1. 科技訊首頁
  2. 產(chǎn)經(jīng)

2024 年 11 月頭號(hào)惡意軟件:Androxgh0st 位居榜首,危害物聯(lián)網(wǎng)設(shè)備和關(guān)鍵基礎(chǔ)設(shè)施

陳晨 ? ? 產(chǎn)經(jīng)

Check Point 軟件技術(shù)公司的最新威脅指數(shù)報(bào)告揭示了與 Mozi 整合的僵尸網(wǎng)絡(luò) Androxgh0st 風(fēng)頭正盛,Joker 和 Anubis 威脅持續(xù)存在,網(wǎng)絡(luò)犯罪手段在不斷演進(jìn)。

網(wǎng)絡(luò)安全解決方案先驅(qū)者和全球領(lǐng)導(dǎo)者 Check Point? 軟件技術(shù)有限公司(納斯達(dá)克股票代碼:CHKP)發(fā)布了其 2024 年 11 月《全球威脅指數(shù)》報(bào)告,重點(diǎn)指出 Androxgh0st 異軍突起。目前,該惡意軟件已與 Mozi 僵尸網(wǎng)絡(luò)整合,繼續(xù)瞄準(zhǔn)全球關(guān)鍵基礎(chǔ)設(shè)施發(fā)起攻擊。

電網(wǎng)、交通系統(tǒng)、醫(yī)療網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施仍是網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo),因?yàn)樗鼈冊(cè)谌粘I钪邪l(fā)揮著不可或缺的作用。破壞這些系統(tǒng)可能會(huì)導(dǎo)致大規(guī)模混亂,造成經(jīng)濟(jì)損失,甚至危及公共安全。

研究人員發(fā)現(xiàn),目前位居惡意軟件排行榜首位的 Androxgh0st 正在利用多個(gè)平臺(tái)上的漏洞,包括物聯(lián)網(wǎng)設(shè)備和 Web 服務(wù)器這些關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。它借鑒 Mozi 的攻擊策略,利用遠(yuǎn)程代碼執(zhí)行和憑證竊取方法對(duì)系統(tǒng)進(jìn)行攻擊,以保持持續(xù)訪問,從而實(shí)施 DDoS 攻擊和數(shù)據(jù)竊取等惡意活動(dòng)。僵尸網(wǎng)絡(luò) Androxgh0st 通過未修補(bǔ)的漏洞侵入關(guān)鍵基礎(chǔ)設(shè)施,在整合 Mozi 的能后,顯著擴(kuò)大了其攻擊范圍,可以感染更多的物聯(lián)網(wǎng)設(shè)備,并控制更廣泛的目標(biāo)。上述攻擊可跨行業(yè)引發(fā)級(jí)聯(lián)效應(yīng),這充分表明依賴這些基礎(chǔ)設(shè)施的政府、企業(yè)及個(gè)人面臨著巨大風(fēng)險(xiǎn)。

在主要的移動(dòng)惡意軟件威脅中,Joker 仍然是最猖獗的惡意軟件,其次是 Anubis 和 Necro。Joker 仍在竊取短消息、聯(lián)系人和設(shè)備信息,同時(shí)偷偷地為受害者訂閱付費(fèi)服務(wù)。與此同時(shí),銀行木馬 Anubis 增加了新功能,包括遠(yuǎn)程訪問、鍵盤記錄和勒索軟件功能。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 對(duì)于不斷演變的威脅形勢(shì)評(píng)論道:“Androxgh0st 的興起以及與 Mozi 的整合說明了網(wǎng)絡(luò)犯罪分子正不斷翻新花樣。各機(jī)構(gòu)必須迅速做出調(diào)整,并實(shí)施強(qiáng)有力的安全防護(hù)措施,以及時(shí)發(fā)現(xiàn)并抵御這些高級(jí)威脅,防止其造成重大損失?!?/p>

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

Androxgh0st 是本月最猖獗的惡意軟件,全球 5% 的機(jī)構(gòu)受到波及,緊隨其后的是 FakeUpdates 和 AgentTesla,分別影響了 5% 和 3% 的機(jī)構(gòu)。

