导语:研究人员最近发现,针对 Windows、Mac 及 Linux 平台的 Androxgh0st 木马攻击骤增,使该木马直接跃升至头号恶意软件排行榜第二位。
2024 年 5 月,领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 4 月《全球威胁指数》报告。上月,研究人员发现使用 Androxgh0st 发起的攻击大幅增加,该恶意软件被用作工具来利用僵尸网络窃取敏感信息。与此同时,尽管自年初以来 LockBit3 的检出率下降了 55%,全球影响范围从 20% 降至 9%,但它仍是 4 月份最猖獗的勒索软件团伙。
自 2022 年 9 月 Androxgh0st 出现以来,研究人员一直在监控其攻击者的活动。攻击者利用 CVE-2021-3129 和 CVE-2024-1709 等漏洞,部署 Web Shell 来实施远程控制,同时着眼于构建僵尸网络以窃取凭证。值得注意的是,该恶意软件运营组织与 Adhublika 勒索软件的传播有关。Androxgh0st 攻击者倾向于利用 Laravel 应用中的漏洞来窃取 AWS、SendGrid 和 Twilio 等云服务的凭证。最近的迹象表明,他们正将重点转向构建僵尸网络,企图更广泛地利用系统漏洞。
与此同时,Check Point 指数报告汇总了从双重勒索勒索软件团伙运营的“羞辱网站”中获得的洞察分析。攻击者在这些网站上公布受害者信息,以向不付款的目标施压。LockBit3 再次位列第一,其攻击数量占已发布攻击的 9%,其次是 Play 和 8Base,分别占 7% 和 6%。再次跃居前三位的 8Base 最近声称,他们已经侵入联合国 IT 系统,并窃取了人力资源和采购信息。虽然 LockBit3 仍然位列榜首,但该团伙已遭到多次打击。今年 2 月,在一场名为“克罗诺斯行动 (Operation Cronos)”的多机构清查活动中,该数据泄露网站被查封。本月,这些国际执法机构公布了新的细节,确认了 194 个使用 LockBit3 勒索软件的成员团伙,并揭露和制裁了 LockBit3 团伙的头目。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“我们的研究表明,国际社会为摧毁 LockBit3 所展开的联合行动整体取得了成功。自 2024 年初以来,LockBit3 的全球影响范围降低了超过 50%。虽然最近的打击行动取得了积极成效,但企业仍必须继续将网络安全放在首位,主动采取措施,加强网络、端点及电子邮件安全防护。提高网络弹性的关键仍然是实施多层防御机制,并创建稳健的备份、恢复程序及事故响应计划。”
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
FakeUpdates 是上个月最猖獗的恶意软件,全球 6% 的机构受到波及,其次是 Androxgh0st 和 Qbot,分别影响了全球 4% 和 3% 的机构。
1. ↔ FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
2. ↑ Androxgh0st - Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段,Androxgh0st 利用多个漏洞,特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的变体,可扫描不同的信息。
3. ↓ Qbot - Qbot(又名 Qakbot)是一种多用途恶意软件,于 2008 年首次出现,旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作,并部署更多恶意软件。Qbot 通常通过垃圾邮件传播,采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始,它成为最猖獗的木马之一。
主要移动恶意软件
上月,Anubis 位居最猖獗的移动恶意软件榜首,其次是 AhMyth 和 Hiddad。
1. ↔ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。 自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
2. ↔ AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现,可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后,该恶意软件便可从设备收集敏感信息,并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
3. ↑ Hiddad — Hiddad 是一种 Android 恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。
主要勒索软件团伙
数据基于从双重勒索勒索软件团伙运营的勒索软件“羞辱网站”(攻击者在这些网站上公布受害者信息)获得的洞察分析。上月,LockBit3 是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 9%,其次是 Play 和 8Base,分别占 7% 和 6%。
1. LockBit3 – LockBit3 是一种以 RaaS 模式运行的勒索软件,于 2019 年 9 月首次发现。它主要瞄准各个国家和地区的大型企业和政府机构。在 2024 年 2 月因执法行动而长期中断之后,LockBit3 现已恢复发布受害者信息。
2. Play - Play 勒索软件又称为 PlayCrypt,于 2022 年 6 月首次现身。这一勒索软件瞄准北美洲、南美洲和欧洲的众多企业和关键基础设施,到 2023 年 10 月影响了大约 300 家实体。Play 勒索软件通常通过被盗的有效账户或利用未修补的漏洞(如 Fortinet SSL VPN 中的漏洞)侵入网络。得逞后,它会采用离地攻击二进制文件 (LOLBins) 等各种手段来执行数据泄露和凭证窃取等任务。
3. 8Base – 8Base 威胁组织是一个勒索软件团伙,自 2022 年 3 月以来一直活跃至今。2023 年年中,该团伙攻击活动显著增加。据观察,8Base 团伙使用了多种勒索软件变体,包括常用的 Phobos。8Base 的运作相当复杂,这从他们在勒索软件中使用的高级手法便可见一斑。该团伙的勒索手段包括双重勒索策略。
如若转载,请注明原文地址