最新的 2024 年 6 月全球威胁指数显示,勒索软件排名发生了重大变化。尽管 6 月份大幅下降,但 LockBit 上个月重新出现,成为第二大最常见的勒索软件团体,而 RansomHub 则保持了榜首位置。同时,研究人员发现了在 CrowdStrike 更新问题之后分发 Remcos 恶意软件的活动,以及一系列新的 FakeUpdates 策略,这些策略再次在 7 月份的恶意软件排行榜上名列第一。
Windows版CrowdStrike Falcon传感器出现问题,导致网络犯罪分子分发了一个名为 crowdstrike-hotfix.zip 的恶意ZIP文件。此文件包含 HijackLoader,随后激活了 Remcos 恶意软件,该恶意软件在7月份的恶意软件排行榜上排名第七。该活动使用西班牙语指令针对企业,并涉及创建虚假域名进行网络钓鱼攻击。
与此同时,研究人员发现了一系列使用FakeUpdates的新策略,该病毒连续一个月位居恶意软件排行榜首位。访问受感染网站的用户会遇到虚假的浏览器更新提示,从而导致安装远程访问木马 (RAT),例如 AsyncRAT。令人震惊的是,网络犯罪分子现在已经开始利用 BOINC(一个用于志愿者计算的平台)来远程控制受感染的系统。
网络犯罪分子一直在寻找创新的恶意软件传播方式,以绕过安全措施并利用漏洞。组织必须采取额外的预防措施来避免停机,例如实施预防性安全措施并保留离线备份以便更快地恢复。
2024年7月“十恶不赦”
*箭头表示与上个月相比的排名变化
FakeUpdates是上个月最为流行的恶意软件,影响了全球7%的组织,其次是Androxgh0st,全球影响率为5%,以及AgentTesla,全球影响率为3%。
- ↔ FakeUpdates – FakeUpdates(又名 SocGholish)是一个用 JavaScript 编写的下载程序。它会在启动有效载荷之前将其写入磁盘。FakeUpdates 导致通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)进一步受到攻击。
- ↔ Androxgh0st – Androxgh0st 是一个针对 Windows、Mac 和 Linux 平台的僵尸网络。对于初始感染,Androxgh0st 利用了多个漏洞,具体针对 PHPUnit、Laravel 框架和 Apache Web 服务器。该恶意软件窃取敏感信息,例如 Twilio 帐户信息、SMTP 凭据、AWS 密钥等。它使用 Laravel 文件来收集所需信息。它有不同的变体,可以扫描不同的信息。
- ↔ AgentTesla – AgentTesla 是一种先进的 RAT,可用作键盘记录器和信息窃取程序,能够监视和收集受害者的键盘输入、系统键盘、截屏以及窃取安装在受害者机器上的各种软件的凭据(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
- ↑ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。它在地下黑客论坛上以恶意软件即服务 (MaaS) 的形式销售,因为它具有强大的规避技术和相对较低的价格。FormBook 从各种 Web 浏览器收集凭据、收集屏幕截图、监视和记录击键,并可以根据其 C&C 的命令下载和执行文件。
- ↓ Qbot – Qbot 又名 Qakbot,是一种多用途恶意软件,于 2008 年首次出现。它旨在窃取用户凭据、记录击键、从浏览器窃取 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件分发,采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。从 2022 年开始,它成为最流行的木马之一。
- ↔ Remcos – Remcos 是一种 RAT,于 2016 年首次出现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行分发,旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。
- ↔ Phorpiex – Phorpiex 是一个僵尸网络,以通过垃圾邮件活动传播其他恶意软件家族以及助长大规模性勒索活动而闻名。
- ↑ Vidar - Vidar 是一种以恶意软件即服务形式运行的信息窃取恶意软件,于 2018 年底首次被发现。该恶意软件在 Windows 上运行,可以从浏览器和数字钱包中收集各种敏感数据。此外,该恶意软件还被用作勒索软件的下载器。
- ↓ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令以下载和执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
- ↓ NJRat – NJRat 是一种远程访问木马,主要针对中东地区的政府机构和组织。该木马于 2012 年首次出现,具有多种功能:捕获击键、访问受害者的相机、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和驱动下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
最常被利用的漏洞
- ↑ HTTP 命令注入 (CVE-2021-43936、CVE-2022-24086) – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用此漏洞将允许攻击者在目标计算机上执行任意代码。
