Check Point 軟件技術公司的最新威脅指數(shù)報告揭示了與 Mozi 整合的僵尸網(wǎng)絡 Androxgh0st 風頭正盛,Joker 和 Anubis 威脅持續(xù)存在,網(wǎng)絡犯罪手段在不斷演進。
網(wǎng)絡安全解決方案先驅(qū)者和全球領導者 Check Point® 軟件技術有限公司(納斯達克股票代碼:CHKP)發(fā)布了其 2024 年 11 月《全球威脅指數(shù)》報告,重點指出 Androxgh0st 異軍突起。目前,該惡意軟件已與 Mozi 僵尸網(wǎng)絡整合,繼續(xù)瞄準全球關鍵基礎設施發(fā)起攻擊。
電網(wǎng)、交通系統(tǒng)、醫(yī)療網(wǎng)絡等關鍵基礎設施仍是網(wǎng)絡犯罪分子的主要攻擊目標,因為它們在日常生活中發(fā)揮著不可或缺的作用。破壞這些系統(tǒng)可能會導致大規(guī);靵y,造成經(jīng)濟損失,甚至危及公共安全。
研究人員發(fā)現(xiàn),目前位居惡意軟件排行榜首位的 Androxgh0st 正在利用多個平臺上的漏洞,包括物聯(lián)網(wǎng)設備和 Web 服務器這些關鍵基礎設施的重要組成部分。它借鑒 Mozi 的攻擊策略,利用遠程代碼執(zhí)行和憑證竊取方法對系統(tǒng)進行攻擊,以保持持續(xù)訪問,從而實施 DDoS 攻擊和數(shù)據(jù)竊取等惡意活動。僵尸網(wǎng)絡 Androxgh0st 通過未修補的漏洞侵入關鍵基礎設施,在整合 Mozi 的能后,顯著擴大了其攻擊范圍,可以感染更多的物聯(lián)網(wǎng)設備,并控制更廣泛的目標。上述攻擊可跨行業(yè)引發(fā)級聯(lián)效應,這充分表明依賴這些基礎設施的政府、企業(yè)及個人面臨著巨大風險。
在主要的移動惡意軟件威脅中,Joker 仍然是最猖獗的惡意軟件,其次是 Anubis 和 Necro。Joker 仍在竊取短消息、聯(lián)系人和設備信息,同時偷偷地為受害者訂閱付費服務。與此同時,銀行木馬 Anubis 增加了新功能,包括遠程訪問、鍵盤記錄和勒索軟件功能。
Check Point 軟件技術公司研究副總裁 Maya Horowitz 對于不斷演變的威脅形勢評論道:“Androxgh0st 的興起以及與 Mozi 的整合說明了網(wǎng)絡犯罪分子正不斷翻新花樣。各機構(gòu)必須迅速做出調(diào)整,并實施強有力的安全防護措施,以及時發(fā)現(xiàn)并抵御這些高級威脅,防止其造成重大損失!
頭號惡意軟件家族
* 箭頭表示與上月相比的排名變化。
Androxgh0st 是本月最猖獗的惡意軟件,全球 5% 的機構(gòu)受到波及,緊隨其后的是 FakeUpdates 和 AgentTesla,分別影響了 5% 和 3% 的機構(gòu)。
1. ↑ Androxgh0st - Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網(wǎng)絡。在感染初始階段,Androxgh0st 利用多個漏洞,特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的變體,可掃描不同的信息。
2. ↓ FakeUpdates – FakeUpdates(又名 SocGholish)是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進一步破壞。
3. AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT,能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。
4. ↑ Formbook – Formbook 是針對 Windows 操作系統(tǒng)的信息竊取程序,于 2016 年首次被發(fā)現(xiàn)。由于其強大的規(guī)避技術和相對較低的價格,它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。
5. ↑ Remcos - Remcos 是一種遠程訪問木馬,于 2016 年首次現(xiàn)身。Remcos 通過垃圾電子郵件隨附的惡意 Microsoft Office 文檔自行傳播,旨在繞過 Microsoft Windows UAC 安全保護并以高級權限執(zhí)行惡意軟件。
6. AsyncRat - Asyncrat 是一種針對 Windows 平臺的木馬程序。該惡意軟件會向遠程服務器發(fā)送目標系統(tǒng)的系統(tǒng)信息。它從服務器接收命令,以下載和執(zhí)行插件、終止進程、進行自我卸載/更新,并截取受感染系統(tǒng)的屏幕截圖。
7. ↓ NJRat - NJRat 是一種遠程訪問木馬,主要針對中東地區(qū)的政府機構(gòu)和組織。該木馬于 2012 年首次出現(xiàn),具有多項功能:捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲的憑證、上傳和下載文件、操縱進程和文件以及查看受害者的桌面。NJRat 通過網(wǎng)絡釣魚攻擊和偷渡式下載感染受害者設備,并在命令與控制服務器軟件的支持下,通過受感染的 USB 密鑰或網(wǎng)盤進行傳播。
8. ↑ Phorpiex - Phorpiex 僵尸網(wǎng)絡(又名 Trik)自 2010 年以來一直活躍至今,并在其巔峰時期控制了超過一百萬臺受感染主機。它因通過垃圾郵件攻擊活動分發(fā)其他惡意軟件家族并助長大規(guī)模垃圾郵件和性勒索攻擊活動而廣為人知。
