研究人员发现，网络犯罪分子正在利用Telegram和Discord等流行消息应用程序的内置服务作为现成平台，以帮助他们在威胁用户的持续活动中执行一些不良活动。

根据英特尔471的最新研究，威胁行为者正在利用消息应用程序的多功能特性——特别是它们的内容创建和程序共享组件——作为信息窃取的基础。

具体来说，他们使用这些应用程序“托管、分发和执行各种功能，最终使他们能够从毫无戒心的用户那里窃取凭据或其他信息，”研究人员在周二发表的一篇博客文章中写道。

研究人员写道：“虽然Discord和Telegram等消息应用程序并非主要用于业务运营，但它们的广泛运用，再加上远程工作的兴起，让网络犯罪分子拥有比过去几年更大的攻击面。”

他们说，英特尔471确定了威胁行为者利用流行消息传递应用程序的内置功能谋取利益的三种关键方式：存储被盗数据、托管恶意软件有效负载以及使用执行其入侵工作的机器人。

存储泄露的数据
使用自己的专用且安全的网络来存储从毫无戒心的网络犯罪受害者那里窃取的数据，可能需要较高的经济成本和时间成本。研究人员发现，威胁参与者正在使用Discord和Telegram的数据存储功能作为信息窃取者的存储库，这些信息窃取者实际上依赖于应用程序来实现这方面的功能。

事实上，最近发现一种名为Ducktail的新型恶意软件从Facebook商业用户那里窃取数据，并将泄露的数据存储在一个Telegram频道中，而且这并非唯一的案例。

他们说，英特尔471的研究人员观察到一个名为X-Files的机器人，它使用Telegram中的机器人命令来窃取和存储数据。一旦恶意软件感染了系统，攻击者就可以从流行的浏览器（包括谷歌浏览器、Chromium、Opera、Slimjet和Vivaldi）上刷取密码、会话cookie、登录凭据和信用卡详细信息，然后将窃取的信息“存入他们选择的Telegram频道”，研究人员说。

他们补充说，另一个被称为Prynt Stealer的窃取程序以类似的方式运行，但没有内置的Telegram命令。

其他窃取者使用Discord作为存储被盗数据的首选消息传递平台。研究人员表示，英特尔471观察到的一个被称为Blitzed Grabber的窃取者使用Discord的webhook功能存储恶意软件提取的数据，包括自动填充数据、书签、浏览器cookie、VPN客户端凭据、支付卡信息、加密货币钱包和密码。Webhook与API类似，因为它们简化了从受害者机器到特定消息通道的自动消息和数据更新的传输。

研究人员补充说，Blitzed Grabber和另外两名使用信息应用程序进行数据存储的盗窃者——Mercurial Grabber和44Calible——也瞄准了Minecraft和Roblox游戏平台的凭据。

研究人员指出：“一旦恶意软件将窃取的信息传回Discord，攻击者就可以使用它来继续他们自己的计划，或者在地下网络犯罪中出售被盗的凭据。”

有效负载托管
据英特尔471称，威胁参与者还利用消息传递应用程序的云基础设施来托管更多合法服务——他们还将恶意软件隐藏在其深处。

研究人员指出，自2019年以来，Discord的内容交付网络（CDN）一直是恶意软件托管的肥沃土壤，因为网络犯罪运营商在上传恶意有效负载以进行文件托管时没有任何限制。

研究人员写道：“这些链接对任何未经身份验证的用户开放，为威胁行为者提供了一个信誉良好的网络域来托管恶意负载。”

观察到使用Discord CDN托管恶意负载的恶意软件系列包括：PrivateLoader、Colibri、Warzone RAT、Smokeloader、Agent Tesla Stealer和njRAT等。

使用机器人进行欺诈

研究人员发现，网络犯罪分子还使Telegram机器人能够做的不仅仅是向用户提供合法功能。事实上，英特尔471已经观察到它所称的针对地下网络犯罪的服务出现了“上升”，这些服务提供了对机器人的访问，这些机器人可以拦截一次性密码令牌，威胁者可以利用这些令牌来欺骗用户。

研究人员观察到，一种名为Astro OTP的机器人使威胁参与者可以访问OTP和短信服务（SMS）验证码。他们说，网络犯罪分子可以通过执行简单的命令直接通过Telegram界面控制机器人。

研究人员表示，目前在黑客论坛上，Astro OTP现行的订阅价格为25美元每天或300美元终身。

 

绿媒“民视新闻”直播信号被黑客攻击，滚动播放“中国一点都不能少”；网警提醒：别被这些弹窗乱了心

API安全是当下企业面临的最严峻的网络安全挑战之一。在过去的12个月中，API攻击增加了681%，而整体API流量也增加了321%。根据Salt的2022年第一季度API安全状况报告，恶意API调用从2020年12月的每个客户月均273万次飙升到2021年12月的2132万次。Salt的客户拥有Web应用程序防火墙，并且几乎所有客户都拥有API网关，但API攻击正在绕过这些安全控制。

