2023年这些新型网络安全攻击手法你一定要知道

作者： 时间：2023-10-11 15:53:55

网络安全培训   网络安全培训班 渗透测试 网络攻防课程 信息安全审计

简介 2023年这些新型网络安全攻击手法你一定要知道

2023年这些新型网络安全攻击手法你一定要知道

2023年，网络威胁领域呈现出一些新的发展趋势，攻击类型趋于多样化。

科技CRN访谈了多家公司的专业安全研究人员，整理出2023年值得关注的新兴威胁趋势和黑客攻击手法。

第一类 新型勒索软件攻击

2023年，由于黑客获得了访问泄露源代码和应用构建工具的权限，他们开始不断改进攻击手法和模式，使新一代勒索软件攻击变得更有针对性。而这种新型勒索软件攻击也让大多数企业组织难以招架。他们通常会部署多种不同的勒索软件变体，然后针对同一受害者接连进行多次勒索软件攻击；另外，黑客们会在攻击过程中采用新的手法来破坏数据，部署擦除器工具。

第二类 披着“为你好羊皮”的攻击勒索

现在一些攻击者在进行攻击的同时，会将自己塑造成一种“安全顾问”的角色。一些勒索软件攻击者在完成勒索攻击后，甚至还推出了“安全顾问服务”，他们会为被攻击的企业提供付费版安全性审计报告，概述如何更有效地保护企业网络系统环境。

第三类 针对虚拟设备的RaaS

Ransomware as a Sevice 指的是一种商业模型，其中勒索软件开发者向感兴趣的恶意行为者提供工具，以便他们可以发起勒索软件攻击。由于虚拟设备上缺少安全工具、对ESXi接口缺乏足够的网络分段，同时，大量的ESXi漏洞也让攻击者更容易得手。现在，RaaS已经将目标移到了VMware流行的ESXi虚拟机管理程序。

第四类 生成式AI威胁

AI技术不仅可用于维护网络安全，还可能为有心之人用以AI网络攻击。如今利用AI工具创建恶意软件已经成为现实，这也大大降低了恶意分子的攻击门槛，比如黑客通过使用OpenAI撰写出更逼真的网络钓鱼邮件。

利用生成式AI可以帮助黑客制作恶意软件，并快速发现目标系统中的漏洞，从而加速和扩大攻击规模，甚至比他们使用其他自动化技术所做的还要多。现已出现WormGPT、FraudGPT和DarkGPT。甚至连ChatGPT本身也可以为黑客提供重要帮助，比如为非英语母语人群改善语法。目前，还没有有效的防护措施来阻止基于生成式AI的攻击威胁。

第五类 为网络钓鱼设计的深度伪造视频制作软件

深度伪造领域最近出现了一款为网络钓鱼设计的深度伪造视频制作软件。该软件旨在通过使用深度伪造功能，帮助恶意团伙看起来更加个性化。这是目前发现的首款专为网络钓鱼骗局设计的深度伪造视频技术。

由于语音克隆软件日益普及，音频深度伪造在2023年也开始兴风作浪，被广泛用于转账骗局。这个领域更严重的威胁是，攻击者可能最终能够实现实时语音深度伪造，从而能够以最小的延迟将自己的声音转换成克隆的声音。

第六类 利用Teams的网络钓鱼

2023年，安全研究人员发现了利用微软Teams的攻击活动。攻击者使用了受攻击的微软365账户进行网络钓鱼攻击，使用Teams消息发送诱饵来引诱用户，并确保多因素身份验证（MFA）提示获得批准，从目标组织窃取凭据。这些攻击与使用Teams的目的主要是为了获得初始访问权限以从事恶意活动，比如部署勒索软件。

第七类 升级版应付账款欺诈

应付账款欺诈指攻击者冒充供应商，向目标受害者发送使用自己账号的发票，这不是新骗局。这种威胁目前有了一种更隐蔽的新变体，可以用来实施针对性很强的欺骗。

攻击者会通过社会工程进入到受害者的邮件账户并篡改邮件规则，将企业收到的发票转发给自己并删除发票，防止受害者收到真正的发票。在此之后，攻击者就会篡改发票，添加其自己的账号，并再此发送给受害者。

第八类 双重供应链攻击

2023年3月，应用广泛的通信软件开发商3CX遭受了一次类似SolarWinds的严重供应链攻击。研究人员调查后发现，与过去的软件供应链攻击相比，3CX攻击的最大特点是双重供应链攻击，因为这是由早期的供应链攻击造成的，攻击者篡改了金融软件公司Trading Technologies分发的软件包，因此，可以认为是一起软件供应链攻击导致了另一起软件供应链攻击。