釣魚(yú)。

WolfGPT這樣的專(zhuān)注于代碼或漏洞的工具因訓(xùn)練復(fù)雜性和可用性問(wèn)題人氣不高，但此類(lèi)工具的不斷進(jìn)步會(huì)對(duì)復(fù)雜攻擊構(gòu)成風(fēng)險(xiǎn)。

隨著越來(lái)越多的企業(yè)員工依靠類(lèi)似ChatGPT的人工智能工具來(lái)提高生產(chǎn)力，人工智能工具賬戶失竊（導(dǎo)致會(huì)話數(shù)據(jù)泄露）可給企業(yè)帶來(lái)重大數(shù)據(jù)泄露風(fēng)險(xiǎn)。

2023年1月至10月，Group-IB在暗網(wǎng)上發(fā)現(xiàn)了超過(guò)22.5萬(wàn)條包含失竊ChatGPT賬號(hào)的銷(xiāo)售和交易帖子。

值得注意的是，在2023年6月至10月期間檢測(cè)到的擁有ChatGPT訪問(wèn)權(quán)限的失陷主機(jī)數(shù)量超過(guò)13萬(wàn)臺(tái)，比之前五個(gè)月（2023年1月至5月）增加了36%。包含ChatGPT日志的可用日志數(shù)量在研究的最后一個(gè)月（2023年10月）達(dá)到峰值，為33,080條。報(bào)告還發(fā)現(xiàn)，包含ChatGPT賬戶的大部分日志都是被LummaC2信息竊取器竊取的。

趨勢(shì)二：勒索軟件保持強(qiáng)勁增長(zhǎng)

根據(jù)報(bào)告，2023年有4583家公司的信息、文件和數(shù)據(jù)在勒索軟件數(shù)據(jù)泄露站點(diǎn)上發(fā)布，比2023年（2629家）增長(zhǎng)了74%。研究人員指出，全球勒索軟件攻擊的總數(shù)可能要大得多，因?yàn)楹芏嘟M織選擇支付贖金。

勒索軟件數(shù)據(jù)泄露站點(diǎn)名單那上最常出現(xiàn)的是北美公司，占年度總數(shù)的54%(2,487家)，是2022年對(duì)應(yīng)數(shù)字(1,192家)的兩倍多。勒索軟件DLS上帖子中約26%與歐洲公司相關(guān)(1,186家，同比增長(zhǎng)52%)，10%來(lái)自亞太地區(qū)(463家，同比增長(zhǎng)39%)。

美國(guó)是勒索軟件團(tuán)伙最熱門(mén)的目標(biāo)，2023年有1,060家美國(guó)公司登上勒索軟件數(shù)據(jù)泄露站點(diǎn)。其余受勒索軟件攻擊最多的國(guó)家是德國(guó)(129家)、加拿大(115家)、法國(guó)(103家)和意大利（100）。

2023年，LockBit仍然是最多產(chǎn)的勒索軟件即服務(wù)(RaaS)組織，其數(shù)據(jù)泄露站點(diǎn)發(fā)布了1,079篇帖子（占年度總數(shù)的24%）。其次是BlackCat（427篇帖子，占年度總數(shù)的9%）和Cl0p（385篇帖子，占年度總數(shù)的9%）。

研究人員還發(fā)現(xiàn)，IAB（初始訪問(wèn)經(jīng)紀(jì)人）在勒索軟件市場(chǎng)中繼續(xù)發(fā)揮著重要作用。2023年有2,675家企業(yè)的初始訪問(wèn)權(quán)限在暗網(wǎng)待售，與2022年的2,702家?guī)缀跸嗤?/p>

Group-IB的數(shù)據(jù)顯示，2023年企業(yè)初始訪問(wèn)權(quán)限的平均價(jià)格為2,470美元，比上一年下降了27%。Group-IB分析師認(rèn)為，平均價(jià)格下降是因?yàn)樾沦u(mài)家進(jìn)入市場(chǎng)，降低了報(bào)價(jià)以吸引買(mǎi)家。

美國(guó)(29%)、英國(guó)(4%)和巴西(4%)的公司在IAB銷(xiāo)售名單中最為常見(jiàn)。行業(yè)方面，專(zhuān)業(yè)服務(wù)、政府和軍事組織、金融服務(wù)、制造業(yè)和房地產(chǎn)是IAB的主要目標(biāo)。