API安全失控

API攻击的爆发式增长也扼杀了业务创新。例如，62%的企业承认由于API安全问题推迟了新产品的推出和应用程序的推出。此外，95%的DevOps领导者和团队表示他们在过去12个月中遭遇过API安全事件。三分之一的DevOps组织表示，尽管在生产环境中运行API，但他们的公司缺乏任何API安全策略。

根据Gartner的数据，到2024年API攻击将加速并翻一番。与此同时，API承载的业务量也在高速增长，从2019年到2021年，与API相关的查询量稳步增长，平均同比增长33%。

DevOps领导者面临着在预算内按时交付数字化转型项目的压力，同时还需要开发和微调API。不幸的是，当DevOps团队急于在截止日期前完成项目时，API安全管理往往成了马后炮。当企业中的所有DevOps团队都没有他们需要的API管理工具和安全防护时，API安全问题很快就会失控。

更多的DevOps团队需要一种可靠、可扩展的方法来防止API安全失控。此外，DevOps团队还需要将API管理转移到零信任框架，以降低数据泄露的风险。

API防护的六个阶段

Cequence Security和Forrester在DevOps和API安全网络研讨会提出了API保护的六个阶段。

“那些最大型的组织日常会处理数百个使用扩展API的应用程序，随着数字化的不断深入，未来他们将面对数万或数十万个API。因此，对API的管理和跟踪将变得更加困难。”Forrester首席分析师Sandy Carielli在网络研讨会上说。

Cequence Security则将API防护划分为六个阶段，第一阶段从发现和识别所有面向公众的API开始，然后进阶到库存、合规性、检测、预防和检测（下图）：

没有零信任，就没有真正的API安全

Cequence Security认为，在整个API安全生命周期采用集成的，基于生命周期的迭代方法有助于识别和管理API，同时能有效检测和防止API攻击。

Forrester的首席分析师Sandy Carielli指出：API需要作为易受攻击的、未受保护的开放攻击面进行管理。网络犯罪分子知道API疏于防护，API攻击近年来保持着三位数的高增长率，企业迫切需要使用零信任框架进行API安全管理。

API攻击面管理离不开零信任

Capital One、JustDial、Venmo、Panera Bread、T-Mobile、美国邮政服务等公司的API漏洞表明，数以千计的API没有受到保护，是网络犯罪分子最喜欢的攻击面之一。API需要最少的特权访问，并使用更基于微分段的方法进行管理。零信任的这两个要素结合身份和访问管理(IAM)框架来管理API，将减少企业目前难以追踪的“流氓API”和“失踪API”的数量。此外，应用最小权限、微分段和IAM将减少用于内部测试的端点数量（这些端点保持打开状态，可以访问API）。  

API生命周期需要建立在零信任之上

安全控制不应当成为DevOps的绊脚石。将零信任嵌入API生命周期首先是不信任客户端提供的数据，并使用默认拒绝流程来删除所有隐式信任。DevOps领导者需要将身份验证构建到API生命周期的每个阶段。目标需要是为每个API开发和部署项目设计明确的信任规则。

基于零信任的有效API治理

DevOps领导者及其团队需要帮助平衡其业务对API不断增长的需求与保持合规性的需求，以支持新的数字化转型项目。面对快速地创建API的压力，DevOps团队首先加速业务收益，并尝试在开发时间表允许的情况下赶上合规性、安全性和隐私性。安全控制必须转向API级别的信任，为生成的每种类型的API定义安全上下文。

以零信任加强CI/CD和SDLC

对源代码供应链的攻击表明，零信任必须成为持续集成/持续交付(CI/CD)和SDLC等DevOps框架和流程的核心。类似SolarWinds这样的软件供应链攻击成功地更改了应用程序的核心可执行文件，然后感染了整个供应链，这使得零信任成为当今DevOps团队需要处理的紧迫问题，只有在SDLC设计阶段融合安全，才能让安全不再成为代码生产的阻力。SDLC周期也将运行得更快，因为安全将不再是项目结束后的附加流程，这将大大改善了代码安全治理。

API安全不能是马后炮

为了按时完成大型数字化转型项目，很多DevOps团队负责人急于完成API发布周期，同时将安全性视为完成工作的障碍。这导致API的安全检查和审计工作非常草率甚至缺失。DevOps团队中的每个人都被迫满足或超过代码发布日期。API安全成为没有人有时间处理的附加流程，导致API安全问题蔓延。

当零信任成为API和DevOps流程的设计目标时，安全性才能在整个SDLC中得到加强。此外，IAM和微分段将极大地提高库存准确性，减少流氓或被遗忘的API的威胁，避免整个平台或公司因网络攻击而瘫痪。

文章来源：GoUpSec