最新威胁指数强调,FakeUpdates 继续对网络环境构成重大威胁,在促进勒索软件攻击方面发挥着关键作用。安全研究人员最近的一项调查显示,RansomHub 的一个附属机构利用基于 Python 的后门来维持持续访问并在各种网络上部署勒索软件。这个后门是在 FakeUpdates 获得初始访问权限后不久安装的,其展示了高级混淆技术以及人工智能辅助编码模式。该攻击涉及通过远程桌面协议 (RDP) 进行横向移动,并通过创建计划任务建立持续访问。
这些先进技术凸显了一个日益严重的现实:网络犯罪分子正在通过人工智能改进其方法并增强其能力。组织需要超越传统防御措施,采取主动、自适应的安全措施来预测新出现的威胁。这种方法将使他们能够有效应对这些持续存在的挑战。
2025年1月“十恶不赦”
*箭头表示与上个月相比的排名变化
最流行的恶意软件 FakeUpdates 影响了全球 4% 的组织,其次是 Formbook,占 3%,Remcos 占 3%。
- ↔ FakeUpdates —Fakeupdates(又名 SocGholish)是一种下载器恶意软件,最初于 2018 年发现。它通过受感染或恶意网站上的驱动下载进行传播,提示用户安装虚假的浏览器更新。FakeUpdates 恶意软件与俄罗斯黑客组织 Evil Corp 有关,用于在初次感染后传递二次有效载荷。
- ↑ Formbook - Formbook 于 2016 年首次被发现,是一种主要针对 Windows 系统的信息窃取恶意软件。该恶意软件从各种 Web 浏览器收集凭据、收集屏幕截图、监视和记录击键,并可以下载和执行其他有效负载。该恶意软件通过网络钓鱼活动、恶意电子邮件附件和受感染的网站进行传播,通常伪装成合法文件。
- ↑ Remcos — Remcos 是一种远程访问木马 (RAT),于 2016 年首次被发现。它通常通过网络钓鱼活动中的恶意文档进行传播。它旨在绕过 Windows 安全机制(例如 UAC),并以提升的权限执行恶意软件,使其成为威胁行为者的多功能工具。
- ↓ Androxgh0st —AndroxGh0st 是一种基于 Python 的恶意软件,它通过扫描包含敏感信息(例如 AWS、Twilio、Office 365 和 SendGrid 等服务的登录凭据)的公开 .env 文件来攻击使用 Laravel PHP 框架的应用程序。它通过利用僵尸网络来识别运行 Laravel 的网站并提取机密数据。一旦获得访问权限,攻击者就可以部署其他恶意软件,建立后门连接,并利用云资源进行加密货币挖掘等活动。
- ↔ AsyncRat – AsyncRAT 是一种针对 Windows 系统的远程访问木马 (RAT),于 2019 年首次被发现。它会将系统信息泄露到命令和控制服务器,并执行下载插件、终止进程、捕获屏幕截图和更新自身等命令。它通常通过网络钓鱼活动进行传播,用于数据窃取和系统入侵。
- ↑ SnakeKeylogger —Snake 是一种模块化 .NET 键盘记录器和凭证窃取程序,于 2020 年 11 月下旬首次发现。其主要功能是记录用户的击键并将收集到的数据传输给威胁行为者。Snake 感染对用户的隐私和在线安全构成重大威胁,因为该恶意软件可以窃取各种敏感信息,并且特别具有逃避性和持久性。
- ↑ Phorpiex —Phorpiex 又名 Trik,是一个自 2010 年以来一直活跃的僵尸网络,主要针对 Windows 系统。在巅峰时期,Phorpiex 控制了超过一百万台受感染的主机。Phorpiex 因通过垃圾邮件活动传播其他恶意软件系列(包括勒索软件和加密货币挖矿程序)而臭名昭著,并参与了大规模的性勒索活动。
- ↓ Rilide - Rilide 是一款恶意浏览器扩展程序,针对基于 Chromium 的浏览器,如 Chrome、Edge、Brave 和 Opera。它伪装成合法的 Google Drive 扩展程序,使威胁行为者能够监视浏览历史记录、截取屏幕截图并注入恶意脚本以从加密货币交易所提取资金。值得注意的是,Rilide 可以模拟对话框,诱骗用户泄露双因素身份验证 (2FA) 详细信息,从而促进未经授权的加密货币交易。它的分发方法包括恶意的 Microsoft Publisher 文件和欺骗性的 Google 广告,以推广虚假的软件安装程序。
- ↑ Amadey – Amadey 是一个模块化僵尸网络,于 2018 年出现,主要针对 Windows 系统。它既是信息窃取者,又是恶意软件加载器,能够进行侦察、数据泄露和部署其他有效载荷,包括银行木马和 DDoS 工具。Amadey 主要通过 RigEK 和 Fallout EK 等漏洞利用工具包以及网络钓鱼电子邮件和其他恶意软件(如 SmokeLoader)进行传播。
