Check Point 軟件技術(shù)公司的比較新威脅指數(shù)報(bào)告揭示了與 Mozi 整合的僵尸網(wǎng)絡(luò) Androxgh0st 風(fēng)頭正盛，Joker 和 Anubis 威脅持續(xù)存在，網(wǎng)絡(luò)犯罪手段在不斷演進(jìn)。

網(wǎng)絡(luò)安全解決方案先驅(qū)者和全球掌舵者?Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2024 年 11 月《全球威脅指數(shù)》報(bào)告，重點(diǎn)指出 Androxgh0st 異軍突起。目前，該惡意軟件已與 Mozi 僵尸網(wǎng)絡(luò)整合，繼續(xù)瞄準(zhǔn)全球關(guān)鍵基礎(chǔ)設(shè)施發(fā)起攻擊。

電網(wǎng)、交通系統(tǒng)、醫(yī)療網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施仍是網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo)，因?yàn)樗鼈冊谌粘Ｉ钪邪l(fā)揮著不可或缺的作用。破壞這些系統(tǒng)可能會導(dǎo)致大規(guī)模混亂，造成經(jīng)濟(jì)損失，甚至危及公共安全。

研究人員發(fā)現(xiàn)，目前位居惡意軟件推薦榜首位的 Androxgh0st 正在利用多個(gè)平臺上的漏洞，包括物聯(lián)網(wǎng)設(shè)備和 Web 服務(wù)器這些關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。它借鑒 Mozi 的攻擊策略，利用遠(yuǎn)程代碼執(zhí)行和憑證竊取方法對系統(tǒng)進(jìn)行攻擊，以保持持續(xù)訪問，從而實(shí)施 DDoS 攻擊和數(shù)據(jù)竊取等惡意活動。僵尸網(wǎng)絡(luò) Androxgh0st 通過未修補(bǔ)的漏洞侵入關(guān)鍵基礎(chǔ)設(shè)施，在整合 Mozi 的能后，顯著擴(kuò)大了其攻擊范圍，可以感染更多的物聯(lián)網(wǎng)設(shè)備，并控制更廣泛的目標(biāo)。上述攻擊可跨行業(yè)引發(fā)級聯(lián)效應(yīng)，這充分表明依賴這些基礎(chǔ)設(shè)施的政府、企業(yè)及個(gè)人面臨著巨大風(fēng)險(xiǎn)。

在主要的移動惡意軟件威脅中，Joker 仍然是最猖獗的惡意軟件，其次是 Anubis 和 Necro。Joker 仍在竊取短消息、聯(lián)系人和設(shè)備信息，同時(shí)偷偷地為受害者訂閱付費(fèi)服務(wù)。與此同時(shí)，銀行木馬 Anubis 增加了新功能，包括遠(yuǎn)程訪問、鍵盤記錄和勒索軟件功能。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 對于不斷演變的威脅形勢評論道：“Androxgh0st 的興起以及與 Mozi 的整合說明了網(wǎng)絡(luò)犯罪分子正不斷翻新花樣。各機(jī)構(gòu)必須迅速做出調(diào)整，并實(shí)施強(qiáng)有力的安全防護(hù)措施，以及時(shí)發(fā)現(xiàn)并抵御這些高檔威脅，防止其造成重大損失?！?/p>

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

Androxgh0st?是本月最猖獗的惡意軟件，全球?5%?的機(jī)構(gòu)受到波及，緊隨其后的是?FakeUpdates?和?AgentTesla，分別影響了?5%?和?3%?的機(jī)構(gòu)。

1.?↑ Androxgh0st -?Androxgh0st 是一個(gè)針對 Windows、Mac 及 Linux 平臺的僵尸網(wǎng)絡(luò)。在感染初始階段，Androxgh0st 利用多個(gè)漏洞，特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的變體，可掃描不同的信息。

2.?↓ FakeUpdates?– FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致進(jìn)一步破壞。

3.??AgentTesla?– AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高檔 RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

4.?↑ Formbook?– Formbook 是針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年初次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對較低的價(jià)格，它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。

5.?↑ Remcos?- Remcos 是一種遠(yuǎn)程訪問木馬，于 2016 年初次現(xiàn)身。Remcos 通過垃圾電子郵件隨附的惡意 Microsoft Office 文檔自行傳播，旨在繞過 Microsoft Windows UAC 安全保護(hù)并以高檔權(quán)限執(zhí)行惡意軟件。

6.??AsyncRat?- Asyncrat 是一種針對 Windows 平臺的木馬程序。該惡意軟件會向遠(yuǎn)程服務(wù)器發(fā)送目標(biāo)系統(tǒng)的系統(tǒng)信息。它從服務(wù)器接收命令，以下載和執(zhí)行插件、終止進(jìn)程、進(jìn)行自我卸載/更新，并截取受感染系統(tǒng)的屏幕截圖。

