来源: 作者: 发布时间:2024-12-18
网络安全解决方案先驱者和全球领导者 Check Point ® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 11 月《全球威胁指数》报告,重点指出 Androxgh0st 异军突起。目前,该恶意软件已与 Mozi 僵尸网络整合,继续瞄准全球关键基础设施发起攻击。
电网、交通系统、医疗网络等关键基础设施仍是网络犯罪分子的主要攻击目标,因为它们在日常生活中发挥着不可或缺的作用。破坏这些系统可能会导致大规模混乱,造成经济损失,甚至危及公共安全。
研究人员发现,目前位居恶意软件排行榜首位的 Androxgh0st 正在利用多个平台上的漏洞,包括物联网设备和 Web 服务器这些关键基础设施的重要组成部分。它借鉴 Mozi 的攻击策略,利用远程代码执行和凭证窃取方法对系统进行攻击,以保持持续访问,从而实施 DDoS 攻击和数据窃取等恶意活动。僵尸网络 Androxgh0st 通过未修补的漏洞侵入关键基础设施,在整合 Mozi 的能后,显著扩大了其攻击范围,可以感染更多的物联网设备,并控制更广泛的目标。上述攻击可跨行业引发级联效应,这充分表明依赖这些基础设施的政府、企业及个人面临着巨大风险。
在主要的移动恶意软件威胁中,Joker 仍然是最猖獗的恶意软件,其次是 Anubis 和 Necro。Joker 仍在窃取短消息、联系人和设备信息,同时偷偷地为受害者订阅付费服务。与此同时,银行木马 Anubis 增加了新功能,包括远程访问、键盘记录和勒索软件功能。
Check Point 软件技术公司研究副总裁 Maya Horowitz 对于不断演变的威胁形势评论道:"Androxgh0st 的兴起以及与 Mozi 的整合说明了网络犯罪分子正不断翻新花样。各机构必须迅速做出调整,并实施强有力的安全防护措施,以及时发现并抵御这些高级威胁,防止其造成重大损失。"
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
Androxgh0st 是本月最猖獗的恶意软件,全球 5% 的机构受到波及,紧随其后的是 FakeUpdates 和 AgentTesla,分别影响了 5% 和 3% 的机构。
1. ↑ Androxgh0st - Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段,Androxgh0st 利用多个漏洞,特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的变体,可扫描不同的信息。
2. ↓ FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
3. ↔ AgentTesla – AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT,能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的证书。
4. ↑ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 ( MaaS ) 进行出售。FormBook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。
5. ↑ Remcos - Remcos 是一种远程访问木马,于 2016 年首次现身。Remcos 通过垃圾电子邮件随附的恶意 Microsoft Office 文档自行传播,旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。
6. ↔ AsyncRat - Asyncrat 是一种针对 Windows 平台的木马程序。该恶意软件会向远程服务器发送目标系统的系统信息。它从服务器接收命令,以下载和执行插件、终止进程、进行自我卸载 / 更新,并截取受感染系统的屏幕截图。
7. ↓ NJRat - NJRat 是一种远程访问木马,主要针对中东地区的政府机构和组织。该木马于 2012 年首次出现,具有多项功能:捕获击键记录、访问受害者的摄像头、窃取浏览器中存储的凭证、上传和下载文件、操纵进程和文件以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者设备,并在命令与控制服务器软件的支持下,通过受感染的 USB 密钥或网盘进行传播。
8. ↑ Phorpiex - Phorpiex 僵尸网络(又名 Trik)自 2010 年以来一直活跃至今,并在其巅峰时期控制了超过一百万台受感染主机。它因通过垃圾邮件攻击活动分发其他恶意软件家族并助长大规模垃圾邮件和性勒索攻击活动而广为人知。
9. ↑ Cloud Eye - CloudEye 是一种针对 Windows 平台的下载程序,用于在受害者计算机上下载并安装恶意程序。
10. ↑ Rilide - 一种针对 Chromium 浏览器的恶意浏览器扩展插件,可模仿合法软件侵入系统。它利用浏览器功能执行恶意活动,例如监控 Web 浏览、截取屏幕截图和注入脚本以窃取加密货币。Rilide 会下载其他恶意软件、记录用户活动,甚至能够操纵 Web 内容,以诱骗用户进行未经授权的操作。
最常被利用的漏洞
1. ↑ HTTP 载荷命令行注入(CVE-2021-43936,CVE-2022-24086)– 现已发现一种 HTTP 载荷命令行注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。
2. ↑ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞,便会造成帐户信息的无意泄露。
3. ↑ Zmap 安全扫描工具 ( CVE-2024-3378 ) - Zmap 是一款漏洞扫描产品。远程攻击者可使用 ZMap 检测目标服务器上的漏洞。
主要移动恶意软件
本月,Joker 位列最猖獗的移动恶意软件榜首,其次是 Anubis 和 Necro。
1. ↔ Joker – 一种存在于 Google Play 中的 Android 间谍软件,可窃取短消息、联系人列表及设备信息。此外,该恶意软件还能够在广告网站上偷偷地为受害者注册付费服务。
2. ↑ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 ( RAT ) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
3. ↓ Necro - Necro 是一种木马植入程序,可下载其他恶意软件、显示侵入性广告,并通过收取付费订阅费用骗取钱财。
主要勒索软件团伙
这些数据基于从双重勒索勒索软件团伙运营的勒索软件 " 羞辱网站 "(攻击者在这些网站上公布受害者信息)获得的洞察分析。本月,RansomHub 是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 16%,其次是 Akira 和 Killsec3,分别占 6%。
1. RansomHub – RansomHub 是一种勒索软件即服务 ( RaaS ) 操作,据称是已知 Knight 勒索软件的翻版。2024 年初,RansomHub 在地下网络犯罪论坛上初露锋芒,因其针对各种系统(包括 Windows、macOS、Linux,尤其是 VMware ESXi 环境)发起的破坏性攻击活动,以及采用的复杂加密方法而臭名昭著。
2. Akira – Akira 勒索软件于 2023 年初首次发现,主要针对 Windows 和 Linux 系统。它使用 CryptGenRandom ( ) 和 Chacha 2008 对文件进行对称加密,类似于曝光的 Conti v2 勒索软件。Akira 通过多种途径传播,包括受感染的电子邮件附件和 VPN 端点漏洞。感染后,它会加密数据,并在文件名后添加 ".akira" 扩展名,然后留下勒索信,要求支付解密费用。
3. KillSec3 - KillSec 于 2023 年 10 月崭露头角。该团伙不仅运营着一个勒索软件即服务 ( RaaS ) 平台,而且还提供一系列其他攻击性网络犯罪服务,包括 DDoS 攻击和所谓的 " 渗透测试服务 "。