趨勢(shì)三：亞太地區(qū)是APT攻擊主戰(zhàn)場(chǎng)，政府和軍事組織是主要目標(biāo)

Group-IB監(jiān)測(cè)到2023年全球有523次攻擊可歸咎于APT組織（國(guó)家支持的威脅行為者），亞太地區(qū)是全球APT組織的主戰(zhàn)場(chǎng)。

針對(duì)亞太地區(qū)組織的APT攻擊占全球總量的34%，研究者認(rèn)為，除地緣政治緊張局勢(shì)外，還因?yàn)樵摰貐^(qū)的金融科技發(fā)展水平較高。歐洲是第二大APT攻擊目標(biāo)地區(qū)，占所有APT攻擊的22%，中東和非洲(MEA)排名第三（2023年占APT攻擊的16%）。

政府和軍事組織是2023年APT攻擊的主要目標(biāo)，占年度總量的28%。這表明，APT組織主要致力于獲取有戰(zhàn)略意義的重要證據(jù)并削弱目標(biāo)國(guó)家或地區(qū)的政府實(shí)體。研究人員發(fā)現(xiàn)，金融服務(wù)(6%)、電信(5%)、制造業(yè)、IT和媒體(均為4%)也受到了APT攻擊的嚴(yán)重影響。

2023年，包括朝鮮團(tuán)體Lazarus在內(nèi)的知名APT組織推出了新策略。Lazarus利用TradingTechnologies的軟件X_TRADER中的漏洞實(shí)施了有史以來(lái)第一次雙重供應(yīng)鏈攻擊，攻擊者能夠訪問(wèn)廣泛使用的3CX桌面應(yīng)用程序的網(wǎng)絡(luò)以進(jìn)行VoIP呼叫，從而危及大量3CX客戶端。

APT攻擊的另外一個(gè)重要趨勢(shì)是持續(xù)惡意使用Dropbox、OneDrive、Google Drive等合法服務(wù)以及Telegram等即時(shí)通訊工具。

趨勢(shì)四、蘋(píng)果系統(tǒng)成為新目標(biāo)

2023年，由于蘋(píng)果系統(tǒng)/平臺(tái)的受歡迎程度和市場(chǎng)份額不斷上升，網(wǎng)絡(luò)威脅的焦點(diǎn)從Windows和安卓轉(zhuǎn)移到了蘋(píng)果平臺(tái)，iOS系統(tǒng)成為炙手可熱的攻擊目標(biāo)。越來(lái)越多的惡意軟件通過(guò)App Store傳播，加上蘋(píng)果云服務(wù)使用的增加，促成了這一趨勢(shì)。

2024年3月6日，蘋(píng)果將在歐洲市場(chǎng)開(kāi)放iOS應(yīng)用的第三方應(yīng)用商店，考慮到2022年蘋(píng)果拒絕了170萬(wàn)個(gè)（不合規(guī)和不安全的）應(yīng)用程序，蘋(píng)果第三方應(yīng)用商店的啟動(dòng)將帶來(lái)巨大安全隱患。

越來(lái)越多的攻擊者已經(jīng)將Android攻擊方案應(yīng)用于iOS，例如GoldFactory和GoldPickaxe。上述iOS惡意軟件在泰國(guó)和越南很活躍，它會(huì)提示受害者錄制面部視頻并將其提交給攻擊者，后者會(huì)利用這些視頻非法訪問(wèn)受害者的銀行賬戶。此外，在最流行的地下論壇xss和exploit中，macOS信息竊取程序的銷(xiāo)售帖子數(shù)量在2023年增加了五倍（從2022年的8個(gè)增加到49個(gè)）。

趨勢(shì)五、JavaScript嗅探器是2024年電商面臨的重大威脅

JavaScript嗅探器（JS-sniffer）是一段植入被攻擊網(wǎng)站的惡意JavaScript代碼，能夠攔截客戶在線交易使用的銀行卡詳細(xì)信息。2024年JavaScript嗅探器將對(duì)電商網(wǎng)站的所有者、消費(fèi)者和銀行構(gòu)成重大風(fēng)險(xiǎn)。Group-IB研究人員在2023年發(fā)現(xiàn)了5037個(gè)被JavaScript嗅探器攻擊的網(wǎng)站。2023年還發(fā)現(xiàn)了14個(gè)新的JavaScript嗅探器家族，表明此類(lèi)威脅正持續(xù)增長(zhǎng)。