2024年 4 月份恶意软件之“十恶不赦”排行榜

研究人员最近发现 Androxgh0st 攻击激增，这是一种针对 Windows、Mac 和 Linux 平台的木马，在恶意软件排行榜中直接跃居第二位。与此同时，尽管 LockBit3 的流行率有所下降，但仍以微弱优势保持最大勒索软件类别的地位。

最新的 2024 年 4 月全球威胁指数显示，研究人员发现 Androxgh0st 攻击的使用显着增加，该恶意软件被用作利用僵尸网络窃取敏感信息的工具。与此同时，LockBit3 仍然是 4 月份最流行的勒索软件组织，尽管其检测率自年初以来下降了 55%，其全球影响力从 20% 降至 9%。

自 Androxgh0st 威胁行为者于 2022 年 12 月出现以来，研究人员一直在监视该威胁行为者的活动。攻击者利用 CVE-2021-3129 和 CVE-2024-1709 等漏洞部署 Web shell 进行远程控制，同时专注于构建用于窃取凭据的僵尸网络。FBI 和 CISA 联合发布的网络安全咨询 (CSA) 中指出了这一点。值得注意的是，该恶意软件操作者与 Adhublika 勒索软件的分发有关。Androxgh0st 参与者表现出倾向于利用 Laravel 应用程序中的漏洞来窃取 AWS、SendGrid 和 Twilio 等基于云的服务的凭证。最近的迹象表明，焦点已转向构建僵尸网络以进行更广泛的系统利用。

与此同时，双重勒索勒索软件团体运营的“羞耻网站”的见解，这些网站发布受害者信息以向不付费目标施压。LockBit3 再次以 9% 的已发布攻击排名第一，其次是 Play（占 7%）和 8Base（占 6%）。重新进入前三名的 8Base 最近声称他们渗透了联合国 IT 系统并窃取了人力资源和采购信息。虽然 LockBit3 仍然位居第一，但该组织经历了几次挫折。今年 2 月，该数据泄露网站被查获，作为多机构行动“克罗诺斯行动”的一部分，而本月，同一国际执法机构发布了新的细节，确定了 194 个使用 LockBit3 的附属机构，并揭露并制裁了该组织的领导人。团体。

研究表明，国际上为破坏 LockBit3 而做出的共同努力似乎取得了成功，自 2024 年初以来，其全球影响减少了 50% 以上。无论最近有何积极进展，组织都必须继续优先考虑网络安全，采取主动措施并加强网络、端点和电子邮件安全。实施多层防御并建立强大的备份、恢复程序和事件响应计划仍然是提高网络弹性的关键。

上个月，全球最常被利用的漏洞是“HTTP 命令注入”和“Web 服务器恶意 URL 目录遍历”，影响了 52% 的组织。其次是“HTTP 标头远程代码执行”，全球影响率为 45%

2024年4月“十恶不赦”

*箭头表示与上个月相比的排名变化

FakeUpdates是上个月最流行的恶意软件，影响了全球6%的组织，其次是Androxgh0st，影响了4%， Qbot影响了3%。

• ↔ FakeUpdates – FakeUpdates（又名 SocGholish）是一个用 JavaScript 编写的下载器。它在启动有效负载之前将其写入磁盘。FakeUpdates 通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）导致进一步的危害。
• ↑ Androxgh0st – Androxgh0st 是一个针对 Windows、Mac 和 Linux 平台的僵尸网络。对于初始感染，Androxgh0st 利用多个漏洞，特别针对 PHPUnit、Laravel 框架和 Apache Web 服务器。该恶意软件窃取敏感信息，例如 Twilio 帐户信息、SMTP 凭证、AWS 密钥等。它使用 Laravel 文件来收集所需信息。它有不同的变体，可以扫描不同的信息。
• ↓ Qbot – Qbot 又称 Qakbot 是一种多用途恶意软件，首次出现于 2008 年。它旨在窃取用户的凭据、记录击键、窃取浏览器的 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件进行分发，它采用多种反虚拟机、反调试和反沙箱技术来阻碍分析和逃避检测。从 2022 年开始，它成为最流行的特洛伊木马之一。
• ↓ FormBook – FormBook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中以恶意软件即服务 (MaaS) 的形式进行销售。FormBook 从各种 Web 浏览器获取凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。
• ↑ CloudEyE – CloudEye是一款针对Windows平台的下载器，用于在受害者计算机上下载并安装恶意程序。
• ^ Phorpiex – Phorpiex 是一个僵尸网络，以通过垃圾邮件活动分发其他恶意软件系列以及助长大规模性勒索活动而闻名。
• ↓ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
• ↔ Nanocore – NanoCore 是一种针对 Windows 操作系统用户的远程访问木马，于 2013 年首次被发现。该 RAT 的所有版本都包含基本插件和功能，例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。
• ↔ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的摄像头、窃取浏览器中存储的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者，并在命令与控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
• ↓ Remcos – Remcos 是一种于 2016 年首次出现的 RAT。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行传播，旨在绕过 Microsoft Windows UAC 安全性并以高级权限执行恶意软件。