9. ↑ Cloud Eye - CloudEye 是一種針對 Windows 平臺的下載程序,用于在受害者計算機上下載并安裝惡意程序。
10. ↑ Rilide - 一種針對 Chromium 瀏覽器的惡意瀏覽器擴展插件,可模仿合法軟件侵入系統(tǒng)。它利用瀏覽器功能執(zhí)行惡意活動,例如監(jiān)控 Web 瀏覽、截取屏幕截圖和注入腳本以竊取加密貨幣。Rilide 會下載其他惡意軟件、記錄用戶活動,甚至能夠操縱 Web 內(nèi)容,以誘騙用戶進行未經(jīng)授權的操作。
最常被利用的漏洞
1. ↑ HTTP 載荷命令行注入(CVE-2021-43936,CVE-2022-24086)– 現(xiàn)已發(fā)現(xiàn)一種 HTTP 載荷命令行注入漏洞。遠程攻擊者可以通過向受害者發(fā)送特制的請求來利用此漏洞。攻擊者可通過該漏洞在目標計算機上執(zhí)行任意代碼。
2. ↑ Web Server Exposed Git 存儲庫信息泄露 - Git 存儲庫報告的一個信息泄露漏洞。攻擊者一旦成功利用該漏洞,便會造成帳戶信息的無意泄露。
3. ↑ Zmap 安全掃描工具 (CVE-2024-3378) - Zmap 是一款漏洞掃描產(chǎn)品。遠程攻擊者可使用 ZMap 檢測目標服務器上的漏洞。
主要移動惡意軟件
本月,Joker 位列最猖獗的移動惡意軟件榜首,其次是 Anubis 和 Necro。
1. Joker – 一種存在于 Google Play 中的 Android 間諜軟件,可竊取短消息、聯(lián)系人列表及設備信息。此外,該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊付費服務。
2. ↑ Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自最初檢測到以來,它已經(jīng)具有一些額外的功能,包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應用中均已檢測到該銀行木馬。
3. ↓ Necro - Necro 是一種木馬植入程序,可下載其他惡意軟件、顯示侵入性廣告,并通過收取付費訂閱費用騙取錢財。
主要勒索軟件團伙
這些數(shù)據(jù)基于從雙重勒索勒索軟件團伙運營的勒索軟件“羞辱網(wǎng)站”(攻擊者在這些網(wǎng)站上公布受害者信息)獲得的洞察分析。本月,RansomHub 是最猖獗的勒索軟件團伙,其攻擊數(shù)量占已發(fā)布攻擊的 16%,其次是 Akira 和 Killsec3,分別占 6%。
1. RansomHub – RansomHub 是一種勒索軟件即服務 (RaaS) 操作,據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初,RansomHub 在地下網(wǎng)絡犯罪論壇上初露鋒芒,因其針對各種系統(tǒng)(包括 Windows、macOS、Linux,尤其是 VMware ESXi 環(huán)境)發(fā)起的破壞性攻擊活動,以及采用的復雜加密方法而臭名昭著。
2. Akira – Akira 勒索軟件于 2023 年初首次發(fā)現(xiàn),主要針對 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進行對稱加密,類似于曝光的 Conti v2 勒索軟件。Akira 通過多種途徑傳播,包括受感染的電子郵件附件和 VPN 端點漏洞。感染后,它會加密數(shù)據(jù),并在文件名后添加“.akira”擴展名,然后留下勒索信,要求支付解密費用。
3. KillSec3 - KillSec 于 2023 年 10 月嶄露頭角。該團伙不僅運營著一個勒索軟件即服務 (RaaS) 平臺,而且還提供一系列其他攻擊性網(wǎng)絡犯罪服務,包括 DDoS 攻擊和所謂的“滲透測試服務”。
關于 Check Point 軟件技術有限公司
Check Point 軟件技術有限公司 (www.checkpoint.com) 是一家領先的云端 AI 網(wǎng)絡安全平臺提供商,為全球超過 10 萬家用戶提供安全保護。Check Point 利用強大的 AI 技術通過 Infinity 平臺提高了網(wǎng)絡安全防護效率和準確性,憑借業(yè)界領先的捕獲率實現(xiàn)了主動式威脅預測和更智能、更快速的響應。該綜合型平臺集多項云端技術于一身,包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡安全的 Check Point Quantum,以及支持協(xié)同式安全運維和服務的 Check Point Infinity Core Services。
關于 Check Point Research
Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網(wǎng)絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網(wǎng)絡攻擊數(shù)據(jù),以便在防范黑客的同時,確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機關及各個計算機安全應急響應組展開合作。