本月,研究人员发现威胁行为者可能使用人工智能开发脚本来传播 AsyncRAT 恶意软件,该恶意软件目前在最流行的恶意软件列表中排名第 10。该方法涉及 HTML 走私,其中发送包含恶意 VBScript 代码的受密码保护的 ZIP 文件以在受害者的设备上启动感染链。结构良好且带有注释的代码表明人工智能参与其中。一旦完全执行,AsyncRAT 就会安装,使攻击者能够记录击键、远程控制受感染的设备并部署其他恶意软件。这一发现凸显了一种日益增长的趋势,即技术技能有限的网络犯罪分子使用人工智能更轻松地创建恶意软件。
威胁行为者已开始利用生成式人工智能作为其攻击基础设施的一部分,这一事实凸显了网络攻击策略的不断演变。网络犯罪分子越来越多地利用现有技术来增强其行动,因此组织必须实施主动安全策略,包括先进的预防方法和对其团队进行全面的培训。
本月,Joker 继续成为最流行的移动恶意软件,而 RansomHub 仍然是领先的勒索软件组织,两者均保持了上个月的地位。这些发现凸显了这些恶意实体在不断发展的网络安全格局中构成的持续威胁。
2024年9月“十恶不赦”
*箭头表示与上个月相比的排名变化
FakeUpdates是本月最流行的恶意软件,影响了全球7% 的组织,其次是Androxgh0st,全球影响率为6%,以及Formbook,全球影响率为4%。
- ↔ FakeUpdates – FakeUpdates(又名 SocGholish)是一个用 JavaScript 编写的下载程序。它会在启动有效载荷之前将其写入磁盘。FakeUpdates 导致通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)进一步受到攻击。
- ↔ Androxgh0st – Androxgh0st 是一个针对 Windows、Mac 和 Linux 平台的僵尸网络。对于初始感染,Androxgh0st 利用了多个漏洞,具体针对 PHPUnit、Laravel 框架和 Apache Web 服务器。该恶意软件窃取敏感信息,例如 Twilio 帐户信息、SMTP 凭据、AWS 密钥等。它使用 Laravel 文件来收集所需信息。它有不同的变体,可以扫描不同的信息。
- ↑ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。它在地下黑客论坛上以恶意软件即服务 (MaaS) 的形式销售,因为它具有强大的规避技术和相对较低的价格。FormBook 从各种 Web 浏览器收集凭据、收集屏幕截图、监视和记录击键,并可以根据其 C&C 的命令下载和执行文件。
- ↔ Qbot – Qbot 又名 Qakbot,是一种多用途恶意软件,于 2008 年首次出现。它旨在窃取用户凭据、记录击键、从浏览器窃取 cookie、监视银行活动以及部署其他恶意软件。Qbot 通常通过垃圾邮件分发,采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。从 2022 年开始,它成为最流行的木马之一。
- ↔ AgentTesla – AgentTesla 是一种先进的 RAT,可用作键盘记录器和信息窃取程序,能够监视和收集受害者的键盘输入、系统键盘、截屏以及窃取安装在受害者机器上的各种软件的凭据(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
- ↓ Phorpiex – Phorpiex 是一个僵尸网络,以通过垃圾邮件活动传播其他恶意软件家族以及助长大规模性勒索活动而闻名。
- ↑ Vidar - Vidar 是一种以恶意软件即服务形式运行的信息窃取恶意软件,于 2018 年底首次被发现。该恶意软件在 Windows 上运行,可以从浏览器和数字钱包中收集各种敏感数据。此外,该恶意软件还用作勒索软件的下载器。
- ↑ NJRat – NJRat 是一种远程访问木马,主要针对中东的政府机构和组织。该木马于 2012 年首次出现,具有多种功能:捕获击键、访问受害者的相机、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和驱动下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
- ↑ Glupteba – Glupteba 自 2011 年起为人所知,是一个逐渐发展成为僵尸网络的后门。到 2019 年,它包括通过公共比特币列表更新 C&C 地址的机制、集成的浏览器窃取程序功能和路由器漏洞利用程序。
- ↑ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件将有关目标系统的系统信息发送到远程服务器。它从服务器接收命令以下载和执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
最常被利用的漏洞
- ↔ HTTP 命令注入 (CVE-2021-43936、CVE-2022-24086) – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用此漏洞将允许攻击者在目标计算机上执行任意代码。
- ↑ Web 服务器恶意 URL 目录遍历 (CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) –不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器的输入验证错误导致的,该错误未正确清理目录遍历模式的 URI。成功利用该漏洞可让未经身份验证的远程攻击者泄露或访问存在漏洞的服务器上的任意文件。
- ↔ HTTP 标头远程代码执行 (CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-1375) – HTTP 标头允许客户端和服务器通过 HTTP 请求传递其他信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。
热门移动恶意软件
本月最流行的移动恶意软件中,Joker位居第一,其次是Anubis和Hiddad。
- ↔ Joker – Google Play 上的一款安卓间谍软件,旨在窃取短信、联系人列表和设备信息。此外,该恶意软件还会悄悄地让受害者在广告网站上获得高级服务。
- ↔ Anubis – Anubis 是一种针对 Android 手机设计的银行木马恶意软件。自首次被发现以来,它已获得附加功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。它已在 Google 商店中提供的数百种不同应用程序中被检测到。
- ↑ Hiddad – Hiddad 是一种 Android 恶意软件,它会重新打包合法应用程序,然后将其发布到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全详细信息。
全球最易受攻击的行业
本月,教育/研究行业在全球遭受攻击的行业中仍然位居第一,其次是政府/军事和医疗保健。
- 教育/研究
- 政府/军队
- 卫生保健
顶级勒索软件组织
这些数据基于双重勒索勒索软件组织运营的勒索软件“耻辱网站”的洞察,这些网站发布了受害者信息。RansomHub是本月最流行的勒索软件组织,占已发布攻击的17 % ,其次是Play(占10%)和Qilin(占5%)。
- RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作,是之前已知的 Knight 勒索软件的改名版本。RansomHub 于 2024 年初在地下网络犯罪论坛上引人注目,因其针对各种系统(包括 Windows、macOS、Linux,尤其是 VMware ESXi 环境)的积极活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。
- Play – Play 勒索软件,也称为 PlayCrypt,是一种于 2022 年 6 月首次出现的勒索软件。该勒索软件针对北美、南美和欧洲的广泛企业和关键基础设施,到 2023 年 10 月影响了大约 300 个实体。Play 勒索软件通常通过入侵有效账户或利用未修补的漏洞(例如 Fortinet SSL VPN 中的漏洞)来访问网络。一旦进入,它就会采用诸如使用 living-off-the-land 二进制文件 (LOLBins) 之类的技术来执行数据泄露和凭据窃取等任务。
- Qilin – Qilin,也称为 Agenda,是一种勒索软件即服务犯罪行动,它与关联方合作加密和窃取受感染组织的数据,随后索要赎金。此勒索软件变体于 2022 年 7 月首次被发现,使用 Golang 开发。Agenda 以针对大型企业和高价值组织而闻名,尤其关注医疗保健和教育行业。Qilin 通常通过包含恶意链接的网络钓鱼电子邮件渗透受害者,以建立对其网络的访问权限并窃取敏感信息。一旦进入内部,Qilin 通常会在受害者的基础设施中横向移动,寻找要加密的关键数据。