7.?↓?NJRat?- NJRat 是一種遠(yuǎn)程訪問木馬，主要針對中東地區(qū)的政府機(jī)構(gòu)和組織。該木馬于 2012 年初次出現(xiàn)，具有多項(xiàng)功能：捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲的憑證、上傳和下載文件、操縱進(jìn)程和文件以及查看受害者的桌面。NJRat 通過網(wǎng)絡(luò)釣魚攻擊和偷渡式下載感染受害者設(shè)備，并在命令與控制服務(wù)器軟件的支持下，通過受感染的 USB 密鑰或網(wǎng)盤進(jìn)行傳播。

8.?↑ Phorpiex -?Phorpiex 僵尸網(wǎng)絡(luò)（又名 Trik）自 2010 年以來一直活躍至今，并在其高峰時(shí)期控制了超過一百萬臺受感染主機(jī)。它因通過垃圾郵件攻擊活動分發(fā)其他惡意軟件家族并助長大規(guī)模垃圾郵件和性勒索攻擊活動而廣為人知。

9.?↑ Cloud Eye -?CloudEye 是一種針對 Windows 平臺的下載程序，用于在受害者計(jì)算機(jī)上下載并安裝惡意程序。

10.?↑ Rilide -?一種針對 Chromium 瀏覽器的惡意瀏覽器擴(kuò)展插件，可模仿合法軟件侵入系統(tǒng)。它利用瀏覽器功能執(zhí)行惡意活動，例如監(jiān)控 Web 瀏覽、截取屏幕截圖和注入腳本以竊取加密貨幣。Rilide 會下載其他惡意軟件、記錄用戶活動，甚至能夠操縱 Web 內(nèi)容，以誘騙用戶進(jìn)行未經(jīng)授權(quán)的操作。

最常被利用的漏洞?

1.?↑ HTTP 載荷命令行注入（CVE-2021-43936，CVE-2022-24086）– 現(xiàn)已發(fā)現(xiàn)一種 HTTP 載荷命令行注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制的請求來利用此漏洞。攻擊者可通過該漏洞在目標(biāo)計(jì)算機(jī)上執(zhí)行任意代碼。?

2.?↑ Web Server Exposed Git 存儲庫信息泄露 -?Git 存儲庫報(bào)告的一個(gè)信息泄露漏洞。攻擊者一旦成功利用該漏洞，便會造成帳戶信息的無意泄露。

3.?↑ Zmap 安全掃描工具 (CVE-2024-3378) -?Zmap 是一款漏洞掃描產(chǎn)品。遠(yuǎn)程攻擊者可使用 ZMap 檢測目標(biāo)服務(wù)器上的漏洞。

主要移動惡意軟件

本月，Joker?位列最猖獗的移動惡意軟件榜首，其次是?Anubis?和?Necro。

1.??Joker?– 一種存在于 Google Play 中的 Android 間諜軟件，可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外，該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊付費(fèi)服務(wù)。

2.?↑ Anubis?– Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測到該銀行木馬。

3.?↓ Necro?- Necro 是一種木馬植入程序，可下載其他惡意軟件、顯示侵入性廣告，并通過收取付費(fèi)訂閱費(fèi)用騙取錢財(cái)。

主要勒索軟件團(tuán)伙?

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營的勒索軟件“羞辱網(wǎng)站”（攻擊者在這些網(wǎng)站上公布受害者信息）獲得的洞察分析。本月，RansomHub?是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的?16%，其次是?Akira?和?Killsec3，分別占?6%。

1.?RansomHub?– RansomHub 是一種勒索軟件即服務(wù) (RaaS) 操作，據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初，RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux，尤其是 VMware ESXi 環(huán)境）發(fā)起的破壞性攻擊活動，以及采用的復(fù)雜加密方法而臭名昭著。

2.?Akira?– Akira 勒索軟件于 2023 年初初次發(fā)現(xiàn)，主要針對 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對文件進(jìn)行對稱加密，類似于曝光的 Conti v2 勒索軟件。Akira 通過多種途徑傳播，包括受感染的電子郵件附件和 V P N 端點(diǎn)漏洞。感染后，它會加密數(shù)據(jù)，并在文件名后添加“.akira”擴(kuò)展名，然后留下勒索信，要求支付解密費(fèi)用。

3.?KillSec3?- KillSec 于 2023 年 10 月嶄露頭角。該團(tuán)伙不僅運(yùn)營著一個(gè)勒索軟件即服務(wù) (RaaS) 平臺，而且還提供一系列其他攻擊性網(wǎng)絡(luò)犯罪服務(wù)，包括 DDoS 攻擊和所謂的“滲透測試服務(wù)”。

關(guān)于 Check Point 軟件技術(shù)有限公司?

Check Point 軟件技術(shù)有限公司 (www.checkpoint.com) 是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商，為全球超過 10 萬家用戶提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動式威脅預(yù)測和更智能、更快速的響應(yīng)。該綜合型平臺集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于?Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有比較新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

（推廣）