研究人員發(fā)現(xiàn)了300多個以COVID-19為主題的惡意軟件樣本,這些樣本與20個獨立IP地址和域名入侵指標(IOC)建立了通信。通過查詢Prisma Cloud在2020年3月1日至4月7日間與這20個可疑入侵指標的網(wǎng)絡(luò)連接,研究人員發(fā)現(xiàn),27個獨立云環(huán)境中共有453,074個獨特網(wǎng)絡(luò)連接(參見圖1)。
- "超過45萬個云網(wǎng)絡(luò)連接中帶有COVID-19主題惡意軟件入侵指標(IoC)
- "覆蓋27個獨立且存在潛在入侵風險的云環(huán)境
- "明確跡象表明,與執(zhí)行COVID-19主題惡意軟件相關(guān)的命令與控制(C2)操作的節(jié)點已建立通信
圖1:工作流程圖
由于研究人員無法查看網(wǎng)絡(luò)流量,也沒有收到曾發(fā)起網(wǎng)絡(luò)連接的惡意軟件樣本,因此目前還無法確定這27家企業(yè)機構(gòu)實際上是否已受到COVID-19主題惡意軟件攻擊。盡管如此,我們?nèi)詰獙⑦@些網(wǎng)絡(luò)連接視為高度可疑,因為目標端點有惡意軟件操作的歷史記錄。
結(jié)論
每家企業(yè)機構(gòu)都必須監(jiān)控其云基礎(chǔ)設(shè)施的網(wǎng)絡(luò)通信,以確保識別并阻止惡意通信,這一點至關(guān)重要。云原生安全平臺方案必須集成到云基礎(chǔ)設(shè)施、開發(fā)和生產(chǎn)環(huán)境中,以確保這些以COVID-19為主題的攻擊無法在云基礎(chǔ)設(shè)施中發(fā)生。
有關(guān)本次研究的更多細節(jié),請點擊此處瀏覽英文全文。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進技術(shù)重塑著以云為中心的未來社會,改變著人類和組織運作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴,保護人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應對全球最為嚴重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長,我們始終站在安全前沿,在云、網(wǎng)絡(luò)以及移動設(shè)備方面為數(shù)以萬計的組織保駕護航。我們的愿景是構(gòu)建一個日益安全的世界。更多內(nèi)容,敬請登錄Palo Alto Networks(派拓網(wǎng)絡(luò))官網(wǎng)www.paloaltonetworks.com或中文網(wǎng)站www.paloaltonetworks.cn。
關(guān)于 Unit 42
Unit 42 是 Palo Alto Networks 旗下的全球威脅情報團隊,是網(wǎng)絡(luò)威脅防御領(lǐng)域公認的權(quán)威,全球多家企業(yè)及政府機構(gòu)經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進行完全逆向工程解析惡意軟件的專家。憑借這些專業(yè)知識,我們提供優(yōu)質(zhì)、深入的研究,以深入了解威脅執(zhí)行者用來入侵組織的各種工具、技術(shù)和程序。我們的目標是盡可能提供背景信息,解釋攻擊的具體細節(jié)、攻擊的執(zhí)行者及其原因,以便世界各地的安全人員可以洞悉威脅,從而更好地防御攻擊。