最常被利用的漏洞 

上个月，“ HTTP 命令注入”是最常被利用的漏洞，影响了 全球52%的组织，其次是“Web 服务器恶意 URL 目录遍历”，影响了52%，“HTTP 标头远程代码执行”影响了全球45%。

• ↔ HTTP 命令注入 (CVE-2021-43936、CVE-2022-24086) – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用此漏洞将允许攻击者在目标计算机上执行任意代码。
• ↔ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、 CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –有不同Web服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的，该错误未正确清理目录遍历模式的 URI。成功利用此漏洞允许未经身份验证的远程攻击者披露或访问易受攻击的服务器上的任意文件。
• ↑ HTTP 标头远程代码执行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375）- HTTP 标头允许客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。
• ↓ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。
• ↑ Dasan GPON 路由器身份验证绕过 (CVE-2012-5469) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
• ↓ PHP 彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
• ↔ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160、CVE-2014-0346) – OpenSSL TLS DTLS 心跳信息泄露 OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed，是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露所连接的客户端或服务器的内存内容。
• ↑ D-Link DNS 命令注入 (CVE-2024-3273) – D-Link DNS 中存在命令注入漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意命令。
• ^ NETGEAR DGN 命令注入 – NETGEAR DGN 中存在命令注入漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
• ↔ Apache Struts2 远程执行代码 (CVE-2017-5638) – Apache Struts2 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。

热门移动恶意软件

上个月，Anubis 在最流行的移动恶意软件中排名第一，其次是AhMyth和Hiddad。

• ↔ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已获得了额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。Google 商店中数百个不同的应用程序已检测到该病毒。
• ↔ AhMyth – AhMyth 是 2017 年发现的远程访问木马 (RAT)。它通过 Android 应用程序分发，可在应用程序商店和各种网站上找到。当用户安装这些受感染的应用程序之一时，恶意软件可以从设备收集敏感信息并执行键盘记录、截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。
• ↑ Hiddad – Hiddad 是一种 Android 恶意软件，它会重新打包合法应用程序，然后将其发布到第三方商店。它的主要功能是显示广告，但它也可以访问操作系统内置的关键安全详细信息。

全球受攻击最严重的行业

上个月，教育/研究在全球受攻击行业中仍位居第一，其次是政府/军事和医疗保健。

• 教育/研究
• 政府/军队
• 卫生保健

主要勒索软件组织

数据基于对发布受害者信息的双重勒索勒索软件组织运营的勒索软件“耻辱网站”的洞察。 Lockbit3是上个月最流行的勒索软件组织，占已发布攻击的9% ，其次是Play（占7%）和8Base（占6%）。

• Lockbit3 – LockBit 是一种勒索软件，以 RaaS 模式运行，于 2019 年 9 月首次报告。LockBit 针对来自不同国家的大型企业和政府实体，不针对俄罗斯或独立国家联合体的个人。尽管由于执法行动，LockBit3 在 2024 年 2 月经历了严重的中断，但仍恢复发布有关受害者的信息。
• Play – Play 勒索软件，也称为 PlayCrypt，是一种于 2022 年 6 月首次出现的勒索软件。该勒索软件针对北美、南美和欧洲的广泛企业和关键基础设施，到 2023 年 10 月影响了大约 300 个实体。Play 勒索软件通常通过入侵有效账户或利用未修补的漏洞（例如 Fortinet SSL VPN 中的漏洞）来访问网络。一旦进入，它就会采用诸如使用 living-off-the-land 二进制文件 (LOLBins) 之类的技术来执行数据泄露和凭据窃取等任务。
• 8Base – 8Base 威胁组织是一个勒索软件团伙，自 2022 年 3 月起就一直活跃。由于其活动显着增加，它在 2023 年中期声名狼藉。据观察，该组织使用了多种勒索软件变体，其中 Phobos 是其中一种常见元素。8Base 的运作相当复杂，从他们在勒索软件中使用的先进技术可以看出。该组织的方法包括双重勒索策略。