1. 科技訊首頁
  2. 產(chǎn)經(jīng)

2024 年 9 月頭號惡意軟件:AI 驅(qū)動型攻擊方式興起

陳晨 ? ? 產(chǎn)經(jīng)

Check Point 的最新威脅指數(shù)報告強調(diào)了在當前網(wǎng)絡(luò)形勢下 AI 驅(qū)動型惡意軟件攻擊日益猖獗

2024 年 10 月 – 領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全提供商 Check Point? 軟件技術(shù)有限公司(納斯達克股票代碼:CHKP)發(fā)布了其 2024 年 9 月《全球威脅指數(shù)》報告。該報告著重介紹了網(wǎng)絡(luò)安全領(lǐng)域中一個值得注意的趨勢,即 AI 驅(qū)動型惡意軟件的興起,以及勒索軟件威脅的持續(xù)肆虐。

本月,研究人員發(fā)現(xiàn),攻擊者很可能是利用 AI 技術(shù)開發(fā)腳本來散播 AsyncRAT 惡意軟件(目前位列最猖獗的惡意軟件排行榜第十位)。這種方法用到了 HTML 走私技術(shù),即發(fā)送包含惡意 VBScript 代碼的密碼保護壓縮文件,在受害者的設(shè)備上啟動感染鏈。從結(jié)構(gòu)良好、注釋清晰的代碼中也可發(fā)現(xiàn) AI 痕跡。代碼執(zhí)行完后,受害者的設(shè)備就會安裝 AsyncRAT,便于攻擊者記錄擊鍵次數(shù)、遠程控制受感染設(shè)備,并部署其他惡意軟件。這一發(fā)現(xiàn)揭示了越來越多技術(shù)能力有限的網(wǎng)絡(luò)犯罪分子正利用 AI 技術(shù)更輕松地創(chuàng)建惡意軟件。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 對于這一趨勢評論道:“攻擊者已經(jīng)開始在其攻擊基礎(chǔ)設(shè)施中使用生成式 AI,這充分說明網(wǎng)絡(luò)攻擊策略正在不斷演變。網(wǎng)絡(luò)犯罪分子越來越多地利用現(xiàn)有技術(shù)來增強攻擊,因此企業(yè)必須實施主動安全防護策略,包括采取高級防御方法和對團隊進行全面培訓。”

本月,Joker 蟬聯(lián)最猖獗的移動惡意軟件,RansomHub 仍然是主要勒索軟件團伙,兩者自上個月繼續(xù)霸榜。上述發(fā)現(xiàn)表明,隨著網(wǎng)絡(luò)安全形勢的不斷演進,這些惡意實體仍構(gòu)成持續(xù)威脅,不容小覷。

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是本月最猖獗的惡意軟件,全球 7% 的機構(gòu)受到波及,其次是 Androxgh0st 和 Formbook,分別影響了全球 6% 和 4% 的機構(gòu)。

1.  FakeUpdates – FakeUpdates(又名 SocGholish)是一種使用 JavaScript 編寫的下載程序。它會在啟動有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進一步破壞。

2.  Androxgh0st – Androxgh0st 是一個針對 Windows、Mac 及 Linux 平臺的僵尸網(wǎng)絡(luò)。在感染初始階段,Androxgh0st 利用多個漏洞,特別是針對 PHPUnit、Laravel 框架和 Apache Web 服務器的漏洞。該惡意軟件會竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的變體,可掃描不同的信息。

3. ↑ Formbook – Formbook 是針對 Windows 操作系統(tǒng)的信息竊取程序,于 2016 年首次被發(fā)現(xiàn)。由于其強大的規(guī)避技術(shù)和相對較低的價格,它在地下黑客論壇中作為惡意軟件即服務 (MaaS) 進行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。

4.  Qbot – Qbot(又名 Qakbot)是一種多用途惡意軟件,于 2008 年首次出現(xiàn),旨在竊取用戶憑證、記錄擊鍵次數(shù)、從瀏覽器中竊取 cookie、監(jiān)視用戶的銀行業(yè)務操作,并部署更多惡意軟件。Qbot 通常通過垃圾郵件傳播,采用多種反 VM、反調(diào)試和反沙盒手段來阻礙分析和逃避檢測。從 2022 年開始,它成為最猖獗的木馬之一。

5.  AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT,能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。

6. ↓ Phorpiex – Phorpiex 是一種僵尸網(wǎng)絡(luò),因通過垃圾郵件攻擊活動分發(fā)其他惡意軟件家族并助長大規(guī)模性勒索攻擊活動而廣為人知。

7. ↑ Vidar – Vidar 是一種以惡意軟件即服務模式運行的信息竊取惡意軟件,于 2018 年底首次現(xiàn)身。該惡意軟件在 Windows 上運行,不僅可從瀏覽器和數(shù)字錢包中收集各種敏感數(shù)據(jù),而且還被用作勒索軟件的下載程序。