1. ↑ Androxgh0st – Androxgh0st 是一個(gè)針對(duì) Windows、Mac 及 Linux 平臺(tái)的僵尸網(wǎng)絡(luò)。在感染初始階段,Androxgh0st 利用多個(gè)漏洞,特別是針對(duì) PHPUnit、Laravel 框架和 Apache Web 服務(wù)器的漏洞。該惡意軟件會(huì)竊取 Twilio 賬戶信息、SMTP 憑證、AWS 密鑰等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的變體,可掃描不同的信息。

2. ↓ FakeUpdates – FakeUpdates(又名 SocGholish)是一種使用 JavaScript 編寫的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫入磁盤。FakeUpdates 通過許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進(jìn)一步破壞。

3.  AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級(jí) RAT,能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。

4. ↑ Formbook – Formbook 是針對(duì) Windows 操作系統(tǒng)的信息竊取程序,于 2016 年首次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對(duì)較低的價(jià)格,它在地下黑客論壇中作為惡意軟件即服務(wù) (MaaS) 進(jìn)行出售。FormBook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。

5. ↑ Remcos – Remcos 是一種遠(yuǎn)程訪問木馬,于 2016 年首次現(xiàn)身。Remcos 通過垃圾電子郵件隨附的惡意 Microsoft Office 文檔自行傳播,旨在繞過 Microsoft Windows UAC 安全保護(hù)并以高級(jí)權(quán)限執(zhí)行惡意軟件。

6.  AsyncRat – Asyncrat 是一種針對(duì) Windows 平臺(tái)的木馬程序。該惡意軟件會(huì)向遠(yuǎn)程服務(wù)器發(fā)送目標(biāo)系統(tǒng)的系統(tǒng)信息。它從服務(wù)器接收命令,以下載和執(zhí)行插件、終止進(jìn)程、進(jìn)行自我卸載/更新,并截取受感染系統(tǒng)的屏幕截圖。

7.  NJRat – NJRat 是一種遠(yuǎn)程訪問木馬,主要針對(duì)中東地區(qū)的政府機(jī)構(gòu)和組織。該木馬于 2012 年首次出現(xiàn),具有多項(xiàng)功能:捕獲擊鍵記錄、訪問受害者的攝像頭、竊取瀏覽器中存儲(chǔ)的憑證、上傳和下載文件、操縱進(jìn)程和文件以及查看受害者的桌面。NJRat 通過網(wǎng)絡(luò)釣魚攻擊和偷渡式下載感染受害者設(shè)備,并在命令與控制服務(wù)器軟件的支持下,通過受感染的 USB 密鑰或網(wǎng)盤進(jìn)行傳播。

8. ↑ Phorpiex – Phorpiex 僵尸網(wǎng)絡(luò)(又名 Trik)自 2010 年以來一直活躍至今,并在其巔峰時(shí)期控制了超過一百萬臺(tái)受感染主機(jī)。它因通過垃圾郵件攻擊活動(dòng)分發(fā)其他惡意軟件家族并助長大規(guī)模垃圾郵件和性勒索攻擊活動(dòng)而廣為人知。

9. ↑ Cloud Eye – CloudEye 是一種針對(duì) Windows 平臺(tái)的下載程序,用于在受害者計(jì)算機(jī)上下載并安裝惡意程序。

10. ↑ Rilide – 一種針對(duì) Chromium 瀏覽器的惡意瀏覽器擴(kuò)展插件,可模仿合法軟件侵入系統(tǒng)。它利用瀏覽器功能執(zhí)行惡意活動(dòng),例如監(jiān)控 Web 瀏覽、截取屏幕截圖和注入腳本以竊取加密貨幣。Rilide 會(huì)下載其他惡意軟件、記錄用戶活動(dòng),甚至能夠操縱 Web 內(nèi)容,以誘騙用戶進(jìn)行未經(jīng)授權(quán)的操作。