- ↑ Zyxel ZyWALL 命令注入 (CVE-2023-28771) – Zyxel ZyWALL 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意操作系统命令。
- ↔ HTTP 标头远程代码执行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375) – HTTP 标头允许客户端和服务器通过 HTTP 请求传递其他信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。
- ↔ Apache HTTP Server 目录遍历 (CVE-2021-41773) – Apache HTTP Server 中存在目录遍历漏洞。成功利用此漏洞可能允许攻击者访问受影响系统上的任意文件。
- ↓ Web 服务器恶意 URL 目录遍历(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) -不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器的输入验证错误导致的,该错误未正确清理目录遍历模式的 URI。成功利用该漏洞可让未经身份验证的远程攻击者泄露或访问存在漏洞的服务器上的任意文件。
- ↓ TP-Link Archer AX21 命令注入 (CVE-2023-1389) – TP-Link Archer AX21 中存在命令注入漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意命令。
- ↑ MVPower CCTV DVR 远程代码执行 (CVE-2016-20016) – MVPower CCTV DVR 中存在远程代码执行漏洞。成功利用此漏洞可使远程攻击者在受影响的系统上执行任意代码。
- ↓ Dasan GPON 路由器身份验证绕过 (CVE-2024-3273) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统中执行任意命令。
- ↔ PHP 复活节彩蛋信息泄露 (CVE-2015-2051) – PHP 页面中已报告信息泄露漏洞。此漏洞是由于 Web 服务器配置不正确造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
- ↑ NETGEAR DGN 命令注入 - NETGEAR DGN 中存在命令注入漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
热门移动恶意软件
上个月,Joker在最流行的移动恶意软件中排名第一,其次是Anubis和AhMyth。
- ↔ Joker – Google Play 上的一款安卓间谍软件,旨在窃取短信、联系人列表和设备信息。此外,该恶意软件还会悄悄地让受害者在广告网站上获得高级服务。
- ↔ Anubis – Anubis 是一种针对 Android 手机设计的银行木马恶意软件。自首次被发现以来,它已获得附加功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。它已在 Google 商店中提供的数百种不同应用程序中被检测到。
- ↔ AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年发现。它通过 Android 应用程序进行传播,这些应用程序可以在应用商店和各种网站上找到。当用户安装其中一个受感染的应用程序时,该恶意软件可以从设备中收集敏感信息并执行键盘记录、截屏、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
全球最易受攻击的行业
上个月,教育/研究仍然位居全球遭受攻击的行业之首,其次是政府/军事和通信行业。
- 教育/研究
- 政府/军队
- 通讯
顶级勒索软件组织
这些数据基于双重勒索勒索软件组织运营的勒索软件“耻辱网站”的洞察,这些网站发布了受害者信息。RansomHub是本月最流行的勒索软件组织,占已发布攻击的11% ,其次是Lockbit3(占8%)和Akira(占6%)。
- RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作,是之前已知的 Knight 勒索软件的改名版本。RansomHub于2024年初在地下网络犯罪论坛上引人注目,因其针对各种系统(包括 Windows、macOS、Linux,尤其是 VMware ESXi 环境)的积极活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。
- Lockbit3 - LockBit 是一种勒索软件,以 RaaS 模式运行,于 2019 年 9 月首次报告。LockBit 的目标是各个国家的大型企业和政府实体,并不针对俄罗斯或独立国家联合体的个人。
- Akira – Akira 勒索软件于 2023 年初首次报告,针对 Windows 和 Linux 系统。它使用 CryptGenRandom() 和 Chacha 2008 的对称加密进行文件加密,类似于泄露的 Conti v2 勒索软件。Akira 通过各种方式传播,包括受感染的电子邮件附件和 VPN 端点中的漏洞。感染后,它会加密数据并在文件名后附加“.akira”扩展名,然后出示勒索信,要求支付解密费用。