- ↓ AgentTesla —AgentTesla 是一种高级 RAT(远程访问木马),可用作键盘记录器和密码窃取程序。AgentTesla 自 2014 年以来一直活跃,可以监控和收集受害者的键盘输入和系统剪贴板、记录屏幕截图并窃取受害者机器上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的输入凭据。AgentTesla 公开作为合法 RAT 出售,客户需要支付 15 至 69 美元才能获得用户许可证。
顶级移动恶意软件
本月,Anubis 在最流行的移动恶意软件中排名第一,其次是 AhMyth 和 Necro。
- ↔ Anubis – Anubis 是一种多功能银行木马,起源于 Android 设备,现已发展到包括高级功能,例如通过拦截基于短信的一次性密码 (OTP) 绕过多因素身份验证 (MFA)、键盘记录、录音和勒索软件功能。它通常通过 Google Play 商店中的恶意应用程序进行传播,已成为最流行的移动恶意软件家族之一。此外,Anubis 还包含远程访问木马 (RAT) 功能,可对受感染的系统进行广泛的监视和控制。
- ↑ AhMyth – AhMyth 是一种针对 Android 设备的远程访问木马 (RAT),通常伪装成合法应用程序,如屏幕录像机、游戏或加密货币工具。安装后,它会获得大量权限,在重启后仍能存活,并窃取敏感信息,如银行凭证、加密货币钱包详细信息、多因素身份验证 (MFA) 代码和密码。AhMyth 还支持键盘记录、屏幕捕获、摄像头和麦克风访问以及短信拦截,使其成为一种用于数据盗窃和其他恶意活动的多功能工具。
- ↓ Necro – Necro 是一种恶意 Android 下载程序,它会根据其创建者的命令检索受感染设备上的有害组件并执行。它已在 Google Play 上的几款热门应用程序以及 Spotify、WhatsApp 和 Minecraft 等非官方平台上应用程序的修改版本中被发现。Necro 可以将危险模块下载到智能手机上,从而允许执行诸如显示和点击隐形广告、下载可执行文件以及安装第三方应用程序等操作。它还可以打开隐藏窗口来运行 JavaScript,从而可能让用户订阅不需要的付费服务。此外,Necro 还可以通过受感染的设备重新路由互联网流量,将它们变成网络犯罪分子代理僵尸网络的一部分。
全球最受攻击的行业
本月,教育行业在全球遭受攻击的行业中位居第一位,其次是政府和电信行业。
- 教育
- 政府
- 电信
顶级勒索软件组织
这些数据基于双重勒索软件组织运营的勒索软件“耻辱网站”的洞察,这些网站发布了受害者信息。本月,clop 是最流行的勒索软件组织,占已发布攻击的 10%,其次是 FunkSec,占 8%,RansomHub 占 7%。
- Clop – Clop 是一种勒索软件,自 2019 年以来一直活跃,针对全球各个行业,包括医疗保健、金融和制造业。Clop 源自 CryptoMix,使用 .clop 扩展名加密受害者的文件,并采用“双重勒索”,威胁除非支付赎金,否则泄露被盗数据。Clop 采用勒索软件即服务 (RaaS) 模式运营,利用漏洞、网络钓鱼和其他方法渗透系统,关闭 Windows Defender 等安全防御措施,并与一些备受关注的攻击有关,例如 2023 年利用 MOVEit 文件传输软件漏洞。
- FunkSec – FunkSec 是一个新兴的勒索软件组织,于 2024 年 12 月首次出现。他们的数据泄露网站 (DLS) 将勒索软件事件报告与数据泄露混合在一起,导致报告的受害者数量异常高。然而,这些报告的准确性仍未得到证实,他们的受害者名单中有大量来自其他威胁行为者出版物的重复内容。
- RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作,是之前已知的 Knight 勒索软件的改名版本。RansomHub 于 2024 年初在地下网络犯罪论坛上引人注目,因其针对各种系统(包括 Windows、macOS、Linux 和 VMware ESXi 环境)的积极活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。
本月,我们观察到一个新组织 Babuk Bjorka 的出现,该组织建立了一个数据泄露网站 (DLS)。该组织列出了多个受害者;但是,他们的可靠性值得怀疑。由于对可信度的担忧,我们暂时将该组织排除在我们的名单之外。我们将继续监控,并在能够验证其活动时提供更新。