8.  NJRat – NJRat 是一種遠程訪問木馬,主要針對中東地區(qū)的政府機構(gòu)和企業(yè)。該木馬于 2012 年首次出現(xiàn),具有多項功能:捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲的憑證、上傳和下載文件、操縱進程和文件以及查看受害者的桌面。NJRat 通過網(wǎng)絡(luò)釣魚攻擊和偷渡式下載感染受害者設(shè)備,并在命令與控制服務器軟件的支持下,通過受感染的 USB 密鑰或網(wǎng)盤進行傳播。

9. ↑ Glupteba – Glupteba 自 2011 年被發(fā)現(xiàn),是一種后門病毒,已逐漸發(fā)展為僵尸網(wǎng)絡(luò)。到 2019 年,它包括 C&C 地址更新機制、完整的瀏覽器竊取程序功能及路由器漏洞利用程序。

10. ↑ AsyncRat – Asyncrat 是一種針對 Windows 平臺的木馬程序。該惡意軟件會向遠程服務器發(fā)送目標系統(tǒng)的系統(tǒng)信息。它從服務器接收命令,以下載和執(zhí)行插件、終止進程、進行自我卸載/更新,并截取受感染系統(tǒng)的屏幕截圖。

主要移動惡意軟件

本月,Joker 位列最猖獗的移動惡意軟件榜首,其次是 Anubis 和 Hiddad

1.  Joker – 一種存在于 Google Play 中的 Android 間諜軟件,可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外,該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊付費服務。

2.  Anubis – Anubis 是一種專為 Android 手機設(shè)計的銀行木馬惡意軟件。自最初檢測到以來,它已經(jīng)具有一些額外的功能,包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應用中均已檢測到該銀行木馬。

3. ↑ Hiddad — Hiddad 是一種 Android 惡意軟件,能夠?qū)戏☉眠M行重新打包,然后將其發(fā)布到第三方商店。其主要功能是顯示廣告,但它也可以訪問操作系統(tǒng)內(nèi)置的關(guān)鍵安全細節(jié)。 

主要勒索軟件團伙 

這些數(shù)據(jù)基于從雙重勒索勒索軟件團伙運營的勒索軟件“羞辱網(wǎng)站”(攻擊者在這些網(wǎng)站上公布受害者信息)獲得的洞察分析。本月,RansomHub 是最猖獗的勒索軟件團伙,其攻擊數(shù)量占已發(fā)布攻擊的 17%,其次是 Play 和 Qilin,分別占 10% 和 5%。

1. RansomHub – RansomHub 以勒索軟件即服務 (RaaS) 形式出現(xiàn),據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初,RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒,因其針對各種系統(tǒng)(包括 Windows、macOS、Linux,尤其是 VMware ESXi 環(huán)境)發(fā)起的破壞性攻擊活動,以及采用的復雜加密方法而臭名昭著。

2. Play – Play 勒索軟件又稱為 PlayCrypt,于 2022 年 6 月首次現(xiàn)身。這一勒索軟件瞄準北美洲、南美洲和歐洲的眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施,到 2023 年 10 月影響了大約 300 家實體。Play 勒索軟件通常通過被盜的有效賬戶或利用未修補的漏洞(如 Fortinet SSL VPN 中的漏洞)侵入網(wǎng)絡(luò)。得逞后,它會采用離地攻擊二進制文件 (LOLBins) 等各種手段來執(zhí)行數(shù)據(jù)泄露和憑證竊取等任務。

3. Qilin – Qilin 又稱為 Agenda,整個勒索軟件即服務犯罪團伙沆瀣一氣,對被入侵企業(yè)的數(shù)據(jù)進行加密和竊取,隨后索要贖金。這一勒索軟件變體于 2022 年 7 月首次被發(fā)現(xiàn),采用 Golang 語言開發(fā)。Agenda 主要針對大型企業(yè)和高價值目標發(fā)起攻擊,重點瞄準醫(yī)療和教育領(lǐng)域。Qilin 通常通過隨附惡意鏈接的網(wǎng)絡(luò)釣魚電子郵件獲取受害者設(shè)備的網(wǎng)絡(luò)訪問權(quán)限并竊取敏感信息。入侵成功后,Qilin 往往會在受害者的基礎(chǔ)設(shè)施中橫向移動,尋找關(guān)鍵數(shù)據(jù)進行加密。

關(guān)于 Check Point 軟件技術(shù)有限公司  

Check Point 軟件技術(shù)有限公司(www.checkpoint.com.cn)是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺提供商,為全球超過 10 萬家企業(yè)與機構(gòu)提供安全保護。Check Point 利用強大的 AI 技術(shù)通過 Infinity 平臺提高了網(wǎng)絡(luò)安全防護效率和準確性,憑借業(yè)界領(lǐng)www.checkpoint.com)先的捕獲率實現(xiàn)了主動式威脅預測和更智能、更快速的響應。該綜合型平臺集多項云端技術(shù)于一身,包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum,以及支持協(xié)同式安全運維和服務的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù),以便在防范黑客的同時,確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機關(guān)及各個計算機安全應急響應組展開合作。

本文轉(zhuǎn)載自:,不代表科技訊之立場。原文鏈接:http://articlef.yulepops.com/article/m-163/1/2122024101713312993524712.html

陳晨陳晨管理團隊

相關(guān)推薦

發(fā)表回復

登錄后才能評論