1. 科技訊首頁(yè)
  2. 產(chǎn)經(jīng)

2024 年 4 月頭號(hào)惡意軟件:Androxgh0st 攻擊激增,LockBit3 肆虐程度所下降

陳晨 ? ? 產(chǎn)經(jīng)

研究人員最近發(fā)現(xiàn),針對(duì) Windows、Mac 及 Linux 平臺(tái)的 Androxgh0st 木馬攻擊驟增,使該木馬直接躍升至頭號(hào)惡意軟件排行榜第二位。

2024 年 5 月,,領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商 Check Point? 軟件技術(shù)有限公司(納斯達(dá)克股票代碼:CHKP)發(fā)布了其 2024 年 4 月《全球威脅指數(shù)》報(bào)告。上月,研究人員發(fā)現(xiàn)使用 Androxgh0st 發(fā)起的攻擊大幅增加,該惡意軟件被用作工具來利用僵尸網(wǎng)絡(luò)竊取敏感信息。與此同時(shí),盡管自年初以來 LockBit3 的檢出率下降了 55%,全球影響范圍從 20% 降至 9%,但它仍是 4 月份最猖獗的勒索軟件團(tuán)伙。

自 2022 年 9 月 Androxgh0st 出現(xiàn)以來,研究人員一直在監(jiān)控其攻擊者的活動(dòng)。攻擊者利用 CVE-2021-3129 和 CVE-2024-1709 等漏洞,部署 Web Shell 來實(shí)施遠(yuǎn)程控制,同時(shí)著眼于構(gòu)建僵尸網(wǎng)絡(luò)以竊取憑證。值得注意的是,該惡意軟件運(yùn)營(yíng)組織與 Adhublika 勒索軟件的傳播有關(guān)。Androxgh0st 攻擊者傾向于利用 Laravel 應(yīng)用中的漏洞來竊取 AWS、SendGrid 和 Twilio 等云服務(wù)的憑證。最近的跡象表明,他們正將重點(diǎn)轉(zhuǎn)向構(gòu)建僵尸網(wǎng)絡(luò),企圖更廣泛地利用系統(tǒng)漏洞。

與此同時(shí),Check Point 指數(shù)報(bào)告匯總了從雙重勒索勒索軟件團(tuán)伙運(yùn)營(yíng)的“羞辱網(wǎng)站”中獲得的洞察分析。攻擊者在這些網(wǎng)站上公布受害者信息,以向不付款的目標(biāo)施壓。LockBit3 再次位列第一,其攻擊數(shù)量占已發(fā)布攻擊的 9%,其次是 Play 和 8Base,分別占 7% 和 6%。再次躍居前三位的 8Base 最近聲稱,他們已經(jīng)侵入聯(lián)合國(guó) IT 系統(tǒng),并竊取了人力資源和采購(gòu)信息。雖然 LockBit3 仍然位列榜首,但該團(tuán)伙已遭到多次打擊。今年 2 月,在一場(chǎng)名為“克羅諾斯行動(dòng) (Operation Cronos)”的多機(jī)構(gòu)清查活動(dòng)中,該數(shù)據(jù)泄露網(wǎng)站被查封。本月,這些國(guó)際執(zhí)法機(jī)構(gòu)公布了新的細(xì)節(jié),確認(rèn)了 194 個(gè)使用 LockBit3 勒索軟件的成員團(tuán)伙,并揭露和制裁了 LockBit3 團(tuán)伙的頭目。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示:“我們的研究表明,國(guó)際社會(huì)為摧毀 LockBit3 所展開的聯(lián)合行動(dòng)整體取得了成功。自 2024 年初以來,LockBit3 的全球影響范圍降低了超過 50%。雖然最近的打擊行動(dòng)取得了積極成效,但企業(yè)仍必須繼續(xù)將網(wǎng)絡(luò)安全放在首位,主動(dòng)采取措施,加強(qiáng)網(wǎng)絡(luò)、端點(diǎn)及電子郵件安全防護(hù)。提高網(wǎng)絡(luò)彈性的關(guān)鍵仍然是實(shí)施多層防御機(jī)制,并創(chuàng)建穩(wěn)健的備份、恢復(fù)程序及事故響應(yīng)計(jì)劃。”

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是上個(gè)月最猖獗的惡意軟件,全球 6% 的機(jī)構(gòu)受到波及,其次是 Androxgh0st 和 Qbot,分別影響了全球 4% 和 3% 的機(jī)構(gòu)。

