从 2023 年 1 月 1 日到 7 月 31 日,QakBot 负责观察到的事件的 30% ,SocGholish 负责其中的 27%,Raspberry Robin 负责 23%。
据该公司称,并非所有观察到的事件都会导致网络受损,因为加载程序在引起问题之前就被检测到并停止了。
QakBot (QBot 或 Quakbot)自 2009 年以来一直活跃,最初是一种银行木马,但后来演变为恶意软件加载程序,可以部署额外的有效负载、窃取敏感信息并实现横向移动。
QakBot 通常通过网络钓鱼电子邮件传递,与 BlackBasta 勒索软件组织有关联,该组织由前 Conti 勒索软件团伙成员组成。
“QakBot 是一种不断演变的持续威胁,用于伺机针对任何行业或地区。他们的运营商有能力、足智多谋地适应变化,在可预见的未来他们很可能会继续存在,”ReliaQuest 指出。
SocGholish(又名 FakeUpdates)至少从 2018 年开始活跃,通过偷渡式下载进行部署,使用广泛的受感染网站网络提供虚假更新。
该加载程序与总部位于俄罗斯的 Evil Corp 网络犯罪组织(该组织至少自 2007 年以来一直活跃)以及名为 Exotic Lily 的初始访问经纪人 (IAB) 有关。
2023 年上半年,SocGholish的运营商被发现利用大型组织受感染的网站进行激进的水坑攻击。
图片
Raspberry Robin 是一种 Windows 蠕虫,最初于 2021 年 9 月发现,主要通过可移动设备(例如 USB 驱动器)传播,并与包括 Evil Corp 和 Silence 在内的各种威胁参与者存在关联。
据观察,Raspberry Robin 在针对主要在欧洲的金融机构、政府组织、电信和制造公司的攻击中部署了广泛的勒索软件和恶意软件系列,包括 Cl0p、LockBit、TrueBot 等。
ReliaQuest 表示,除了这三个加载程序之外,Gootloader、Chromeloader、Guloader 和 Ursnif 在今年前 7 个月也非常活跃。