安全公司ReliaQuest在上周报告称,应该由IT防御系统检测和阻止的顶级恶意软件是QBot(也称为QakBot、QuackBot和Pinkslipbot),它是1月1日至7月31日期间最常见的加载器,负责记录的入侵尝试的30%。SocGholish排名第二,占27%,Raspberry Robin占23%。排名后的七个加载器远远落后于这三个领导者:Gootloader占3%,Guloader、Chromeloader和Ursnif占2%。
顾名思义,加载器是恶意软件感染的中间阶段。例如,黑客利用某些漏洞或向目标发送带有恶意附件的电子邮件来在受害者的计算机上运行加载器。当加载器运行时,通常会在系统中确保其立足点,采取措施维持持久性,并获取执行主要恶意软件负载,可能是勒索软件、后门或其他类似的东西。
这使得攻击者在入侵后有一定的灵活性,并且还有助于隐藏部署在计算机上的恶意软件。能够发现和停止加载器可以在您的组织内阻止重大的恶意软件感染。
然而,对于安全团队来说,这些加载器令人头疼,因为正如ReliaQuest指出的那样,“对一个加载器的缓解措施可能对另一个加载器无效,即使它们加载相同的恶意软件。”
根据分析,ReliaQuest将QBot描述为“灵活的”银行木马,它已经发展成为传递勒索软件、窃取敏感数据、在组织环境中实现横向移动以及部署远程代码执行软件的16年老木马。
去年6月,Lumen的黑莲花实验室威胁情报组发现该加载器使用了新的恶意软件传递方法和命令与控制基础设施,其中四分之一的基础设施仅活跃了一天。根据安全研究人员的说法,这种演变很可能是对微软去年默认阻止Office用户从互联网获取的宏的回应。
ReliaQuest表示:“QakBot的灵活性在其运营商对微软的Web标记(MOTW)的回应中表现出来:它们改变了交付策略,选择使用HTML走私。在其他情况下,QakBot运营商尝试使用不同的文件类型作为其负载,以逃避缓解措施。”
这包括在钓鱼邮件中使用恶意的OneNote文件,正如2023年2月针对美国组织的一次活动中所发生的情况。
不要相信那个下载
SocGholish通常通过驱动器损坏和社交工程活动部署,伪装成一个假的更新,当被下载时,在受害者设备上释放恶意代码。根据谷歌的威胁分析小组的说法,Exotic Lily曾一度每天向650个目标全球组织发送超过5000封电子邮件。
去年秋天,一个被追踪为TA569的犯罪团伙入侵了250多个美国报纸网站,然后利用这个访问权限通过恶意的JavaScript广告和视频向这些出版物的读者提供SocGholish恶意软件。
最近,在2023年上半年,ReliaQuest追踪到SocGholish运营商进行了“积极的饮水源攻击”。
威胁研究人员表示:“他们入侵和感染了从事具有利润潜力的常规业务的大型组织的网站,不知情的访问者不可避免地下载了SocGholish的负载,导致广泛感染。”
早起的鸟儿得到了(Windows)蠕虫
排名前三的是Raspberry Robin,它也针对Windows系统,并已经从通过USB驱动器传播的蠕虫进化而来。
这些被感染的USB驱动器包含恶意的.lnk文件,当执行时,与命令与控制服务器通信,建立持久性,并在受感染设备上执行其他恶意软件,越来越多地是勒索软件。
Raspberry Robin还被用于传递Clop和LockBit勒索软件,以及TrueBot数据窃取恶意软件、Flawed Grace远程访问木马和Cobalt Strike以获取对受害者环境的访问权限。
它与Evil Corp和另一个俄罗斯犯罪团伙Whisper Spider有关。在2023年上半年,它曾被用于针对金融机构、电信、政府和制造业组织的攻击,主要在欧洲,但也在美国。
研究人员写道:“根据最近的趋势,这些加载器在中期未来(3-6个月)以及之后很可能继续对组织构成威胁。”