2024 年 5 月全球威胁指数显示,研究人员发现了由 Phorpiex 僵尸网络策划的恶意垃圾邮件活动。发送的数百万封网络钓鱼电子邮件包含 LockBit Black——基于 LockBit3,但与勒索软件组织无关。在无关的发展中,实际的 LockBit3 勒索软件即服务 (RaaS) 组织在执法部门在全球范围内取缔后短暂中断后,流行程度激增,占已发布攻击的 33%。
Phorpiex 僵尸网络的原始运营商于 2021 年 8 月关闭并出售源代码。然而,到 2021 年 12 月,已重新出现,成为一个名为“Twizt”的新变种,以去中心化的点对点模式运行。今年 4 月,新泽西州网络安全和通信集成小组 (NJCCIC)发现证据表明,上个月威胁指数排名第六的 Phorpiex 僵尸网络被用于发送数百万封网络钓鱼电子邮件,作为 LockBit3 勒索软件活动的一部分。这些电子邮件带有ZIP 附件,当执行其中的欺骗性 .doc.scr 文件时,会触发勒索软件加密过程。该活动使用了 1,500 多个唯一 IP 地址,主要来自哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯等国家。
同时,这些网站发布受害者信息以向不付款的目标施压。5 月,LockBit3 再次占据主导地位,占已发布攻击的 33%。紧随其后的是 Inc. Ransom,占 7%,Play 的检测率为 5%。Inc. Ransom 最近声称对一起重大网络事件负责,该事件扰乱了英国莱斯特市议会的公共服务,据称窃取了超过 3 TB 的数据并导致大面积系统关闭。
虽然执法机构通过揭露 LockBit3 网络团伙的一名头目和附属机构并发布7,000 多个 LockBit 解密密钥成功暂时瓦解了该团伙,但这还不足以彻底消除威胁。他们重组并部署新战术以继续追捕,这并不奇怪。勒索软件是网络犯罪分子使用的最具破坏性的攻击方法之一。一旦他们渗透到网络并提取信息,目标的选择就会受到限制,特别是如果他们无力支付赎金要求。这就是为什么组织必须警惕风险并优先采取预防措施的原因。最近美国方面报道LockBit3窃取了美联储33TB数据,谈判过程中感觉受到了侮辱,要求更换谈判人员:33TB美联储“敏感”信息被窃取,黑客谈判失败要求换掉白痴谈判专家。
2024年5月“十恶不赦”
*箭头表示与上个月相比的排名变化。
FakeUpdates是上个月最为流行的恶意软件,影响了全球7%的组织,其次是Androxgh0st,全球影响率为5%,以及Qbot,全球影响率为3%。
- ↔ FakeUpdates – FakeUpdates(又名 SocGholish)是一个用 JavaScript 编写的下载程序。会在启动有效载荷之前将其写入磁盘。FakeUpdates 导致通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)进一步受到攻击。
- ↔ Androxgh0st – Androxgh0st 是一个针对 Windows、Mac 和 Linux 平台的僵尸网络。对于初始感染,Androxgh0st 利用了多个漏洞,具体针对的是 PHPUnit、Laravel 框架和 Apache Web 服务器。该恶意软件窃取敏感信息,例如 Twilio 账户信息、SMTP 凭据、AWS 密钥等。它使用 Laravel 文件来收集所需的信息。它有不同的变体,可以扫描不同的信息。
- ↔ Qbot – Qbot 又名 Qakbot,是一种多用途恶意软件,于 2008 年首次出现。它旨在窃取用户凭据、记录击键、从浏览器窃取 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件分发,采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。从 2022 年开始,它成为最流行的木马之一。
- ↑ CloudEye – CloudEye 是一个针对 Windows 平台的下载器,用于在受害者的计算机上下载并安装恶意程序。
- ↑ Remcos – Remcos 是一种 RAT,于 2016 年首次出现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行分发,旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。
- ↔ Phorpiex – Phorpiex 是一个僵尸网络,以通过垃圾邮件活动传播其他恶意软件家族以及助长大规模性勒索活动而闻名。
- ↑ Glupteba – Glupteba 自 2011 年起为人所知,是一个逐渐发展成为僵尸网络的后门。到 2019 年,它包括通过公共比特币列表更新 C&C 地址的机制、一个集成的浏览器窃取程序功能和一个路由器漏洞利用程序。
- ↓ AsyncRat – AsyncRat 是一种针对 Windows 平台的木马。该恶意软件会将目标系统的系统信息发送到远程服务器。它会从服务器接收命令,下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
- ↓ Formbook - Formbook 是一款针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。它在地下黑客论坛上以恶意软件即服务 (MaaS) 的形式销售,因为它具有强大的规避技术和相对较低的价格。Formbook 从各种 Web 浏览器收集凭据、收集屏幕截图、监视和记录击键,并可以根据其 C&C 的命令下载和执行文件。
- ↓ NJRat – NJRat 是一种远程访问木马,主要针对中东地区的政府机构和组织。该木马于 2012 年首次出现,具有多种功能:捕获击键、访问受害者的相机、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和驱动下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