最常被利用的漏洞 

1. ↑ HTTP 載荷命令行注入(CVE-2021-43936,CVE-2022-24086)– 現(xiàn)已發(fā)現(xiàn)一種 HTTP 載荷命令行注入漏洞。遠(yuǎn)程攻擊者可以通過向受害者發(fā)送特制的請(qǐng)求來利用此漏洞。攻擊者可通過該漏洞在目標(biāo)計(jì)算機(jī)上執(zhí)行任意代碼。 

2. ↑ Web Server Exposed Git 存儲(chǔ)庫信息泄露 – Git 存儲(chǔ)庫報(bào)告的一個(gè)信息泄露漏洞。攻擊者一旦成功利用該漏洞,便會(huì)造成帳戶信息的無意泄露。

3. ↑ Zmap 安全掃描工具 (CVE-2024-3378) – Zmap 是一款漏洞掃描產(chǎn)品。遠(yuǎn)程攻擊者可使用 ZMap 檢測(cè)目標(biāo)服務(wù)器上的漏洞。

主要移動(dòng)惡意軟件

本月,Joker 位列最猖獗的移動(dòng)惡意軟件榜首,其次是 Anubis 和 Necro。

1.  Joker – 一種存在于 Google Play 中的 Android 間諜軟件,可竊取短消息、聯(lián)系人列表及設(shè)備信息。此外,該惡意軟件還能夠在廣告網(wǎng)站上偷偷地為受害者注冊(cè)付費(fèi)服務(wù)。

2. ↑ Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測(cè)到以來,它已經(jīng)具有一些額外的功能,包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測(cè)到該銀行木馬。

3. ↓ Necro – Necro 是一種木馬植入程序,可下載其他惡意軟件、顯示侵入性廣告,并通過收取付費(fèi)訂閱費(fèi)用騙取錢財(cái)。

主要勒索軟件團(tuán)伙 

這些數(shù)據(jù)基于從雙重勒索勒索軟件團(tuán)伙運(yùn)營的勒索軟件“羞辱網(wǎng)站”(攻擊者在這些網(wǎng)站上公布受害者信息)獲得的洞察分析。本月,RansomHub 是最猖獗的勒索軟件團(tuán)伙,其攻擊數(shù)量占已發(fā)布攻擊的 16%,其次是 Akira 和 Killsec3,分別占 6%。

1. RansomHub – RansomHub 是一種勒索軟件即服務(wù) (RaaS) 操作,據(jù)稱是已知 Knight 勒索軟件的翻版。2024 年初,RansomHub 在地下網(wǎng)絡(luò)犯罪論壇上初露鋒芒,因其針對(duì)各種系統(tǒng)(包括 Windows、macOS、Linux,尤其是 VMware ESXi 環(huán)境)發(fā)起的破壞性攻擊活動(dòng),以及采用的復(fù)雜加密方法而臭名昭著。

2. Akira – Akira 勒索軟件于 2023 年初首次發(fā)現(xiàn),主要針對(duì) Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 對(duì)文件進(jìn)行對(duì)稱加密,類似于曝光的 Conti v2 勒索軟件。Akira 通過多種途徑傳播,包括受感染的電子郵件附件和 VPN 端點(diǎn)漏洞。感染后,它會(huì)加密數(shù)據(jù),并在文件名后添加“.akira”擴(kuò)展名,然后留下勒索信,要求支付解密費(fèi)用。

3. KillSec3 – KillSec 于 2023 年 10 月嶄露頭角。該團(tuán)伙不僅運(yùn)營著一個(gè)勒索軟件即服務(wù) (RaaS) 平臺(tái),而且還提供一系列其他攻擊性網(wǎng)絡(luò)犯罪服務(wù),包括 DDoS 攻擊和所謂的“滲透測(cè)試服務(wù)”。

關(guān)于 Check Point 軟件技術(shù)有限公司 

Check Point 軟件技術(shù)有限公司 (www.checkpoint.com) 是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商,為全球超過 10 萬家用戶提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過 Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性,憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身,包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum,以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù),以便在防范黑客的同時(shí),確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外,該團(tuán)隊(duì)由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

本文轉(zhuǎn)載自:,不代表科技訊之立場(chǎng)。原文鏈接:http://articlef.yulepops.com/article/m-163/1/2122024121810175074673212.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論