1. FakeUpdates – FakeUpdates(又名 SocGholish)是一種使用 JavaScript 編寫的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進(jìn)一步破壞。

2. ↑ Androxgh0st – Androxgh0st 是一個(gè)針對(duì) Windows、Mac 及 Linux 平臺(tái)的僵尸網(wǎng)絡(luò)。在感染初始階段,Androxgh0st 利用多個(gè)漏洞,特別是針對(duì) PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會(huì)竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的變體,可掃描不同的信息。

3. ↓ Qbot – Qbot(又名 Qakbot)是一種多用途惡意軟件,于 2008 年首次出現(xiàn),旨在竊取用戶憑證、記錄擊鍵次數(shù)、從瀏覽器中竊取 cookie、監(jiān)視用戶的銀行業(yè)務(wù)操作,并部署更多惡意軟件。Qbot 通常通過垃圾郵件傳播,采用多種反 VM、反調(diào)試和反沙盒手段來阻礙分析和逃避檢測(cè)。從 2022 年開始,它成為最猖獗的木馬之一。

主要移動(dòng)惡意軟件

上月,Anubis 位居最猖獗的移動(dòng)惡意軟件榜首,其次是 AhMyth 和 Hiddad。

1. Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。 自最初檢測(cè)到以來,它已經(jīng)具有一些額外的功能,包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測(cè)到該銀行木馬。

2. AhMyth – AhMyth 是一種遠(yuǎn)程訪問木馬 (RAT),于 2017 年被發(fā)現(xiàn),可通過應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶安裝這些受感染的應(yīng)用后,該惡意軟件便可從設(shè)備收集敏感信息,并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作,這些操作通常用于竊取敏感信息。

3. ↑ Hiddad — Hiddad 是一種 Android 惡意軟件,能夠?qū)戏☉?yīng)用進(jìn)行重新打包,然后將其發(fā)布到第三方商店。其主要功能是顯示廣告,但它也可以訪問操作系統(tǒng)內(nèi)置的關(guān)鍵安全細(xì)節(jié)。

主要勒索軟件團(tuán)伙數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營(yíng)的勒索軟件“羞辱網(wǎng)站”(攻擊者在這些網(wǎng)站上公布受害者信息)獲得的洞察分析。上月,LockBit3 是最猖獗的勒索軟件團(tuán)伙,其攻擊數(shù)量占已發(fā)布攻擊的 9%,其次是 Play 和 8Base,分別占 7% 和 6%。

1. LockBit3 – LockBit3 是一種以 RaaS 模式運(yùn)行的勒索軟件,于 2019 年 9 月首次發(fā)現(xiàn)。它主要瞄準(zhǔn)各個(gè)國(guó)家和地區(qū)的大型企業(yè)和政府機(jī)構(gòu)。在 2024 年 2 月因執(zhí)法行動(dòng)而長(zhǎng)期中斷之后,LockBit3 現(xiàn)已恢復(fù)發(fā)布受害者信息。

2. Play – Play 勒索軟件又稱為 PlayCrypt,于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準(zhǔn)北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施,到 2023 年 10 月影響了大約 300 家實(shí)體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補(bǔ)的漏洞(如 Fortinet SSL VPN 中的漏洞)侵入網(wǎng)絡(luò)。得逞后,它會(huì)采用離地攻擊二進(jìn)制文件 (LOLBins) 等各種手段來執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務(wù)。

3. 8Base – 8Base 威脅組織是一個(gè)勒索軟件團(tuán)伙,自 2022 年 3 月以來一直活躍至今。2023 年年中,該團(tuán)伙攻擊活動(dòng)顯著增加。據(jù)觀察,8Base 團(tuán)伙使用了多種勒索軟件變體,包括常用的 Phobos。8Base 的運(yùn)作相當(dāng)復(fù)雜,這從他們?cè)诶账鬈浖惺褂玫母呒?jí)手法便可見一斑。該團(tuán)伙的勒索手段包括雙重勒索策略。

關(guān)于 Check Point 軟件技術(shù)有限公司

Check Point 軟件技術(shù)有限公司 (www.checkpoint.com.cn) 是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商,為全球超過 10 萬家企業(yè)與機(jī)構(gòu)提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性,憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身,包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum,以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù),以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外,該團(tuán)隊(duì)由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

本文轉(zhuǎn)載自:,不代表科技訊之立場(chǎng)。原文鏈接:http://articlef.yulepops.com/article/m-163/1/2122024051515162132024912.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論