最常被利用的漏洞
上个月,“ HTTP 命令注入” 是最容易被利用的漏洞,影响了 全球50%的组织,其次是“Web 服务器恶意 URL 目录遍历”,占47%,然后是“Apache Log4j 远程代码执行”,占46%。
- ↔ HTTP 命令注入 (CVE-2021-43936、CVE-2022-24086) – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用此漏洞将允许攻击者在目标计算机上执行任意代码。
- ↔ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器的输入验证错误导致的,该错误未正确清理目录遍历模式的 URI。成功利用该漏洞可让未经身份验证的远程攻击者泄露或访问存在漏洞的服务器上的任意文件。
- ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
- ↓ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375) – HTTP 标头允许客户端和服务器通过 HTTP 请求传递其他信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。
- ↑ Apache HTTP Server 目录遍历 (CVE-2021-41773) – Apache HTTP Server 中存在目录遍历漏洞。成功利用此漏洞可使攻击者访问受影响系统上的任意文件。
- ↑ TP-Link Archer AX21 命令注入 (CVE-2023-1389) – TP-Link Archer AX21 中存在命令注入漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意命令。
- ↑ D-Link 多产品命令注入 (CVE-2024-3272) –多款 D-Link 产品中存在命令注入漏洞。成功利用此漏洞可使远程攻击者在受影响的系统上执行任意命令。
- ↑ MVPower CCTV DVR 远程代码执行 (CVE-2016-20016) – MVPower CCTV DVR 中存在远程代码执行漏洞。成功利用此漏洞可使远程攻击者在受影响的系统上执行任意代码。
- ↓ Dasan GPON 路由器身份验证绕过 (CVE-2024-3273) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
- ↓ PHP 复活节彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中已报告信息泄露漏洞。此漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
热门移动恶意软件
上个月,Anubis作为最流行的移动恶意软件位居榜首,其次是AhMyth和Hydra。
- ↔ Anubis – Anubis 是一种针对 Android 手机设计的银行木马恶意软件。自首次被发现以来,它已获得附加功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。它已在 Google 商店中提供的数百种不同应用程序中被检测到。
- ↔ AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年发现。它通过 Android 应用程序进行传播,这些应用程序可以在应用商店和各种网站上找到。当用户安装其中一个受感染的应用程序时,该恶意软件可以从设备中收集敏感信息并执行键盘记录、截屏、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
- ↑ Hydra – Hydra 是一种银行木马,通过要求受害者在每次进入任何银行应用程序时启用危险权限和访问权限来窃取银行凭证。
全球最易受攻击的行业
上个月,教育/研究仍然位居全球遭受攻击的行业之首,其次是政府/军事和通信。
- 教育/研究
- 政府/军队
- 通讯
顶级勒索软件组织
以下数据基于双重勒索勒索软件组织运营的勒索软件“耻辱网站”的见解,这些网站发布了受害者信息。LockBit3是上个月最流行的勒索软件组织,占已发布攻击的33% ,其次是Inc. Ransom(占7%)和Play(占5%)。
- LockBit3 – LockBit 是一种勒索软件,以 RaaS 模式运行,于 2019 年 9 月首次报告。LockBit 针对的是各个国家的大型企业和政府实体,并不针对俄罗斯或独立国家联合体的个人。尽管由于执法行动,LockBit 在 2024 年 2 月经历了严重中断,但现已恢复发布有关其受害者的信息。
- Inc. Ransom – Inc. Ransom 是一种勒索软件勒索行动,于 2023 年 7 月出现,进行鱼叉式网络钓鱼攻击并针对易受攻击的服务。该组织的主要目标是北美和欧洲的多个行业组织,包括医疗保健、教育和政府。Inc. 勒索软件负载支持多个命令行参数,并使用多线程方法进行部分加密。
- Play – Play 勒索软件,也称为 PlayCrypt,是一种于 2022 年 6 月首次出现的勒索软件。该勒索软件针对北美、南美和欧洲的广泛企业和关键基础设施,到 2023 年 10 月影响了大约 300 个实体。Play 勒索软件通常通过入侵有效账户或利用未修补的漏洞(例如 Fortinet SSL VPN 中的漏洞)来访问网络。一旦进入,它就会采用诸如使用 living-off-the-land 二进制文件 (LOLBins) 之类的技术来执行数据泄露和凭据窃取等任务。
